Se podría decir que la billetera de hardware Ellipal Titan nació forzada por el destino. El producto original, al que se conoció simplemente como “Ellipal”, salió al mercado en 2018, cuando fue promocionado como un dispositivo “completamente aislado” de Internet.
Ello convertía a la nueva billetera Ellipal en una opción muy segura al momento de decidir cómo almacenar nuestras monedas digitales. Supuestamente, Ellipal no tenía conexión por USB, ni por WiFi o Bluetooth. Tampoco disponía de GPRS (acceso a redes de telefonía).
Luego del ataque de hackers al intercambio Binance, muchas personas comenzaron a considerar en serio la alternativa de mantener más seguras sus criptomonedas. Los proveedores de almacenamiento en frio vislumbraron ante sí una excelente oportunidad.
Por fuera, la apariencia de la Ellipal recordaba la de un modelo antiguo de teléfono inteligente. Y funcionaba exactamente igual. Al encenderlo, los comandos estaban disponibles mediante su pantalla táctil, facilitando en gran medida la experiencia del usuario.
El dispositivo Ellipal no necesitaba Internet, ni una computadora para funcionar. Tampoco era absolutamente independiente. Como complemento, la billetera de hardware necesitaba que el usuario utilizara la aplicación Ellipal en su teléfono.
Entre ambos, conformaban un sistema de almacenamiento fuera de línea, al parecer, bastante confiable.
Pero, atraídos por el modelo de seguridad propuesto por Ellipal basado en el intercambio de códigos QR, el equipo de investigación de Ledger, Ledger Donjon, puso la mira sobre el nuevo muchacho de la cuadra, y esto fue lo que sucedió.
Ledger hackea a Ellipal
La gente de Ledger Donjon enfocó su atención primero en el mecanismo de actualización del dispositivo. Esto consistía en descargar unos archivos comprimidos y encriptados, que se copiaban entonces a una tarjeta microSD para que la Ellipal los copiara desde allí.
The Donjon encontró que los archivos de actualización habían sido procesados con 3DES en modo ECB, una forma insuficiente y no recomendada de encriptación para estos casos.
Sorpresivamente, Ledger encontró que la Ellipal estaba basada en una tarjeta de hardware utilizada para la fabricación de teléfonos móviles de gama baja. Es decir, en realidad era un Smartphone económico convertido en billetera de criptomonedas.
Los investigadores pudieron conectar adecuadamente el puerto USB, habilitando la transferencia de datos mediante el mismo. Usando la interfaz UART activa, accedieron a la tabla de particiones de la memoria flash de la billetera.
Descubrieron que era posible escribir en dicha memoria, lo que se considera una vulnerabilidad seria de seguridad. El acceso a la memoria flash permite la obtención de las claves privadas encriptadas del usuario.
Mediante la manipulación de comandos, Ledger pudo activar también la conexión WiFi de la tarjeta Ellipal, y establecieron comunicación con un punto de acceso en su laboratorio.
Haciendo ingeniería inversa al software de Ellipal, el equipo Donjon de Ledger encontró que recuperar la contraseña del usuario también sería cosa sencilla.
En definitiva, los analistas expertos de Ledger desmontaron casi todos los argumentos de seguridad que promocionaba Ellipal para la venta de la billetera.
Es necesario aclarar que Ledger Donjon estuvo en contacto todo el tiempo con la firma Ellipal, mientras realizaban la revisión técnica de su producto bandera.
Como primera consecuencia, la compañía consideró prudente retirar todo el material publicitario donde se resaltaran las características de seguridad que habían sido vencidas por el equipo de Ledger.
¿Una desgracia o una fortuna?
La filosofía oriental nos enseña que nada es absoluto. Aquello que en principio puede parecer un infortunio, puede tornarse, más adelante, en una bendición. Y, al contrario.
Algunos conocerán ya la historia del campesino, su hijo y un caballo que extraviaron. El hijo se alarmó por la pérdida del animal, pero el padre le calmó diciendo: “Puede que no sea tan malo, veremos qué pasa”.
