Descarga la última versión de la BitBoxApp aquí: https://bitbox.swiss/es/descargar/

Esta versión también incluye una actualización de seguridad para el firmware de la BitBox02 Nova, además de otras mejoras.

La seguridad es lo primero

Nuestro código de código abierto y el programa de recompensas por errores (bug bounty) fomentan revisiones independientes y evaluaciones de seguridad de las billeteras de hardware de BitBox. Esto también incluye informes transparentes una vez que se identifica y corrige un problema de seguridad. En BitBox, la seguridad siempre es la máxima prioridad, y esta versión es un gran ejemplo de ello.. 

Resumen rápido (TL;DR): En esta versión se han corregido dos problemas de seguridad en el firmware de la BitBox02 Nova, de gravedad baja y moderada. Es poco probable que te veas afectado, ya que una explotación exitosa requeriría un atacante avanzado con acceso físico al dispositivo y altos conocimientos técnicos. Incluso en ese caso, solo se aplica a un escenario de uso muy específico de la BitBox02 Nova, en el que se reutiliza la misma contraseña del dispositivo en varios dispositivos. Todos los demás usuarios no se ven afectados. En cualquier caso, recomendamos actualizar a la última versión de la BitBoxApp y del firmware.

A continuación, analizamos los detalles técnicos de este anuncio de seguridad y cómo podría afectar a los usuarios.

¿Qué ocurrió?

Andrew Kozlik, responsable de Investigación y Desarrollo en Trezor, divulgó de forma responsable dos vulnerabilidades a través de nuestro programa de bug bounty el 26 de octubre de 2025, en el firmware de la BitBox02 Nova, concretamente en la configuración del chip seguro Infineon OPTIGA™ que utiliza.

Ambas vulnerabilidades requieren acceso físico al dispositivo, incluyendo acceso de lectura a ciertas partes de la memoria flash del MCU principal, así como la capacidad de comunicarse directamente con el chip seguro. Se trata, por tanto, de un escenario de ataque muy avanzado. Lograr este nivel de acceso ya es difícil de por sí, y es probable que el dispositivo quede destruido en el proceso.

Los dos problemas se pueden resumir de la siguiente manera:

  1. El primer problema podría permitir que un atacante (bajo los supuestos mencionados) acceda a una ranura de configuración específica del chip seguro y lea su contenido. Dado que esta ranura estaba configurada explícitamente como no legible, consideramos que se trata de un fallo del propio chip seguro. No obstante, la BitBox02 Nova utiliza varias ranuras de configuración de este tipo con fines de redundancia, como parte de nuestro enfoque de seguridad en profundidad, lo que hace que la vulnerabilidad no sea explotable y no tenga impacto.
  2. El segundo problema podría permitir a un atacante obtener la contraseña del dispositivo mediante fuerza bruta, evitando el límite habitual máximo de 10 intentos de desbloqueo. Esto sería posible restableciendo parcialmente ciertos objetos de datos en el chip seguro. Sin embargo, al hacerlo, la clave de descifrado necesaria para acceder a la semilla almacenada en el dispositivo se elimina, manteniendo la semilla a salvo y haciendo que la contraseña obtenida resulte inútil, siempre que no se reutilice en otros dispositivos.

La actualización Marmorera publicada hoy corrige ambas vulnerabilidades, y animamos a todos los usuarios a actualizar a la última versión de la BitBoxApp y del firmware de BitBox. No tenemos informes de fondos perdidos ni hemos encontrado pruebas de que estas vulnerabilidades hayan sido explotadas.

We would also like to thank Andrew Kozlik for sharing his findings and knowledge with us, and helping to improve the security of the BitBox! He has been rewarded with the respective bounty.

¿Estoy afectado?

La vulnerabilidad solo tiene efecto en un escenario de uso muy específico de la BitBox02 Nova y requiere acceso físico avanzado y conocimientos técnicos elevados.

