El pirata informático probablemente responsable de la violación de seguridad de Ledger en julio arrojó recientemente una gran cantidad de datos que exponen la información personal de más de 270,000 clientes, incluidos números de teléfono y direcciones físicas. La filtración también incluyó 1 millón de correos electrónicos de propietarios y clientes de billeteras Ledger que se suscribieron al servicio de boletines de la compañía.

En medio del furor causado por el incidente, Ledger dice que su enfoque está en mejorar su infraestructura de seguridad en lugar de reembolsar a los usuarios las pérdidas que puedan ocurrir. Mientras tanto, se informa que algunos clientes afectados están considerando emprender acciones legales contra la compañía en forma de demanda colectiva.

La filtración de datos de clientes de Ledger también ofrece un nuevo terreno para el debate en contra de la implementación de más protocolos de cumplimiento de Conozca a su cliente, cuyos críticos argumentan que tales medidas fomentan los ataques cibernéticos dirigidos a exponer datos personales críticos.

Más de 270.000 datos de cuentas personales comprometidos

Como se mencionó, el hacker presuntamente responsable de violar la base de datos de comercio electrónico de Ledger en julio arrojó en línea la información personal de miles de usuarios afectados. Se culpó a la compañía en las redes sociales por no brindar una mejor protección de los datos de los usuarios y por minimizar el alcance de la violación inicial. En ese momento, el fabricante de carteras de hardware declaró que solo 9.500 clientes se vieron afectados por la violación de seguridad.

Al abordar la disparidad en el número reportado de personas afectadas, Ledger emitió un comunicado el 21 de diciembre declarando que la filtración cubría más material del que pudo analizar a principios de año. Sin embargo, la compañía afirmó que los fondos de los clientes permanecían seguros y agregó: “Esta violación de datos no tiene ningún vínculo ni impacto en nuestras billeteras de hardware, la aplicación o sus fondos. Sus activos criptográficos están a salvo. Si bien es muy verdadera y sincera, esta infracción afecta únicamente a la información relacionada con el comercio electrónico «.

En respuesta al incidente a través de Twitter, el director ejecutivo de Ledger, Pascal Gauthier remarcó que la filtración era indicativa de la creciente amenaza de ciberataques. Apareciendo en el Lo que hizo Bitcoin podcast con Peter McCormack, Gauthier comentó sobre la naturaleza de la infracción, afirmando que fue el resultado de un error en la pila de comercio electrónico de la empresa.

“Es una clave de API incorrecta que se codificó en el cliente de mapas para importar la base de datos de la tienda que se codificó en las ubicaciones incorrectas y, por lo tanto, se codificó donde no debería haber sido codificada y expuso la base de datos a un ataque simple, ”Explicó Gauthier.

En medio de las reacciones a la filtración, algunos expertos en ciberseguridad destacaron que el incidente fue otro indicio de la falta de implementación de cifrado por parte de los administradores de bases de datos en el almacenamiento de datos de los usuarios. El CEO de Ledger abordó la falta de cifrado en las claves de API, y agregó que fue un error honesto y no un intento deliberado de poner en peligro la seguridad del cliente al fallar en el hash de las claves de API.

Al comentar sobre la filtración, Ruben Merre, director ejecutivo del fabricante de carteras de hardware NGRAVE, comentó que el incidente reflejaba un rápido crecimiento entre las empresas de cifrado que se produjo a expensas de las consideraciones de seguridad. Añadió: “Tantas plataformas en línea son pirateadas, y no necesariamente debido a la habilidad de los piratas informáticos. A menudo, las plataformas simplemente tienen un mal gobierno de la seguridad, y mucho menos una implementación «.

‘Scareware’ y otros factores de riesgo

La filtración de datos ha desencadenado otra ronda de ataques de phishing cuando los actores deshonestos, ahora armados con los correos electrónicos de los usuarios de Ledger, intentan engañar a los clientes de la billetera para que revelen su frase inicial de 24 palabras. Incluso antes del volcado de datos, estos correos electrónicos falsos eran algo habitual.

