Sea una pregunta real de un Newbie o no (uno con el tiempo ya sospecha de todo), pero no deja de ser bueno ver de vez en cuando como alguien se cuestiona algún punto de lo que damos por hecho en términos de seguridad.
Por lo menos a mí me pareció refrescante que alguien novel quisiese preguntar acerca de las garantías de que las actualizaciones de Trezor de firmware, a instancias de un pop-up en la wallet, fuesen algo garantizado como actualizaciones benignas (ver
este post).
Es bueno cuestionarse las cosas, y esta actitud podría haber ahorrado problemas a algunos de los que hubiesen caído en los falsos mensajes desde la cuenta Twitter (X) de Trezor …
Por lo que tengo entendido, Trezor hace una verificación del firmware cada vez que se conecta la wallet a un terminal / computadora, pero no estoy seguro si eso sea de utilidad. No estoy seguro si al hacer un reemplazo de firmware por uno no oficial, la semilla de borra automáticamente, creo que si, y tendría sentido.
Por si acaso, yo me he convertido en ese tipo de personas que no hacen caso de los popups para actualizar directamente desde la aplicación, prefiero escribir yo mismo el url y descargar el paquete desde la página, aunque obviamente eso tampoco es garantía de legitimidad del software.
Supongo que estos días tendré que quitarme la pereza de encima y aprender a cómo verificar de forma definitiva el software de Trezor utilizando sus llaves públicas.
Satoshilabs en comunicaciones y publicidades anteriores ha dado a entender que el hecho de poder actualizar el software de la billetera y el firmware desde la propia aplicación hace bastante difícil el sufrir de ataques, pero creo que ya existen precendentes de casos como ese.
