top of page
  • Foto del escritorHernán González

Caso Ledger: nueva sorpresa non grata con la líder en hardware wallets

La marca Ledger podría sumar una novedad que llamó la atención de todo el ecosistema

El Ledger Nano X, el dispositivo de la posible controversia. Foto: ledger.com

Un viejo conocido


Entre las marcas líderes del mercado en hardware wallets, siempre se destacaron dos o tres, aunque existen muchas marcas no tan conocidas de muy buena reputación. Una de esas marcas líderes ha sido Ledger y los que recomendamos billeteras frías, de una u otra forma siempre la terminamos mencionando.


Pero ya desde hace tiempo, Ledger ha mostrado algunas debilidades que no han sido menores y que han ocasionado grandes inconvenientes con sus usuarios. Una de ellas tuvo un impacto muy fuerte en los tenedores de hardware wallets de la marca con la filtración de la base de datos de más de 1 millón de clientes en Raidforum a mediados del 2020, impactando en la información de la empresa a junio de ese mismo año y reconocido por ella públicamente desde octubre/noviembre de ese mismo año.


Esto ocasionó la exposición pública de información sensible, como ser nombres y apellidos, teléfonos, direcciones de residencia y de email de muchos usuarios, con un extra clave: todos ellos poseían una hardware wallet con alta probabilidad de un ahorro cripto elevado en ellas. Ledger salió a disculparse por lo ocurrido y enfrentó demandas judiciales de todo tipo por miles de casos de phishing y estafas vía mail.


Pero ahora, conocemos otra novedad que causó descontento en sus clientes múltiples casos pero por un nuevo posible servicio a ofrecer.


¿De qué venimos a hablar en esta ocasión? Del nuevo servicio de KYC que podría estar lanzando la marca, con la posibilidad de que las llaves privadas puedan delegarse a terceros, quienes pasarían ahora a custodiar las billeteras de los usuarios de su modelo Nano X.


Ledger, ha sido de las primeras organizaciones en enarbolar la bandera del "not your keys, not your coins", pero parece que en esta ocasión lo pasó por alto. Una marca líder en el mercado, pareciera estar tomando un rumbo que le cuesta la reputación que ha generado a lo largo de estos últimos años, tanto pone en marcha el servicio como si no.

Pero antes de avanzar con la novedad, primero veamos algo de historia...


Hechos clave en la vida de Ledger


Ledger nace en el año 2014, en Francia, como una empresa desarrolladora de hardware wallets y de software propio para su utilización, de la mano de ocho cofundadores y cuyo CEO actual, Pascal Gauthier, es uno de ellos.


Empezó ofreciendo su primera hardware wallet: la Ledger Nano S, un dispositivo sin batería con una pequeña pantalla y dos botones que, conectándola a una computadora mediante un cable micro USB a un conector USB podemos, hasta el día de hoy, gestionar nuestra billetera fría, utilizando un programa descargable para escritorio de PC o tablet llamado Ledger Live con el que podemos administrar nuestras tenencias.


Otro dispositivo que suele verse menos, que resultó ser innovador en su lanzamiento, fue el Ledger Blue, una de las primeras hardware wallets táctiles, pero que ha desaparecido del sitio oficial para su compra desde hace tiempo.


En 2019 surge el Ledger Nano X, un modelo más avanzado que agregó cosas como la modernización del diseño, mayor capacidad de almacenamiento, mayor compatibilidad de redes y monedas, batería interna, sistema Bluetooth para conectar el dispositivo sin usar el cable, entre otras.


Guste o no desde su lanzamiento, este modelo de la marca ha liderado hasta la actualidad, junto con el Trezor Model T, como las hardware wallets "comerciales" más costosas y con mayores funcionalidades del mercado.


Tiempo después, se sumó a la familia el Nano S Plus, un restyling del Nano S buscando ubicarse como un intermedio entre el primer modelo y el Nano X, tanto en funcionalidad y estética, como en precio.


Y recientemente, en 2022 se presentó el modelo más caro de todos. Se trata del Ledger Stax, un dispositivo que supera ampliamente a los nombrados y cuenta con una pantalla con tinta electrónica personalizable y a color, entre muchas otras features, una completa novedad en el rubro de hardware wallets.


Todo muy lindo, pero...


Ahora sí, pasemos realmente a lo que nos importa.


El 15 de mayo se filtró la información y al día siguiente se anunció oficialmente: Ledger ofrecerá el servicio de Recover, una suscripción paga para almacenar tu frase semilla encriptada y repartida en tres proveedores de servicios de custodia diferentes.


(Podés leer las preguntas frecuentes sobre Ledger Recover acá)


A partir de la aceptación del servicio, el usuario deberá realizar un onboarding con la firma Onfido, brindando sus datos personales básicos más selfies, para el reconocimiento biométrico del mismo, y todas las claves quedarán linkeadas a ese usuario, pudiendo identificarlo fácilmente por los datos que brinda al suscribirse al servicio.


Ledger aclaró que "no importa si actualizamos o no el firmware del dispositivo", ya que apuntan a que el servicio sea pago y opcional para quien lo desee.


