Una forma de mantener seguros tus activos cripto es utilizando YubiKey, pero hay un problema. Se ha descubierto una vulnerabilidad con la que los usuarios que compraron un YubiKey de por vida deben aprender a vivir. Primero, discutamos por qué YubiKey es importante para la seguridad de los activos cripto y luego hablemos de su vulnerabilidad de por vida.
¿Qué es YubiKey?
FIDO Alliance desarrolló este dispositivo del tamaño de un USB para ayudar con las verificaciones de identidad y contraseñas. Este dispositivo de autenticación, que soporta protocolos de autenticación de dos factores y FIDO2, mantiene seguros tus monederos cripto. Puedes pensar en él como una versión diseñada para proteger las contraseñas de los monederos fríos comúnmente usados para criptomonedas.
Puede funcionar sin conexión, permitiéndote iniciar sesión simplemente tocando la llave en lugar de ingresar una contraseña, sin depender de un teléfono. De esta manera, no necesitas almacenar tus contraseñas de intercambio u otras claves privadas en WhatsApp, correo electrónico o papel.
También puedes usarlo tocándolo en tu teléfono gracias a la función NFC. Incluso puedes configurar este YubiKey como tu llave cuando quieras iniciar sesión en tu computadora. De esta manera, el acceso físico a tu computadora no es posible mientras tengas el dispositivo en tu posesión. Este dispositivo, compatible con aplicaciones como Lastpass y Google Password Manager, puede ser usado no solo para tus cuentas y monederos cripto, sino para todas tus cuentas.
Para mayor seguridad, algunos usuarios compran 2 YubiKeys, usando uno activamente y manteniendo el otro como llave de respaldo o recuperación.
Vulnerabilidad de Seguridad de YubiKey
Todo es perfecto a menos que alguien te apunte con una pistola a la cabeza y te quite tu YubiKey. Sin embargo, recientemente se descubrió una vulnerabilidad de seguridad significativa con la que necesitas acostumbrarte a vivir. Los expertos en ciberseguridad encontraron una vulnerabilidad en las llaves de autenticación de dos factores de YubiKey que permite clonar el dispositivo. Esta vulnerabilidad fue descubierta en la biblioteca criptográfica de Infineon utilizada por casi todos los productos, incluyendo las siguientes series:
- YubiKey 5
- Yubikey Bio
- Security Key
- YubiHSM 2
Yubico declaró que esta vulnerabilidad de seguridad es de severidad moderada y difícil de explotar. Los expertos mencionaron los siguientes detalles en sus comentarios sobre lo que hay que tener en cuenta:
“Un atacante necesitaría tener posesión física del YubiKey, Security Key o YubiHSM, tener conocimiento sobre las cuentas que quieren atacar y requerir equipo especial para llevar a cabo el ataque. Dependiendo del caso de uso, el atacante también podría necesitar información adicional como nombre de usuario, PIN, contraseña de la cuenta o clave de autenticación.”
Aunque parece difícil, los atacantes que creen que pueden acceder a una cantidad significativa de activos podrían superar este desafío. En ataques patrocinados por el estado, la tasa de éxito es mayor porque el acceso a mucha información es más fácil. Además, sabiendo cuán extensamente trabajan equipos como Lazarus e infiltran empresas, los inversores que poseen grandes cantidades de activos necesitan ser mucho más cautelosos.
Dado que el firmware de YubiKey no se puede actualizar, todos los dispositivos YubiKey 5 anteriores a la versión 5.7 (o la versión 5.7.2 para la serie Bio y la versión 2.4.0 para YubiHSM 2) vivirán con esta vulnerabilidad de por vida. Sin embargo, los modelos posteriores no se ven afectados por esta vulnerabilidad ya que no utilizan la biblioteca criptográfica de Infineon.