A los días, el caballo que había escapado regresó acompañado por un caballo más. “¡Que buena suerte, tenemos un nuevo caballo!”, dijo el hijo. “¿Suerte? Veremos qué pasa”, respondió el padre.
El muchacho intentó luego montar al caballo recién llegado, que, siendo salvaje, le tiró al suelo. Con una pierna afectada por la caída, se quejó amargamente: “Qué desgracia, padre. Mi pierna, ¡está rota!”.
“No desesperes, hijo. Ahora descansa, veremos qué pasa”, repostó el padre. Estando el joven campesino todavía convaleciente, las tropas reales pasaron por la aldea, reclutando muchachos para la guerra.
Al mirar al chico, que apenas podía tenerse en pie, decidieron dejarle allí.
Haciendo honor a sus raíces chinas, Ellipal transformó sabiamente la situación a su favor. Con el fin de convertir una aparente desventaja en un triunfo, Ellipal empezó a trabajar inmediatamente sobre los hallazgos de Ledger Donjon.
En breve, lanzó una actualización del software de la billetera (V2), y sugirió el empleo de contraseñas largas en el dispositivo. También, recomendó restringir totalmente el acceso físico de terceros a la Ellipal.
A partir de la investigación de Ledger, la compañía Ellipal instauró un programa oficial de recompensas para quienes encontraran formas de vulnerar la seguridad de su billetera.
Hasta ahora, Charles Guillemet, cabeza del equipo Ledger Donjon y CTO de Ledger, es el único que ha recibido este reconocimiento.
Sin darse cuenta, Ledger había empujado a Ellipal hacia adelante. En poco tiempo, el mercado recibiría la primera iteración de la billetera Ellipal: la Ellipal Titan.
Aparece Ellipal Titan
El 16 de julio de 2019, la firma anunciaba la siguiente generación de su producto inicial. Bautizada como Ellipal Titan, la versión “con esteroides” de la antigua Ellipal saldría a la venta en agosto.
De las mismas dimensiones que la anterior, pero con una apariencia más atractiva, la Ellipal Titan es la encarnación de la seguridad en dispositivos de almacenamiento fuera de línea.
Seguros de la lección aprendida, la compañía clama porque su nuevo producto no sea considerado solamente una billetera de hardware. Dado que la Ellipal Titan está realmente aislada de cualquier conexión externa, su fabricante propone que se la catalogue como una verdadera billetera en frío.
El diseño de Ellipal Titan la hace prácticamente impenetrable. Si alguien tratase de abrir la carcasa, entraría en acción un sistema de escudo anti-intrusión que haría inaccesible la información almacenada, destruyéndola.
El cuerpo del aparato está hecho de una aleación de aluminio (el del anterior era plástico), y posee un grado de protección IP65. Esto lo hace totalmente resistente al polvo y a los chorros de líquido desde varias direcciones.
La Ellipal Titan está garantizada como completamente libre de conexiones directas o inalámbricas. WiFi, USB, NFC, Bluetooth o redes de telefonía móvil, con ninguna de ellas puede accederse al nuevo dispositivo.
Aparte de las 24 criptomonedas mejor conocidas, Ellipal Titan es compatible con todos los tokens ERC20 (Ethereum), TRC10 Y TRC20 (red TRON), BEP2 (blockchain de Binance) y los emitidos por EOS.
Su página web indica que son 35 las cadenas de bloques soportadas y más de 7.000 los tokens que pueden ser almacenados en el dispositivo.
El precio de lista para la Ellipal Titan es de USD 169. La compañía tiene una oferta hasta el 15 de julio, con la que se podrán adquirir rebajados varios paquetes del producto.
Por ejemplo, la Ellipal Gold, una edición dorada de la billetera, está disponible por sólo USD 99. Y un combo de dos Ellipal Titan, más una tarjeta microSD de SanDisk (16 Gb), costarían USD 279 (precio normal USD 347).
A cada transacción deberá añadirse el costo del envío, que puede calcularse en la misma página de Ellipal antes de realizar el pedido.