  • Si un atacante roba tu BitBox02 Nova y lleva a cabo un ataque físico avanzado, podría llegar a adivinar la contraseña del dispositivo. Aunque en ese proceso se eliminaría la clave de descifrado necesaria para acceder a la semilla del dispositivo atacado, manteniendo esa semilla a salvo, la contraseña obtenida podría utilizarse en un segundo dispositivo para desbloquearlo, si ese otro dispositivo utiliza la misma contraseña.
  • Si solo usas una única BitBox02 Nova y/o utilizas varias billeteras de hardware con contraseñas de dispositivo únicas, no te ves afectado. Como se ha descrito anteriormente, esto se debe a que la clave de descifrado de la semilla se elimina durante el intento de obtención de la contraseña del dispositivo.
  • La BitBox02 original no se ve afectada de ninguna manera por esta vulnerabilidad, ya que utiliza un chip seguro diferente.

Los mecanismos de defensa de la BitBox02 Nova y su arquitectura de doble chip ayudaron a evitar que estas vulnerabilidades tuvieran un impacto grave. En este caso, no confiar plenamente en el chip seguro ni en sus supuestos de seguridad resultó especialmente valioso, ya que ni el acceso a la ranura de configuración del chip seguro ni la obtención de la contraseña del dispositivo permitieron comprometer la semilla.

Ten en cuenta también que, en cualquier caso, si se hubiese utilizado una contraseña de dispositivo robusta, la vulnerabilidad tampoco habría podido explotarse, ya que un ataque de fuerza bruta no habría sido viable.

Dado el acceso físico avanzado requerido, así como el escenario de uso muy específico necesario para que un atacante pueda obtener una contraseña de dispositivo y acceder a los fondos del usuario, el impacto general de la vulnerabilidad puede considerarse de bajo a moderado.

¿Qué debo hacer para mantenerme seguro?

Asegúrate de actualizar a la última versión de la BitBoxApp e instalar el firmware más reciente en tus dispositivos. Puedes descargar la última versión de la app aquí: https://bitbox.swiss/es/descargar/.

La nueva versión de la BitBoxApp incluye el firmware más reciente, versión 9.25.0. Puedes actualizar el firmware yendo a Configuración > Administrar dispositivo > Firmware. Tras la actualización, desbloquea el dispositivo una vez y comprueba que en Información del dispositivo se muestre la versión de firmware 9.25.0.

Como siempre, mantente especialmente alerta ante posibles intentos de phishing que puedan utilizar anuncios de seguridad como este para generar miedo e incertidumbre. BitBox nunca te pedirá tus palabras de recuperación y nunca debes introducirlas en ningún sitio que no sea directamente en tu BitBox.

Cambiar la contraseña del dispositivo

Con la actualización Marmorera, ahora puedes cambiar la contraseña del dispositivo de tu BitBox de forma más cómoda yendo a Ajustes > Administrar dispositivo en la BitBoxApp. Desde ahí, simplemente elige y comfirma la nueva contraseña directamente en la BitBox. ¡Listo!

Anteriormente, la única forma de cambiar la contraseña del dispositivo era realizar un restablecimiento de fábrica y restaurar desde una copia de seguridad de la billetera. Ahora, con solo pulsar un botón, el proceso es rápido y sencillo, especialmente útil cuando se gestionan varios dispositivos.

Ten en cuenta que la contraseña del dispositivo es un ajuste del dispositivo y no está relacionada con tu copia de seguridad de la billetera. Esto significa que, si utilizas varias BitBox, cambiar la contraseña en una no la cambia en las demás.

Enviar a tu propia cuenta

Si alguna vez necesitas enviar una transacción de Bitcoin a ti mismo, ya sea para mover fondos a otra cuenta o para consolidar tus UTXO, ahora puedes seleccionar rápidamente la cuenta deseada desde un nuevo menú desplegable en la pantalla de envío. La BitBoxApp utilizará automáticamente la siguiente dirección de recepción no utilizada de la cuenta seleccionada para la transacción.

