Falla en chips MediaTek expone carteras de criptomonedas y PINs en móviles Android apagados

Un supuesto fundamental de seguridad se ha derrumbado: que un smartphone apagado es un smartphone seguro. Investigadores de seguridad del equipo Donjon de Ledger han descubierto una vulnerabilidad crítica en el diseño del System-on-a-Chip (SoC) de MediaTek que permite a atacantes eludir todas las medidas de seguridad de Android y extraer PINs, contraseñas y, crucialmente, las claves privadas de carteras de criptomonedas, en aproximadamente 45 segundos. El ataque funciona incluso cuando el dispositivo está completamente apagado, explotando una falla a nivel de hardware que otorga acceso sin restricciones al almacenamiento seguro del dispositivo.

La vulnerabilidad reside en la interfaz de diagnóstico y pruebas propietaria de MediaTek, una característica integrada en el firmware del chip. Esta interfaz, destinada a la depuración por parte del fabricante, puede ser accedida iniciando el dispositivo en un modo especial de pre-arranque. Una vez en este modo, un atacante con acceso físico al dispositivo puede emitir comandos que vuelcan el contenido de particiones de seguridad críticas, incluido el "keystore" donde Android cifra los datos sensibles del usuario. Los investigadores demostraron que los datos cifrados extraídos podían luego descifrarse fuera de línea, revelando el PIN de la pantalla de bloqueo, diversas contraseñas de aplicaciones y, lo más alarmante para la comunidad cripto, las frases semilla y claves privadas almacenadas por carteras de criptomonedas móviles.

La escala del impacto es masiva. Los chipsets de MediaTek alimentan aproximadamente el 25% del mercado global de smartphones Android, abarcando cientos de millones de dispositivos de numerosos fabricantes. Esto convierte a la falla en uno de los problemas de seguridad de hardware más extendidos descubiertos en los últimos años. El ataque requiere posesión física del dispositivo, pero este es un escenario común en robos dirigidos a individuos de alto valor conocidos por poseer activos de criptomonedas.

La causa técnica radica en un mecanismo de control de acceso insuficiente para las funciones de arranque seguro y depuración del chip. El modo de diagnóstico de MediaTek no valida adecuadamente la integridad de la cadena de arranque ni aplica verificaciones de seguridad basadas en hardware antes de proporcionar acceso profundo al sistema. Esto permite a un atacante interrumpir el proceso de arranque normal y ordenar al chip que revele secretos que normalmente están protegidos por el Entorno de Ejecución Confiable (TEE) y los almacenes de claves respaldados por hardware. Los investigadores señalaron que el ataque es silencioso, no deja rastros obvios en el almacenamiento principal del dispositivo y no requiere que el atacante conozca de antemano el PIN o la contraseña del usuario.

En respuesta a la divulgación de Ledger Donjon, MediaTek ha desarrollado y liberado parches para los fabricantes de dispositivos (OEMs). La corrección implica asegurar la interfaz de diagnóstico con una autenticación adecuada y reforzar el entorno de pre-arranque. Sin embargo, el despliegue del parche se enfrenta al clásico problema de fragmentación de Android. La responsabilidad recae ahora en las marcas individuales de smartphones para integrar el parche en su firmware y distribuirlo a los usuarios finales mediante actualizaciones over-the-air (OTA). Este proceso es notoriamente lento e inconsistente, dejando a una vasta población de dispositivos potencialmente vulnerables durante meses o incluso indefinidamente si el dispositivo ya no recibe soporte.

Para las comunidades de ciberseguridad y criptomonedas, esta vulnerabilidad es un recordatorio contundente de los riesgos ocultos en las complejas cadenas de suministro de hardware. Subraya que la seguridad del software, incluso un cifrado robusto, puede verse completamente socavada por una falla en el silicio subyacente. Se aconseja a los profesionales de seguridad que traten a los dispositivos móviles con chips MediaTek como si tuvieran una postura de seguridad reducida si no se confirma que están parcheados. Para usuarios de alto riesgo, como traders activos de criptomonedas, la recomendación es evitar almacenar frases semilla o grandes cantidades de activos cripto en smartphones vulnerables y considerar el uso de carteras de hardware dedicadas y especializadas para almacenamiento en frío, diseñadas para ser resistentes a este tipo de ataques físicos.

La falla de MediaTek representa un cambio de paradigma en el modelado de amenazas para dispositivos móviles. Demuestra que el 'estado apagado' ya no puede considerarse un estado seguro frente a un atacante determinado con acceso físico. Esto probablemente influirá en el futuro diseño de chips, impulsando una seguridad más fuerte arraigada en el hardware que proteja los datos sensibles incluso cuando el sistema operativo principal está completamente inactivo. Por ahora, la vigilancia y la actualización inmediata son las defensas primarias para millones de usuarios de Android en todo el mundo.