Vulnerabilidad en dispositivos móviles expuesta: por qué el chip de seguridad de tu smartphone podría ser un punto débil para los activos de criptomonedas

Los investigadores de seguridad de Ledger han descubierto una vulnerabilidad crítica en los procesadores de teléfonos inteligentes ampliamente utilizados que representa una amenaza real para quienes almacenan criptomonedas en sus dispositivos móviles. El problema se centra en el sistema en chip (SoC) Dimensity 7300 de MediaTek, que contiene una vulnerabilidad que los atacantes podrían explotar teóricamente para obtener acceso no autorizado a los dispositivos y robar claves privadas.

Cómo funciona el ataque: el método del pulso electromagnético

La vulnerabilidad no puede ser solucionada con una actualización de software; está integrada en el silicio del propio chip. Los investigadores de Ledger, Charles Christen y Léo Benito, descubrieron que al disparar pulsos electromagnéticos a un dispositivo durante el arranque, podían eludir las protecciones de seguridad integradas en el procesador. Esta técnica, conocida como inyección de fallos electromagnéticos, básicamente engaña al chip para que se comporte de manera incorrecta de forma predecible.

Una vez comprometido, el atacante obtiene control total sobre el dispositivo afectado. Para los usuarios de criptomonedas, esto es catastrófico: significa que las claves privadas—las credenciales digitales necesarias para acceder y transferir fondos—podrían ser extraídas y utilizadas por actores maliciosos para vaciar las carteras.

El riesgo real: éxito mediante repetición

Mientras que un solo intento de explotar esta vulnerabilidad en dispositivos móviles tiene una tasa de éxito del 0,1% al 1%, la amenaza práctica es mucho más preocupante. Un atacante puede repetir el ataque aproximadamente una vez por segundo sin activar alarmas. Esto significa que atacantes persistentes podrían tener éxito en cuestión de minutos con intentos continuos. Como explicaron Christen y Benito, el proceso se convierte en un juego de números: sigue intentando, y eventualmente la explotación funcionará.

“No hay forma de almacenar y usar de manera segura las claves privadas en estos dispositivos”, concluyeron los investigadores, destacando la gravedad del descubrimiento.

La respuesta de MediaTek: El chip no fue diseñado para esto

MediaTek respondió argumentando que el Dimensity 7300 no fue diseñado para aplicaciones de alta seguridad en primer lugar. La compañía afirmó que el SoC está destinado a productos de consumo estándar, no para operaciones financieras sensibles ni para módulos de seguridad hardware (HSMs) que exigen protección a nivel de fortaleza.

Sin embargo, esta distinción importa poco para los usuarios comunes que ya utilizan dispositivos con este chip para gestionar sus fondos en criptomonedas. La investigación fue divulgada oficialmente a MediaTek en mayo, tras ser descubierta en febrero, y los proveedores han sido notificados desde entonces.

Qué significa esto para los titulares de criptomonedas

La conclusión fundamental es incómoda: los teléfonos inteligentes modernos—especialmente aquellos que usan el procesador Dimensity 7300 de MediaTek—pueden no ser bóvedas confiables para las claves privadas, independientemente de la aplicación de cartera de criptomonedas que utilices. La vulnerabilidad existe a nivel de hardware, más allá del alcance de las medidas de seguridad de software.

Para quienes invierten mucho en la gestión de criptomonedas en dispositivos móviles, este descubrimiento subraya por qué las carteras hardware y el almacenamiento offline siguen siendo el estándar de oro para la protección de activos. Hasta que la industria desarrolle chips con un diseño de seguridad inherente mejor, los riesgos de almacenar reservas significativas de criptomonedas en hardware de dispositivos móviles vulnerables siguen siendo reales.