En la industria de la ciberseguridad y las criptomonedas, la competencia suele ser encarnizada, mas o menos religiosa y por casi una década, ha centrado el debate sobre cómo resguardar claves privadas dentro de una carteras de hardware (hardware wallet).
Obviamente, el debate ha estado dividido en dos filosofías irreconciliables: el código abierto (open source) frente a la seguridad por opacidad con (el uso de chips cerrados bajo estrictos acuerdos de confidencialidad o NDA, «por sus siglas en inglés»).
Sin embargo, un acontecimiento inédito acaba poner alerta a los usuarios de Trezor pero al mismo tiempo ha demostrando que, el enemigo de tu enemigo en ocasiones puede ser tu mejor auditor. Y es que, este martes, Trezor, la firma pionera en la fabricación de carteras de hardware, publicó un comunicado proactivo que encendió las alarmas de los titulares de prensa.
De acuerdo con el equipo de Trezor, su flamante dispositivo insignia, el Trezor Safe 7, había sido vulnerado en un laboratorio pero lo verdaderamente disruptivo no fue el hallazgo en sí, sino quién lo descubrió y cómo la arquitectura del dispositivo impidió el desastre.
Y es que resulta, que el equipo de investigación de Ledger (Donjon), el principal competidor comercial de Trezor, fue el encargado de encontrar la falla en la más reciente versión del Wallet de hardware.
Para entender el alcance de la vulnerabilidad, es imperativo desmitificar la palabra “hackeo” para este caso, porque no estamos ante un exploit remoto, un malware descargable o un ataque de red.
Lo que Ledger Donjon ejecutó a finales de enero de 2026 fue un ataque de inyección de fallos por láser (Laser Fault Injection), una disciplina que pertenece más a la ingeniería forense que a la informática tradicional.
Tropic Square disclosed a vulnerability in the TROPIC01 Secure Element chip used in Trezor Safe 7. It has been identified based on findings from the Ledger Donjon team’s independent audit.
Important: Your funds remain safe and secure. Trezor Safe 7 has not been hacked, and you…
— Trezor (@Trezor) June 3, 2026
El proceso requiere que un atacante posea físicamente el dispositivo, pero eso es apenas el inicio porque el atacante debe desmontar el aparato, desoldar el chip semiconductor TROPIC01 (el elemento seguro auditable desarrollado por Tropic Square, filial de SatoshiLabs) y someterlo a un proceso químico de descapsulación por la parte posterior para exponer directamente el silicio.
Una vez desnudo el chip, se requiere un equipamiento de laboratorio valorado en cientos de miles de dólares como sistemas de posicionamiento micrométrico, osciloscopios de alta gama y un emisor de láser de precisión.
El objetivo del láser es alterar el comportamiento del chip en una fracción de milisegundo específica: justo cuando el TROPIC01 verifica la autenticidad del nuevo firmware durante el proceso de arranque.
Al “bombardear” el silicio con luz en ese instante exacto, se altera el voltaje del circuito, logrando eludir la comprobación de firmas criptográficas, lo que permite al atacante ejecutar un firmware personalizado y extraer un subconjunto de secretos relacionados con la verificación de la autenticidad del dispositivo y una capa de protección del PIN.
Sin embargo, el ataque tiene un “talón de Aquiles” físico, y es que, a pesar de su efectividad, no es persistente, por lo que en el momento en que el dispositivo se apaga, el chip recupera su estado original.
Para volver a eludir la seguridad, el atacante tendría que repetir todo el proceso de laboratorio con el láser en cada encendido, pero esto anula por completo la posibilidad de un ataque a la cadena de suministro, una de las mayores pesadillas del ecosistema, donde un intermediario altera el hardware antes de que llegue al usuario final.
La pregunta inmediata que inundó los foros de Reddit y los canales de Telegram fue previsible: ¿Están mis fondos en riesgo? La respuesta técnica y rotunda es no. Y la razón reside en una decisión de diseño arquitectónico que Trezor implementó en el Safe 7, un esquema de seguridad multicapa basada en la desconfianza mutua.
