Los representantes de Ledger y Trezor supuestamente hackeadas niegan rotundamente las acusaciones, afirmando que la vulnerabilidad fue arreglada hace años.
Antilavadodedinero / Cointelegraph.com
Según un informe de un portal web de vigilancia en línea, Under the Breach, un hacker pudo penetrar en los protocolos de privacidad de importantes empresas como Trezor, Ledger y Bnktothefuture el 24 de mayo y se llevó consigo una gran cantidad de datos confidenciales de los clientes, como direcciones de correo electrónico, direcciones de domicilio y números de teléfono.
Los documentos publicados por Under the Breach, de las empresas Ledger, Trezor y Bnktothefuture afirmaban que el hacker estaba en posesión de tres grandes bases de datos que supuestamente contenían los datos de más de 80.000 clientes. A este respecto, también se rumoreaba que el pirata informático había podido obtener la información mencionada mediante un hackeo vinculado a Shopify, una empresa de comercio electrónico que presta sus servicios a varias empresas importantes de criptomonedas.
Ahora parece que esta supuesta violación de datos ha sido una gran falsificación, ya que muchas de las empresas vinculadas con el hackeo han afirmado que las afirmaciones de Under the Breach no se basan en ninguna prueba objetiva. Por ejemplo, un portavoz de Shopify le dijo a Cointelegraph: «Hemos investigado estas afirmaciones y no hemos encontrado ninguna prueba que las sustente, y ninguna evidencia de algún comprometimiento de los sistemas de Shopify«.
Del mismo modo, el equipo de seguridad de Ledger se movió para disipar los temores de los clientes de que sus fondos pudieran estar en peligro. La empresa publicó una detallada entrada en su blog en la que se afirmaba que el rumor de que los datos del cliente filtrados procedían de la tienda electrónica de Ledger era un engaño y que el equipo de seguridad de la empresa había investigado los datos de la muestra y había confirmado que no coincidían con la información de sus clientes.
Por último, al abordar las preocupaciones relativas a la afirmación del hacker de que pudieron acceder a la base de datos de clientes de Ledger mediante una explotación de Shopify en 2016, el equipo de seguridad del fabricante de carteras de hardware declaró que, si bien Ledger emplea actualmente a Shopify como proveedor de terceros para sus operaciones de comercio electrónico, no ocurría lo mismo en 2016.
Las empresas desacreditan la supuesta infracción
Para tener una mejor visión de todo lo que ha sucedido desde que el rumor del hackeo se hizo viral en línea, Cointelegraph se puso en contacto con Matthieu Riou, director técnico y cofundador de BlockCypher, una plataforma optimizada para la nube que alimenta aplicaciones Blockchain que supuestamente tienen sus datos comprometidos. Riou afirmó que después de realizar un análisis exhaustivo del asunto, su equipo llegó a la conclusión de que la fuga en cuestión tenía más de cuatro años y que simplemente se estaba recirculando. Aclaró además:
«Por ejemplo, el número de registros reportados por el hacker (2358 usuarios) es particularmente revelador. Afortunadamente ahora tenemos bastantes más usuarios que eso. Pero este número es consistente con una fuga de datos de marzo de 2016 que tuvimos en un sistema más antiguo y que fue reconocida en su momento».
No sólo eso, Riou también señaló que desde la filtración de 2016, el equipo de desarrolladores de su empresa ha reescrito completamente su aplicación web de gestión de usuarios y tokens de la API desde cero, como resultado de lo cual los usuarios han tenido que volver a registrarse en la nueva plataforma con una contraseña diferente. Añadió: «Hemos estado funcionando en la nueva plataforma mejorada durante varios años y no hemos tenido ningún problema. No podemos hablar de la severidad o rectitud de los datos volcados originados por otras empresas.»
Este sentimiento fue repetido por Peter Vecchiarelli, director de operaciones de Augur, un protocolo de apuestas descentralizado del que el hacker afirmó haber comprometido y robado los datos de los clientes. Vecchiarelli declaró que la lista «filtrada» asociada a Augur era la misma que supuestamente adquirieron los hackers en 2016. Señaló que al realizar una prueba de referencias cruzadas, su equipo descubrió que la lista filtrada no coincidía con ninguna de las listas de correo electrónico privadas de Augur para marketing o venta masiva, y que era simplemente una lista descargada de todas las personas que habían configurado sus direcciones de correo electrónico para que fueran «visibles públicamente» desde un canal anterior de Slack operado por la empresa.