Esto elimina la necesidad de crear y copiar manualmente tus propias direcciones de recepción, ya que la BitBoxApp puede gestionarlo por sí sola. Aun así, asegúrate de verificar la dirección de recepción directamente en tu BitBox, donde también verás una nota como “Esta BitBox (cuenta n.º 1)” delante de las direcciones que pertenecen a tu propia billetera.

Otras mejoras

Esta versión también incluye otras mejoras menores y correcciones de errores:

  • Los detalles de las transacciones se han modernizado con una nueva interfaz de usuario.
  • Las copias de seguridad en tarjetas MicroSD ahora se ordenan de la más reciente a la más antigua para una mejor visualización.
  • Si quedan menos de 10 intentos de desbloqueo, la BitBox ahora muestra cuántos intentos restantes quedan antes de introducir la contraseña del dispositivo.
  • Se ha reestructurado la página de ajustes de Gestionar dispositivo.
  • El tamaño de la fuente ahora respeta la configuración del sistema en Android, permitiendo aumentar el tamaño del texto sin perder legibilidad.
  • Las monedas activas actualmente se han movido a la parte superior.
  • Se han corregido problemas de conectividad en Android al cambiar entre Wi-Fi y datos móviles.
  • Se ha corregido un problema por el cual el idioma a veces no se mantenía tras reiniciar la app.
  • Se ha eliminado el soporte para Android versión 6 o inferior.

¿Cómo puedo mantenerme al día?

Para recibir notificaciones sobre actualizaciones de seguridad como esta, nuevas funciones y mejoras, así como otros temas relacionados con Bitcoin, puedes suscribirte a BitBox News.

Como siempre, no dudes en ponerte en contacto con nuestro equipo de soporte si tienes cualquier pregunta.

Gracias por tu apoyo continuo,
El equipo de BitBox

Preguntas frecuentes (FAQs)

¿Esta vulnerabilidad también se aplica a las passphrases opcionales?

No. Las passphrases opcionales no se almacenan en el dispositivo BitBox y por lo tanto no pueden extraerse. En el improbable caso de que se explotara con éxito la vulnerabilidad descrita anteriormente, el uso de una passphrase opcional segura habría impedido igualmente que un atacante accediera a la billetera protegida por passphrase.

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta consiste simplemente en probar una contraseña una y otra vez hasta encontrar una que funcione. Normalmente, la BitBox evita este tipo de ataques sobre la contraseña del dispositivo imponiendo un límite mediante un contador de hardware en el chip seguro.

¿Una contraseña de dispositivo segura habría añadido más protección?

En este escenario concreto, sí, ya que el atacante habría tenido que realizar igualmente un ataque de fuerza bruta contra la contraseña del dispositivo. Por ello, una contraseña más compleja también habría impedido la explotación.

¿Aún no tienes una BitBox?

Proteger tus criptomonedas no tiene por qué ser complicado. Las billeteras de hardware BitBox almacenan las llaves privadas de tus criptomonedas sin conexión, para que puedas gestionar tus monedas de forma segura.

Tanto la BitBox02 Nova como la BitBox02 también están disponibles en una edición exclusiva para Bitcoin, con un firmware radicalmente enfocado: menos código significa una menor superficie de ataque, lo que mejora aún más tu seguridad si solo guardas bitcoin.

¡Consigue una BitBox02 Nova o una BitBox02 en nuestra tienda!

Shift Crypto es una empresa privada con sede en Zurich, Suiza. Nuestro equipo de colaboradores de Bitcoin, expertos en criptomonedas e ingenieros de seguridad crea productos que permiten a los clientes disfrutar de un viaje sin estrés desde el nivel de principiante hasta el nivel de maestría en la gestión de criptomonedas. La BitBox02, nuestra billetera de hardware de segunda generación, permite a los usuarios almacenar, proteger y realizar transacciones con Bitcoin y otras criptomonedas con facilidad, junto con su software complementario, la BitBoxApp.

Créditos de la imagen: ETH-Bibliothek Zürich, Swissair Photo AG, CC BY-SA 4.0