A diferencia de otros fabricantes que confían la totalidad de la seguridad del dispositivo a un único chip monolítico (un “Elemento Seguro” tradicional), el Trezor Safe 7 distribuye las responsabilidades en tres capas de hardware independientes, provistas por fabricantes distintos:
En la primera capa, el chip TROPIC01 (Tropic Square) que es el encargado de la entropía, la autenticidad y una parte del secreto del PIN. La segunda capa, es el chip OPTIGA™ Trust M (Infineon) que opera como un elemento seguro de grado bancario (EAL6+) que no requiere acuerdos de confidencialidad para su implementación.
Por último, en la tercera capa el microcontrolador STM32U5 (STMicroelectronics), donde se aloja el motor principal que ejecuta la lógica del monedero. Cuando Ledger Donjon logró vulnerar el TROPIC01 con el láser, no obtuvo las claves privadas ni la frase de recuperación (seed).
Laser fault injection on Tropic01 – read our latest blog post, great collaboration with the @tropicsquare team.https://t.co/L21VXBnPNY
— Ledger Donjon (@DonjonLedger) June 3, 2026
Lo único que logró fue derribar una de las tres paredes. Para acceder a los fondos, un atacante teóricamente necesitaría romper los otros dos chips (algo que no ha ocurrido) y, crucialmente, adivinar el PIN del usuario mediante fuerza bruta.
El PIN actúa como una barrera criptográfica independiente descentralizada entre los componentes; el TROPIC01 no conoce el PIN ni almacena la copia de seguridad. Tras el ataque, las tres barreras físicas simplemente se redujeron a dos.
Este incidente pone sobre la mesa el valor real del código abierto ya que durante años, la industria ha cuestionado a Trezor por no utilizar elementos seguros estándar, debido a que los fabricantes de dichos chips obligan a firmar acuerdos de confidencialidad (NDA), ocultando el código y los planos del silicio.
Trezor argumentaba que la seguridad no puede depender del secreto del diseño (el Principio de Kerckhoffs). Con el TROPIC01, crearon el primer chip seguro totalmente auditable del mundo, con planos y SDK abiertos en GitHub.
Al abrir las puertas, permitieron que mentes brillantes de firmas competidoras analizaran el hardware. Sí, el hallazgo de una vulnerabilidad es un trago amargo para el departamento de marketing a corto plazo, pero es la única vía para construir hardware verdaderamente robusto a largo plazo. En los sistemas cerrados, las vulnerabilidades existen, pero permanecen ocultas bajo la alfombra de los NDAs, dejando a los usuarios en una falsa sensación de seguridad.
Además, cabe destacar el enfoque previsor del dispositivo porque el Trezor Safe 7 es la primera cartera de hardware que incorpora criptografía postcuántica (PQC) para proteger las actualizaciones de firmware y el proceso de arranque.
Aunque las computadoras cuánticas capaces de romper la encriptación actual son todavía una amenaza en el horizonte, la previsión de mitigar vectores de ataque avanzados demuestra que la industria se está preparando para escenarios de seguridad estatal.
Para el usuario de a pie, el veredicto es de absoluta tranquilidad ya que la probabilidad de que un usuario común sea objeto de un ataque que involucre un laboratorio de microelectrónica y la incautación física de su dispositivo es prácticamente nula.
Como bien recordó el equipo de Trezor en su comunicado, la mayor amenaza en el año 2026 sigue siendo el phishing y la ingeniería social, porque los atacantes prefieren engañar a un usuario para que entregue voluntariamente sus 12 o 24 palabras en un sitio web falso antes que gastar miles de dólares en tecnología láser.
Trezor ha confirmado que, al tratarse de una condición intrínseca del silicio actual, esto no se puede corregir con una actualización de software. No obstante, Tropic Square ya se encuentra fabricando un nuevo lote de chips con las correcciones físicas pertinentes para las próximas líneas de producción.
Este episodio será recordado como un hito donde la transparencia no fue una debilidad, sino la mayor fortaleza del ecosistema de las billeteras de hardware. Vale dejar en claro, que el hardware abierto ha sido puesto a prueba bajo el fuego cruzado de la competencia, y la arquitectura multicapa ha demostrado que su diseño de “tolerancia a fallos” cumple con creces su cometido.