Lectura 4:00 min
Hackear a Bitso: el regreso de un zombie
Una analepsis es una figura retórica de la literatura que se utiliza para presentar escenas del pasado rompiendo la secuencia cronológica de la obra. En inglés puede compararse con el flashback. Y es justo lo que ocurrió por estos días con la narrativa sobre Bitso, el gran operador de criptomonedas de México y uno de los actores fintech más profesionales y experimentados del mercado local. El 17 de mayo un supuesto hacker puso a la venta documentos con datos personales de clientes de Bitso. La noticia llegó con retraso de 4 años: Bitso confirmó que sufrió una vulneración a sus bases de datos, pero que se trató de un incidente ocurrido en 2016 “que fue analizado y atendido” en su momento, que la información vulnerada pertenecía a clientes registrados antes de junio de ese año, que los datos filtrados eran insuficientes para “ingresar a las cuentas” y, lo más importante, que los fondos estaban asegurados. “Nuestro compromiso con la seguridad de la información y fondos de nuestros usuarios siempre será prioridad”, informó un ejecutivo de Bitso en el blog de la compañía en Medium.
La aparición inesperada del hacker y la confirmación posterior de un viejo hackeo llegaron como una analepsis, como un flashback sobre la historia de Bitso, una plataforma para la compraventa de 9 monedas digitales: bitcoins, litecoins, ethers, trueUSD, manas, BATs, golems, DAIs y XRPs. La pandemia había opacado la celebración pública por la autorización de NVIO Pagos México como la primera fintech regulada por la nueva ley para entidades financieras de base tecnológica, una autorización que da el aval a esta compañía ligada con Bitso para realizar transferencias electrónicas, emitir tarjetas y operar remesas nacionales o hacia el extranjero.
El coronavirus también impuso un bajo perfil al análisis de Bitso sobre el crecimiento de las criptomonedas en el mercado de remesas a México (según la compañía, 6 de cada 100 remesas se realizan con criptomonedas), que al mismo tiempo servía como mensaje velado a sus competidores sobre la ferocidad con la que Bitso intentará ganar participación.
Y entonces llegó el hacker con datos de clientes de Bitso para ensuciar la narrativa de esta compañía tecnológica y confirmar que en la era digital y de ciberseguridad hay tres tipos de empresas: las que ya fueron hackeadas, las que van a ser hackeadas y las que lo serán por segunda, tercera o cuarta vez.
En la vulneración de seguridad, informó Bitso en su blog en Medium, el o los responsables robaron 11 tipos de datos de 9,859 usuarios, entre los que destacan ID del cliente, nombre completo, correo electrónico, número de transacciones, volumen operado en los últimos 30 días y “balance” (sin aclarar si este concepto se refiere al saldo de los usuarios afectados al momento del hackeo o a sus estados de cuenta general).
A la publicación de Bitso le faltaron muchos detalles: ¿cuál fue el periodo de registro de los clientes afectados por el incidente de seguridad? ¿Cuántos documentos formaban la base de datos vulnerada? ¿Por cuánto tiempo estuvo activa la brecha de seguridad? ¿Se notificó del incidente las autoridades de protección de datos personales en México, el Inai? “La información con la que contamos hasta el momento es la publicada en el blog”, me respondió una vocera de Bitso consultada sobre el tema.
Un viejo zombie recuperó protagonismo en la narrativa corporativa de Bitso y obligó a la compañía a comunicar públicamente sobre un incidente olvidado en el cajón. De repente, una escena del pasado se cruzó en el camino, como una analepsis involuntaria. ¿Será el único zombie debajo de la alfombra?