La prominente bolsa de con sede en EE.UU., Coinbase, se encuentra en medio de una importante brecha de datos que afecta a miles de sus clientes. Según declaraciones oficiales, los datos de 69,461 usuarios se filtraron debido a un incidente de soborno. Los datos expuestos han sido utilizados, según se informa, para fraudes y robo de identidad. Tras la divulgación, Coinbase enfrentó críticas intensas sobre su proceso de información pública y las medidas legales que tomó en respuesta.
La Brecha de Datos Amenaza la Seguridad del Cliente
La información compartida por Coinbase con la oficina del Fiscal General de Maine indica que la brecha resultó de un equipo de servicio al cliente externo. Estos individuos pasaron inapropiadamente datos de clientes obtenidos de los procesos KYC a partes malintencionadas, revelando información altamente sensible como nombres, detalles de contacto, números de seguro social y documentos de identificación.
La empresa informó que estos detalles fueron utilizados en ataques de ingeniería social, permitiendo a los piratas informáticos acceder a las billeteras digitales de algunos clientes y robar sus activos. Los piratas informáticos exigieron una suma de 20 millones de dólares, que Coinbase se negó a pagar. Aunque a algunos clientes afectados se les proporcionaron servicios de protección de identidad, la confianza se vio significativamente socavada. El número de usuarios afectados representa aproximadamente el 1% de la base de clientes de Coinbase, incluyendo a 217 individuos en Maine.
Armstrong Critica los Procedimientos KYC
A medida que la situación se desarrolló, Brian Armstrong, el CEO de Coinbase, criticó los procedimientos KYC en sus comentarios en redes sociales. Enfatizó que estos procesos de recopilación de datos son legalmente requeridos pero gravosos tanto para los clientes como para las empresas. Armstrong señaló que los datos retenidos no son efectivos para prevenir actividades ilegales.
Argumentó que las leyes de KYC y contra el lavado de dinero, diseñadas con base en las condiciones de la década de 1970, están obsoletas en el mundo digital actual. La recopilación de datos personales dentro de las empresas no solo aumenta el riesgo de ciberataques sino que introduce vulnerabilidades de seguridad a través del error humano. La obligación para los usuarios de criptomonedas de compartir información personal reavivó debates en toda la industria.
Además, el momento de la divulgación de la brecha de datos por parte de Coinbase llamó la atención. La empresa lo anunció el 14 de mayo pero al mismo tiempo revisó los acuerdos de usuario el 15 de mayo, restringiendo las demandas colectivas a Nueva York, lo que provocó acusaciones de manipulación. La investigadora Molly White señaló que se presentaron numerosas demandas colectivas inmediatamente después del anuncio de la brecha. Sin embargo, Coinbase negó estas acusaciones, afirmando que los cambios fueron comunicados desde el 11 de abril.
