El grave tropiezo de Coinbase con la seguridad de los datos de sus usuarios ha encendido las alarmas y puesto sobre la mesa un debate candente referente al KYC. Como informamos en islaBit, hace unos días Coinbase fue objeto de un intento de extorsión por 20 millones de dólares. Este incidente no fue un ataque externo complejo, sino que se originó desde dentro: ciberdelincuentes sobornaron a varios de sus agentes de atención al cliente para acceder a los sistemas internos.
Como resultado, quedó expuesta una cantidad, según Coinbase limitada, de datos de cuentas de usuario. La información comprometida es para echarse a temblar: nombres, direcciones, números de teléfono, correos electrónicos, los últimos cuatro dígitos de los números de Seguro Social, algunos identificadores de cuentas bancarias, licencias de conducir, pasaportes e incluso instantáneas de saldos e historial de transacciones.
Aunque el intercambio de criptomonedas se negó a pagar el rescate, sí anunció planes para reembolsar a los usuarios que fueron engañados para enviar criptoactivos a estafadores de phishing debido a esta brecha, estimando gastos que podrían oscilar entre 180 y 400 millones de dólares. Como medida reactiva, también dijeron que despedirían a un grupo de agentes de atención al cliente ubicados en India, presuntamente involucrados. Este suceso provocó una caída inicial del 7% en las acciones de Coinbase (COIN), aunque luego se recuperó. También recordemos que hace poco COIN entró en la lista del S&P 500.
Repercusiones legales y la confianza en juego
Como era de esperar, la reacción no se hizo esperar y a Coinbase le llueven las demandas. Entre el 15 y el 16 de mayo, se presentaron al menos seis acciones legales contra la empresa. El denominador común de estas querellas es la acusación de que Coinbase no mantuvo protocolos de seguridad lo suficientemente estrictos para proteger la información personal y que su manejo de las secuelas fue, por decirlo suavemente, deficiente.
Una demanda presentada en Nueva York por Paul Bender sostiene que la compañía falló en proteger datos sensibles de millones de usuarios y que su respuesta fue «inadecuada, fragmentada y tardía». Los usuarios, según esta acción legal, no fueron informados completa ni prontamente, y Coinbase no tomó medidas inmediatas para mitigar otros daños.
Se argumenta que los afectados ahora encaran una «amenaza sustancial, inmediata y continua de robo de identidad y fraude financiero», con consecuencias que podrían ser permanentes. Otras demandas replican estas afirmaciones, y una cuarta añade el concepto de enriquecimiento injusto, sugiriendo que Coinbase no invirtió lo suficiente en medidas de seguridad.
Mientras tanto, una quinta demanda, esta vez en California, pide compensaciones y exige que Coinbase purgue los datos sensibles de los demandantes y contrate auditores externos. Y por si fuera poco, un grupo de usuarios de Illinois ha presentado una demanda colectiva alegando que los controles de identidad de Coinbase, concretamente la recolección de huellas faciales para sus requisitos de «Conozca a su Cliente» (KYC), violan la Ley de Privacidad de Información Biométrica (BIPA) del estado. Alegan que no fueron notificados adecuadamente sobre la recopilación, almacenamiento o compartición de sus datos biométricos, ni sobre el propósito y el cronograma de retención de dicha información.
¿Nuevas opciones de verificación?
Estos incidentes, donde los platos rotos los pagan los clientes sin tener vela en el entierro, están llevando a muchos, incluidos ejecutivos de criptomonedas e inversores con un patrimonio considerable, a tomarse más en serio la seguridad personal. Y no es para menos con noticias sobre intentos de secuestro a personas del sector y un aumento generalizado de la preocupación.
Jethro Pijlman, de Infinite Risks International, confirma un incremento en las consultas y solicitudes proactivas de inversores en criptoactivos. Incluso Coinbase reveló haber gastado 6,2 millones de dólares en seguridad personal para su CEO el año pasado. Y más recientemente, intentaron secuestrar en París a la hija de un intercambio de criptomonedas local, por suerte y por la ayuda de los vecinos, evitaron el suceso.
Todo este embrollo plantea una pregunta: ¿es adecuado el actual sistema de control KYC, o necesita una urgente una revisión/cambio? Los reguladores, obviamente, desean mantenerlos, a menudo con un ojo puesto en que nadie evite pasar por caja en vez de la prevención del uso ilícito. Sin embargo, la realidad es que estos sistemas están ocasionando más brechas de seguridad para los usuarios que la protección que tanto pregonan.
Ante este panorama, aparecen alternativas de conocimiento cero para el KYC (zkKYC). Estos métodos permiten que la información personal confidencial permanezca resguardada mientras se cumple con los requisitos regulatorios, sin sacrificar la privacidad del usuario. El gran problema, como siempre con las tecnologías emergentes, es la lentitud con la que los gobiernos y las entidades regulatorias las comprenden y se adaptan, dictando a menudo normativas que, lejos de beneficiar, perjudican al consumidor, quien luego queda desamparado ante los problemas derivados. ¿O tú qué opinas?