Por último, Marek Palatinus, director general de SatoshiLabs – la empresa que está detrás de las diversas carteras de hardware de Trezor – dijo a Cointelegraph que es importante que la gente entienda que la «violación de datos no es legítima» y consiste principalmente en información que es fabricada. Por ejemplo, señaló que la tienda electrónica de Trezor no funciona con Shopify y que la empresa utiliza un protocolo de anonimización para reducir al mínimo el impacto de posibles violaciones de datos como ésta. Además, Palantus declaró:
«Incluso si los datos se filtraran desde cualquiera de las tiendas electrónicas de las partes mencionadas, las claves secretas de la cartera de hardware no quedarían expuestas, por lo que el hacker o cualquier otra persona potencial que se apodere de la base de datos no tendrá acceso a sus claves secretas almacenadas en una cartera de hardware. Trezor no recoge ningún dato de tu cartera de hardware o aplicación de la cartera Trezor».
Las aclamaciones de hackeos a exchanges son basura
Otro aspecto de esta reciente violación de datos es que el hacker afirmó haber obtenido una gran cantidad de información de clientes de importantes exchanges de criptomonedas y plataformas de inversión como Coinigy, BitSo y Plutus.
Cointelegraph habló con el cofundador de Coinigy, William Kehl, quien declaró que una de las cuentas de terceros de Coinigy, Stripe, fue comprometida en 2016, y como resultado, un atacante pudo acceder a información relacionada con más de 500 clientes. Estos datos incluían los últimos cuatro dígitos de los números de las tarjetas de crédito de los clientes, sus nombres y sus direcciones junto con los correos electrónicos asociados. Sin embargo, como parte de la infracción mencionada, Kehl sostiene que ninguna de las bases de datos internas de Coinigy -incluidas las cuentas de usuario, las contraseñas o las claves de la API- se vio comprometida. Añadió:
«Fuimos alertados inmediatamente del incidente cuando ocurrió, e inmediatamente bloqueamos estas cuentas y toda nuestra plataforma, requiriendo a todos los usuarios que realizaran una completa auditoría de seguridad, incluyendo, pero no limitándose a nuevas contraseñas y claves de API antes de que pudieran volver a acceder a la plataforma. Una vez más, lo que ves ofrecido por el ‘hacker’ no fue adquirido de nuestra base de datos, sino a través del acceso momentáneo a algunos servicios de terceros que utilizamos».
Del mismo modo, en relación con los rumores que rodean al hack, un portavoz del exchange mexicano Bitso dijo a Cointelegraph que tras investigar esta supuesta amenaza, el equipo de seguridad de la empresa no ha encontrado nada fuera de lo común. Añadió:
«Activamos los protocolos preestablecidos para revisar este potencial evento, y estaremos informando a los usuarios. Por el momento, no hemos encontrado pruebas de que un tercero tenga suficiente información para acceder a las cuentas de nuestros clientes».
Los mismos pensamientos fueron reflejados por David Morrison, gerente comunitario de Plutus, una empresa de criptomonedas y tecnología. Morrison declaró que después de haber investigado varios posibles vectores de ataque, el equipo de seguridad de su compañía no pudo encontrar ninguna evidencia de un intento de hackeo. Dijo: «Hasta ahora no hemos encontrado ninguna evidencia sólida de intentos de hackeos exitosos. A pesar de ello, estamos tomando todas las precauciones posibles e informando a nuestros clientes apropiadamente«.
Adelantándose a los acontecimientos
El 19 de mayo, BlockFi informó de una violación de datos que se produjo debido a un ataque de intercambio de tarjetas SIM, que tuvo como consecuencia que los datos de los clientes en poder de la empresa se vieran comprometidos, como nombres completos, direcciones de correo electrónico, fecha de nacimiento y direcciones físicas. Del mismo modo, Etana, una empresa de custodia que presta servicios exchange de criptomonedas Kraken, también fue víctima de una violación de datos similar el mes pasado.
Aunque, según se informa, los fondos de los clientes no se vieron afectados en modo alguno en los casos mencionados, siempre que una historia sobre alguna plataforma se ve comprometida, la gente tiende a llegar a la peor conclusión de inmediato.