Para quienes deseen usar criptomonedas como medio de pago, sólo deben elegir la opción “CoinPayments” y luego “Completar orden”, en la sección correspondiente durante el proceso de compra.
De allí, el usuario será redireccionado al sitio web de CoinPayments, donde podrá seleccionar entre Bitcoin (BTC), Litecoin (LTC), Ether (ETH) y Tether (USDT) para aprovechar las rebajas de Ellipal.
Comenzando con Ellipal Titan
Al igual que su antecesora, la Ellipal Titan requiere la participación de la aplicación Ellipal para que las transferencias de monedas digitales se puedan realizar bajo completa seguridad.
El dispositivo posee una pantalla táctil, que permite operar la Ellipal Titan exactamente como si fuera un Smartphone. Su interfaz ofrece ahora el “modo oscuro”, que ayuda a prevenir la fatiga ocular.
Al encender la billetera, el usuario deberá crear una cuenta proporcionando un nombre y una contraseña. Luego de confirmar la contraseña, el dispositivo generará una frase mnemónica BIP39 de 12 palabras.
Esta frase debe ser copiada en la tarjeta que viene junto a la billetera en el paquete. Antes de finalizar la creación de la cuenta, la Ellipal Titan requerirá que el usuario ingrese las palabras de la frase BIP39 en el mismo orden.
En caso de robo o pérdida de la Ellipal Titan, esta frase es el único medio por el que se podrá recuperar la cuenta en un nuevo dispositivo.
Este proceso de creación de cuenta se repite en el teléfono inteligente, luego de haber descargado e instalado la app Ellipal. Tal como en el dispositivo físico, la aplicación generará también una frase mnemónica que deberá ser copiada en la tarjeta correspondiente.
El fabricante indica que Ellipal Titan puede permanecer activa por 10 días con una carga completa.
¡HODL!
Una billetera como la Ellipal Titan puede usarse para realizar transacciones cotidianas, si se quiere. Pero, por la seguridad que brinda, idealmente se presta para almacenar cantidades importantes de monedas virtuales a largo plazo.
Para poder enviar monedas desde la cuenta Ellipal Titan, debemos hacer lo siguiente:
Primero, debemos emparejar la app con la billetera. En la interfaz principal de aplicación, presionamos el botón “Connect to Cold Wallet”. Un segundo botón idéntico también deberá ser seleccionado.
Pero antes, en la Ellipal Titan, entramos nuestra cuenta y presionamos el icono QR que se encuentra arriba y a la derecha (debajo del indicador de batería). Esto mostrará un código QR con el título “Connect to App”, o conectar con la aplicación.
Volvemos a la app, y presionamos el segundo botón “Connect to Cold Wallet” para escanear los códigos QR (uno por cada tipo de cripto en la cuenta) que aparecerán en la Ellipal Titan.
Luego de eso, dispositivo y aplicación estarán emparejados. Esto significa que ahora, en tu teléfono, tienes una réplica de tu cuenta Ellipal Titan.
Así que, básicamente, la cuenta espejo en la aplicación servirá para conocer nuestros saldos de criptomonedas, y la del dispositivo físico para firmar las transacciones.
Para efectuar un pago, hacemos así:
En la app, seleccionamos la criptomoneda con la que queremos hacer la transacción. Al pie de la pantalla, pulsamos en “Send”. Indicamos el monto a enviar y la dirección a la que se hará el pago. Revisamos los datos y presionamos el botón “Done”.
Si todo está correcto, pulsamos el botón “Submit”. La aplicación Ellipal presentará un código QR de la transacción sin firmar.
Ahora pasamos al dispositivo Ellipal Titan. Seleccionamos la misma moneda con la que estamos pagando, y pulsamos en “Sign”. Ingresamos nuestra contraseña y luego escaneamos el código QR que muestra la aplicación en el teléfono. Presionamos OK.
El dispositivo generará otro código QR para la transacción firmada, que debemos escanear empleando la app. Esto completará la operación.
