Topic: Falsa App de Trezor en la Apple Store permite el robo de 17,1 BTCs a una persona (Read 93 times)

Quizás falta hacer hincapié por parte de Trezor (o la marca que sea de wallet) de que no va a pedir el mnemotécnico de 24 palabras en ninguna site. Me refiero sobre todo a explicitarlo en los materiales impresos (como la tarjeta para apuntar el mnemotécnico) y al dispositivo en sí.

He mirado un video del unboxing de una Trezor, y hay ciertos avisos sobre custodiarlos y no darle las palabras a nadie, pero visto lo visto en este y casos de sites clónicas, hay todavía margen para poner un mensaje mucho más explícito y colorido en los materiales, con mención a que Trezor nunca pedirá estos datos en ninguna app/site.

Personalmente yo diferenciaría entre culpabilidad y responsabilidad, la culpabilidad tiene implícito que se ha cometido alguna clase de crimen y en este caso la única persona o personas culpables son aquellos que han manufacturado este ataque esperando tomar desprevenidos a los usuarios de esta cartera.

Sin embargo cuando se trata de responsabilidades la tienda de aplicaciones sin lugar a dudas no puede evadirse de las responsabilidades que tiene con sus usuarios al fallarles al permitir esta clase de ataque en primer lugar, sin embargo tomando en cuenta el enorme volumen de nuevas aplicaciones y actualizaciones a aplicaciones existentes tiene sentido que no puedan monitorear cada una de ellas de manera total.

Y finalmente llegamos al usuario final que también tiene una gran responsabilidad de lo sucedido, las personas van a tener que cambiar la forma en que piensan y actúan si realmente van a usar las cryptomonedas en su vida diaria, prácticamente nadie que conozca tiene buenos hábitos cuando se trata de manejar sus archivos digitales y en la mayoría de los casos esto no es crítico pero sí lo es en un mercado en el que uno mismo es responsable de la seguridad de su dinero, es una pena que haya pasado esto y a todos nos da tristeza porque sabemos que es un riesgo que existe, pero que al mismo tiempo puede ser mitigado de manera muy significativa siempre y cuando se tomen medidas mínimas de seguridad, como checar la página del fabricante para encontrar los ligas oficiales o en este caso encontrar que la aplicación ni siquiera existía.

Es interesante el preguntarse: ¿Quien es el culpable?, daré algunas opciones y dejaré la pregunta abierta para que cada uno tome una decisión por su propio criterio.

a) El culpable es el individuo y su ignorancia.
b) El culpable es el atacante y su abuso.
c) El culpable es la app store por permitir este tipo de malware.

Por mi parte yo pienso que la víctima fue el usuario final, y el responsable serían tanto el atacante como la APP store.

Imagina comprar una Hardware wallet para poner a salvo tus 24 palabras y luego proceder a revelarlas por voluntad.

Esta clase de noticias me hacen sentir algo de resignación por algunos hodlers...

De entrada, un usuario de Trezor debería tener más conocimiento, y sólo recurrir a la web oficial para informarse y conocer los mecanismos que tiene a su disposición para consultar sus criptoactivos. Al fin y al cabo, uno compra un dispositivo hardware por cuestiones de seguridad, y descargar apps de las stores (sea de Apple o Android) sin más es altamente irresponsable, máxime cuando Trezor … no tiene app en estas stores (todavía).

Apple store tiene procesos mucho más robustos de control, y es poco frecuente ver allí wallets falsas, pero no es imposible. En esta ocasión, parece que los timadores colocaron un producto de encriptación, que pasó todos los filtros, pero una vez publicado, cambiaron el contenido, y colocaron una falsa wallet de Trezor. Se dio además la casualidad que, la cultura de bajarnos apps sin ton ni son, llevó a un incauto a caer en la trama, y perder sus 17,1 BTCs. Presupongo que, para ello, la app le pediría su mnemotécnico de 24 palabras, y que tan contento fue e introdujo en la app …

Ver: https://www.ticbeat.com/tecnologias/un-hombre-descarga-la-app-erronea-y-pierde-600-000-dolares-en-bitcoin/