Bitso confirma que información puesta en venta de sus usuarios corresponde a incidente del 2016

La plataforma mexicana de intercambio de criptomonedas Bitso informó que las bases de datos con información de sus usuarios que fueron puestas en venta por un presunto ciberdelincuente refieren a un incidente que la plataforma atendió en 2016, cuando “se filtraron datos de usuarios que abrieron cuentas en Bitso antes del 10 de junio de 2016”, lo que, según la plataforma, representa menos de 1% de sus usuarios actuales. 

La compañía añadió a través de una entrada en la plataforma Medium que los datos publicitados no incluyen información suficiente para poder ingresar a las cuentas de sus usuarios; además de que los usuarios afectados habían sido notificados.

“Tras una investigación por parte de nuestro equipo de ciberseguridad, no identificamos indicaciones de compromiso en la operación y sistemas actuales de Bitso. Sin embargo, pudimos relacionar la información publicada por Under the Breach con un incidente de seguridad de la información que ocurrió en junio de 2016, el cual fue analizado y atendido hace cuatro años. Es de vital importancia para nosotros recalcar que la información vulnerada en dicho evento no es suficiente para comprometer los fondos y las cuentas de los usuarios. Es decir, tenemos la certeza de que los fondos de los usuarios están seguros y que permanecen protegidos con los estándares de seguridad de mayor reconocimiento en la industria”, refirió la compañía fintech mexicana.

Bitso agregó que, después de la investigación que realizó, pudo tener “visibilidad exacta” de los usuarios afectados, por lo que tomó la decisión de alertar a los 9,850 usuarios que fueron parte del incidente lo mismo que a las autoridades.

Antes de esta última actualización de Bitso, la plataforma había asegurado a El Economista que se estaba tomando muy en serio la amenaza, por lo que su equipo de ciberseguridad se encontraba indagando la veracidad de la información publicada. La compañía añadió que no había encontrado evidencia de que un tercero tuviera información suficiente para poder acceder a las cuentas de sus clientes.

De acuerdo con Bitso, los datos que fueron filtrados en el incidente y actualizados hasta mayo 2016 incluyen:

1. Número de cliente
2. Primer nombre
3. Apellido
4. Correo electrónico
5. País de residencia
6. Idioma
7. Fecha de creación de cuenta
8. Fecha de último acceso
9. Número total de trades (transacciones)
10. Balance
11. Volumen de los últimos 30 días

¿Qué ocurrió?

El domingo 24 de mayo, Under the Breach publicó un conjunto de capturas de pantalla de lo que, en apariencia, es una serie de anuncios de venta de información perteneciente a distintas compañías orientadas en su mayoría al sector de las criptomonedas. Entre las ofertas enlistadas se encuentran tres bases de datos del exchange mexicano Bitso, con datos de 17,946 de sus usuarios, que incluyen balances de las cuentas, correos electrónicos y números de teléfono.

También se ofertan registros de 41,488 usuarios de la tienda electrónica de la compañía de carteras físicas Ledger, con nombre, dirección completa, número telefónico y correo electrónico; 27,185 registros de usuarios de Trezor, con nombres, dirección completa, número telefónico y correo electrónico.

Otra de las instituciones afectadas es la plataforma de inversión online BnkToTheFuture, de la cual el vendedor dice tener una base de datos SQL con información de con información de 34,546 usuarios. Algunas otras de las plataformas y empresas supuestamente vulneradas son el exchange coreano Korbit, las plataformas Blockcypher, Nimirum y Plutus; así como Ledger, Trezor y Keepkey, tres de las billeteras físicas (hardware wallet) más usadas, y la plataforma de inversión en línea BnkToTheFuture.

Bitso informa a sus usuarios

Bitso informó que “el domingo 24 de mayo, el sitio de monitoreo de delitos cibernéticos Under the Breach, publicó en Twitter, distintas capturas de pantalla en las que un presunto pirata informático alega contar con bases de datos de diversas empresas mundiales”. La plataforma mexicana añadió que esta información se trataba de un “rumor” que incluía a “otras empresas que ya han desmentido la veracidad de esta información”.

“Hemos activado los protocolos preestablecidos para revisar este potencial evento, ya que como entidad regulada, debemos descartar por completo este tipo de información”, escribió la plataforma en su cuenta de Twitter.

Ledger, ha informado a sus usuarios a través de Twitter que los fondos a los que tienen accesos usando la billetera física de esta compañía están a salvo. La empresa agregó que si la filtración es verificada, se habría tratado de una base de datos antigua, que incluiría correo electrónicos y direcciones postales, y que no afectaría los dispositivos o las criptomonedas de sus clientes.

Trezor ha sido contundente al afirmar, en una entrada dentro de la plataforma Medium, que: “La violación de la tienda electrónica de Trezor es un engaño”. La compañía basa esta rotunda afirmación en tres argumentos:

1. El contenido y la estructura de los datos filtrados no se corresponden con los datos de la tienda electrónica de Trezor y parecen fabricados. 
2. Trezor tiene protocolos sólidos sobre protección de datos que incluyen el anonimato de los datos de la tienda electrónica después de un período de 90 días a partir de la compra.  
3. Trezor e-shop no se ejecuta históricamente en la plataforma Shopify, que se mencionó como fuente de los datos filtrados. 

Ni Blockcypher, Plutus o BnkToTheFuture ni tampoco la plataforma de comercio electrónico Shopify han hecho comentario alguno respecto de este supuesto incidente.

Bitso también publicó algunas recomendaciones para fortalecer la seguridad de las cuentas de sus usuarios:

rodrigo.riquelme@eleconomista.mx

kg