El pasado 11 de mayo uno de los principales exchanges del mundo, Coinbase, sufrió una grave brecha de seguridad mediante un ataque externo, perpetrado mediante el soborno a agentes externos, principalmente de soporte, que proporcionaron acceso a información sensible de los clientes.
Los atacantes exigieron posteriormente un rescate de 20 millones de dólares a cambio de no divulgar la información robada, lo cual la plataforma de intercambio de criptoactivos se negó a hacer.
Filtración de datos
Entre la información comprometida se encuentran:
- Nombres, domicilios, números de teléfono y correos electrónicos.
- Imágenes de documentos de identidad y otros documentos oficiales.
- Últimos cuatro dígitos de números de seguridad social y números de cuentas bancarias enmascarados.
- Historial de transacciones y balances de cuentas.
- Documentación interna solo accesible para usuarios internos del Exchange.
Desde el punto de vista de Compliance y prevención de blanqueo de capitales, esta brecha de seguridad supone un incidente crítico con diversas implicaciones:
- Datos: La filtración de información personal y financiera, así como de los datos obtenidos mediante el KYC del Exchange implica un fallo grave en la seguridad de los datos, así como posibles riesgos en el cumplimiento de las normativas de protección de datos. Este es un punto clave del cumplimiento normativo y posiblemente el más afectado en este incidente.
- Gobernanza de terceros: Muchas veces la diligencia debida con terceras personas es el aspecto más descuidado en los manuales internos de los sujetos obligados, y en algunos casos incluso existe una ausencia de políticas que regulen la relación con estas personas. El uso de agentes de soporte del Exchange sobornados evidencia ciertos fallos en esta labor de diligencia debida, así como la necesidad de adecuar los procesos de evaluación de integridad, controles de acceso segmentado y supervisión de los contratistas, un punto fundamental en compliance.
- Blanqueo de capitales: Con la información robada, existe el riesgo de suplantación de identidad para fines de lavado de dinero ya que tradicionalmente estos datos se pueden utilizar para crear cuentas falsas, suplantaciones de identidad o canalizar fondos ilícitos.
Una vez identificado el daño y los posibles riesgos, cabe destacar un punto igual de importante, que es la respuesta al mismo y en esto podemos decir que la respuesta ha sido ejemplar, ya que en cuanto Coinbase tuvo conocimiento de la brecha de seguridad, lo comunicó públicamente y de manera transparente a las autoridades. Asimismo, el ataque no se produjo por un hackeo o un ataque especializado, sino que se realizó mediante sobornos a empleados y agentes a cambio de la información, algo notoriamente difícil de prevenir y además se despidió de manera inmediata a todo el personal involucrado.
Los ataques internos son muy difíciles de defender ya que por su naturaleza, los atacantes ya han traspasado el “perímetro de seguridad” del sujeto obligado y en muchas ocasiones el énfasis está en una respuesta rápida y tajante, confiando en que los controles internos diseñados por la compañía les den el menor acceso posible.
En este caso concreto, Coinbase estima que el coste del ataque será de entre 180 a 400 millones de dólares en compensaciones a sus clientes, sumado a cualquier sanción o multa que el regulador pueda considerar una vez se finalice la investigación.
Por eso mismo es indispensable contar con unas políticas internas bien definidas que garanticen el cumplimiento normativo, así como protocolos para regular el tratamiento con agentes externos y que gestionen la respuesta a diversos tipos de brechas de seguridad.
En ATH21 contamos con un equipo especializado que puede ayudarte a revisar tus políticas de cumplimiento y en asesorarte en como mejorarlas para un entorno regulatorio cada vez más exigente donde contar con dichas políticas actualizadas no es solo una necesidad sino una ventaja competitiva.
Dep. Compliance
SOBRE ATH21
ATH21 es la primera firma española de servicios legales integrales especializada en activos digitales y FinTech. Ofrecemos soluciones legales reales para los nuevos modelos de negocios, adaptándonos a cada proyecto, según la jurisdicción del momento en un entorno tan cambiante. Participamos en el desarrollo de proyectos internacionales basados en blockchain y activos digitales desde 2010.
Si quieres saber más sobre nuestros servicios o necesitas asesoría legal personalizada no dudes en escribirnos a hello@ath21.com
¿NECESITAS AYUDA?
En ATH21 tenemos un equipo legal y fiscal especialista en activos digitales. Si tienes cualquier pregunta no dudes en escribirnos y te ayudaremos en todo lo posible.