Sin embargo, la exposición de números de teléfono y direcciones personales potencialmente abre a los usuarios de Ledger a más factores de riesgo. Algunos usuarios han informado de intentos de ataques de intercambio de SIM en sus números con el pirata informático supuestamente tratando de comprometer los protocolos de autorización de dos factores.

Los inversores en criptomonedas han sido blanco de ataques de intercambio de SIM en el pasado. En junio, Richard Yuan Li fue acusado de conspiración para cometer fraude electrónico en relación con una serie de ataques de intercambio de SIM dirigidos a más de 20 personas.

Además de las vulnerabilidades de phishing y de intercambio de SIM, la fuga de datos también abre la posibilidad de que los factores de riesgo vayan más allá del scareware hacia el ámbito de los ataques físicos reales. De hecho, algunos usuarios afectados por el incidente afirman haber recibido mensajes amenazantes solicitando pagos o arriesgarse a posibles invasiones de viviendas.

El CEO de Ledger ha reconocido la posibilidad de ataques físicos como resultado de la supervisión de la compañía y también ha asegurado a los usuarios que sus dispositivos de billetera de hardware contienen varios protocolos de protección para protegerse contra el robo de fondos. Entre estas medidas de seguridad se encuentra el uso de entradas de código PIN incorrectas para formatear dispositivos o una segunda contraseña que muestra una cuenta ficticia, dejando los fondos reales del propietario a salvo de los malos actores.

Además, el consenso entre los expertos en seguridad en las redes sociales es que los consumidores deben usar direcciones de apartados postales u otros lugares públicos de recogida en lugar de sus direcciones de casa reales para artículos sensibles como una billetera de Ledger. Para aquellos con números de teléfono comprometidos, la mejor línea de acción parece ser obtener un nuevo número y usar una nueva dirección de correo electrónico para comunicar el cambio a contactos importantes.

Si bien los clientes afectados continúan lidiando con las consecuencias de la fuga, Ledger dice que está trabajando para prevenir sucesos futuros. En una declaración a Cointelegraph, la compañía declaró:

“Estamos haciendo todo lo que está a nuestro alcance para detener estos ataques y evitar situaciones como esta en el futuro. Ledger cuenta con un conjunto de medidas para proteger a nuestros usuarios de ser víctimas de ataques de phishing. Hemos creado una página web que comparte la anatomía de los ataques de phishing para que los usuarios puedan evitar enamorarse de ellos e informar sobre nuevos ataques «.

Los usuarios afectados amenazan con emprender acciones legales

Algunos usuarios afectados comenzaron a abogar por acciones legales contra Ledger inmediatamente después de la filtración informada. Incluso hay un subreddit de «fuga de billetera Ledger» en la plataforma Reddit, donde los usuarios están discutiendo posibles modalidades para una demanda colectiva.

Con su sede en París, Ledger se rige por las leyes de la Unión Europea. En noviembre, el Parlamento Europeo adoptó enmiendas legislativas que permitirán a los clientes de la UE entablar demandas colectivas contra empresas que operan en la región en los próximos dos años.

Según la sentencia de la época, una vez promulgada, se pueden entablar demandas colectivas contra empresas que operan en la UE por casos que involucren servicios financieros, turismo y protección de datos, entre otros.

Los clientes de Ledger en la UE necesitarán un organismo de protección del consumidor calificado o alguna otra entidad reconocida para representar a los reclamantes. Sin embargo, a diferencia de las leyes estadounidenses, los daños punitivos de las demandas colectivas de la UE se limitan a las pérdidas reales incurridas por la clase de demandantes.

Además de que los clientes presenten una demanda contra la empresa, la filtración de datos también podría constituir una violación de la privacidad a los ojos de los reguladores europeos, específicamente bajo el Reglamento General de Protección de Datos de la UE. En tales situaciones, la UE tiene la capacidad de multar a Ledger hasta el 4% de sus ingresos.

De hecho, dado que el CEO de Ledger admitió que la compañía anonimizó los datos de los usuarios de manera incorrecta, la compañía podría ser objeto de escrutinio por parte de los funcionarios de la UE. El considerando 26 del GDPR obliga a todas las empresas a garantizar la eliminación completa de toda la información que pueda identificar a los usuarios de su caché de datos almacenados o procesados.