Para recibir pagos, sólo debemos escoger la criptomoneda en cuestión y presionar el botón “Receive” en la parte inferior de la pantalla. Luego copiamos la dirección de billetera mostrada y se la enviamos al emisor de la transacción.
Esto puede hacerse tanto usando la aplicación móvil Ellipal, como la billetera física Ellipal Titan. La diferencia es que el dispositivo físico sólo mostrará el código QR de la dirección.
Algunos usuarios nuevos se preguntaban cómo “ingresar monedas” en la Ellipal Titan. Pues, la manera es la que acabamos de describir. Las criptomonedas se reciben mediante la cuenta espejo de la app.
Como para mover dichas monedas hacen falta las claves privadas, que se encuentran totalmente aisladas en el dispositivo físico, los activos recibidos permanecen a salvo en nuestra cuenta espejo de la aplicación.
Gastos corrientes
Como hemos visto, el procedimiento para efectuar una transacción segura con Ellipal Titan no es complicado. Sin embargo, para efectuar operaciones recurrentes u ordinarias no es precisamente práctico.
Si estamos en la calle y queremos usar nuestras criptomonedas, deberemos tener con nosotros la Ellipal Titan para firmar la transacción. Y esto podría resultarnos contraproducente.
Para este tipo de operaciones es mucho más conveniente emplear una billetera en línea (Hot Wallet). ¿Y cómo creamos nuestra billetera caliente con la app Ellipal? Es muy sencillo.
Ingresamos en la sección “Assets” de nuestra cuenta de app (Cold Wallet), y pulsamos el botón que está arriba a la derecha (My Account). Para agregar otra cuenta, pulsamos ahora el botón “Add account”.
Esta será una cuenta en línea, y su interfaz tendrá un color anaranjado.
Igualmente, deberemos hacer un respaldo escrito de la frase mnemónica que estará asociada a esta cuenta caliente. La tarjeta que acompaña al dispositivo posee una sección para ello.
Para solventar nuestros gastos corrientes con esta cuenta, sólo debemos transferir desde nuestra Ellipal Titan las cantidades y tipos de monedas que pensamos usar.
Así, podremos dejar nuestra billetera de hardware en casa, reduciendo el riesgo de robo o extravío.
Staking con Ellipal Titan
Si eres un hodler consumado, estarás más que acostumbrado a ir acumulando tus criptomonedas y luego olvidarte de ellas por un buen tiempo. Por supuesto, asegurándote de que estén a buen resguardo.
Pero, mantener monedas digitales mientras se gana un dividendo por hacerlo es una mejor opción. Eso es lo que ofrece el staking de criptomonedas.
Afortunadamente, esta alternativa está disponible con la billetera fría Ellipal Titan. Hasta el momento, sólo admite staking para los tokens nativos de Cosmos (ATOM) y Tezos (XTZ).
Staking de ATOM
Para comenzar a hacer staking con esta moneda, entramos a nuestra cuenta ATOM en la app. Presionamos “Staking” en la parte superior derecha de la pantalla. Luego, pulsamos el botón “Delegate”.
Ahora escogeremos el nodo delegado. En la pantalla aparece por defecto HashQuark, que es el delegado recomendado por Ellipal. Pulsando allí, aparecerá una lista de nodos en la que podremos seleccionar el que mejor nos parezca.
Luego de asignar el nodo, en el campo “Input Amount” indicamos la cantidad de ATOM que vamos a poner en staking. Presionamos luego el botón gris “Delegate”.
Como resultado la aplicación nos mostrará el código QR de esta operación sin firmar.
A continuación, en la Ellipal TItan vamos a la moneda ATOM y pulsamos “Sign”. Escaneamos el código QR que está en la app. El dispositivo generará un nuevo código QR para la transacción firmada, que deberemos escanear con la aplicación.
Por último, pulsaremos el botón “Complete” en la app para finalizar la operación.
Si también queremos poner algunas fichas de Tezos (XTZ) en staking, entramos en la cuenta de la moneda y repetimos los pasos.