El usuario de Twitter @sethforprivacy, armó un hilo interesante poniendo en relieve las propuestas de Ledger con su servicio y los posibles puntos débiles, entre los que se destaca, por ejemplo, la posibilidad de que terceros que no conocemos (o los mismos que dicen custodiarnos) puedan robar nuestras monedas.


El descontento de los usuarios de la marca no tardó en llegar y una catarata de mensajes que abrumaron a la empresa con preguntas como:


¿Está en peligro mi Nano X y/o los demás dispositivos?


¿Es verdaderamente opcional el servicio?


Pero la pregunta que aun no quedó clara del todo, es la más importante de todas:


Si Ledger nunca te pedirá tu frase semilla, ¿cómo hace la empresa para dividirla, encriptarla y dársela a los custodios cuando contrato el servicio de Recover?


Pregunta simple y extremadamente importante, ¿no?


Respuestas en Twitter al anuncio del servicio.

Al día de hoy, esta última pregunta no está respondida de forma clara. Y este malestar generado en redes, parte por desinformación y parte por anuncios informales (que hicieron incluso que el mismo Gauthier se disculpara) generó un revuelo masivo, principalmente en Twitter, donde los refentes de la firma hicieron sus anuncios para calmar las aguas.


Charles Guillemet, el CTO de la marca, volvió a realizar un anuncio el día 23 de mayo en su cuenta, mostrando la "aceleración de open-sourcing roadmap" de la empresa, tendiente por lo visto a convertir el SE (Secure Element) de los dispositivos también a open source, con el objeto de brindar mayor transparencia y auditabilidad, sin necesidad de estar confiando tanto en la palabra de la compañía.



Para quien no lo sepa, buena parte del código que maneja Ledger es privado, y pareciera que con el descontento mostrado por la gente, han tomado nuevas medidas para aprontar el desarrollo de código abierto.

Imagen que mostró el CTO de Ledger en su cuenta de Twitter (@P3b7_)

Sumando las malas noticias para quienes adhieran al servicio, el CEO confirmó que un gobierno, en caso de citación judicial, podría acceder a las claves de la billetera si lo requiere.


Independientemente de que la medida tome en cuenta la posibilidad de que el cliente elija o no el servicio, se generó un gran descontento y a su vez una gran desconfianza en la palabra de la empresa por parte de usuarios y de conocedores del tema.


Siendo objetivo, Ledger ha descarrilado de donde venía: de ofrecer confianza, seguridad, privacidad y de brindar únicamente soluciones de autocustodia para sus clientes.


Una breve conclusión sobre el caso


Voy a tratar de ser directo: no confíes ciegamente en ninguna empresa cripto, sea exchange, vendedora de hardware wallets o de cualquier rubro en el ecosistema. Hay que entender que son empresas dirigidas por seres humanos que se equivocan, que tienen intereses propios y/o que pueden responder a intereses de terceros con malas intenciones.

Para cerrar ester artículo, como usuario de Legder que soy, voy a responder algunas preguntas que te podés estar haciendo vos como cualquier otra persona del ecosistema:



¿Está mal comprar un dispositivo Ledger?

Es una marca de renombre internacional en el rubro. No criticaría a nadie que compre de ahora en adelante un dispositivo de la marca. Aun no conozco ningún caso que haya sido afectado por este anuncio de la marca, por ejemplo, perdiendo monedas.

¿Alguna vez tuviste problemas con tu Nano X?

Nunca. Hace 3 años que lo compré y nunca tuve ningún inconveniente, ni con el dispositivo ni tampoco con el software de Ledger Live.

¿Es realmente un peligro poseer criptos utilizando billeteras Ledger?

No lo sabemos, porque aun la propuesta del Ledger Recover no se hizo realidad. Está en proceso de desarrollo e implementación.

¿Es un golpe a la reputación este anuncio oficial de Ledger Recover?

Sí, sin duda. Se metieron con algo sensible: la privacidad y el control de las monedas de los usuarios, independientemente de si es opcional o no la función.

¿Rompió la marca con el lema del "Not your keys, not your coins"?

Sí, porque está convencida de que muchos usuarios no tienen la capacidad o no están dispuestos a resguardar sus llaves privadas de manera particular, y anuncia un servicio que nada tiene que ver con el fin de la marca desde que nació, que ha sido darle únicamente la posibilidad al usuario de que sea autocustodio de sus fondos.

No importa si el servicio de Recover es opcional o no.

Lo que la gente discute es por qué habilitan la opción.

¿Recomendarías a partir de ahora a Ledger?

Es inevitable nombrarla por su indiscutible liderazgo en el mercado, aunque debe aclararse la situación actual para que las personas decidan.

Como siempre digo, no hay que adelantarse a destruir.


Veremos cómo se desempeña a futuro con la implementación de este nuevo servicio y dejemos que el mismo mercado defina la posición que deban ocupar los dispositivos y las propuestas de Ledger.


Mientras tanto, mantengámonos alerta de las novedades, que seguramente se verán reflejadas en este mismo artículo, con futuras actualizaciones.


Stay tuned.


 

Hernán González

para hernancripto.com

bottom of page