El caso Coinbase pone en evidencia el lado oscuro del KYC

Recientemente, CriptoNoticias reportó que ciberdelincuentes lograron sobornar y reclutar a agentes de soporte de Coinbase, obteniendo datos personales de los usuarios del exchange. Coinbase reporta que la filtración de datos afectó a menos del 1% de las MTU (Monthly Transacting Users, o usuarios que realizan transacciones mensuales de Coinbase). También comentó que no se expusieron contraseñas, claves privadas ni fondos. Se trató, pues, de un prístino caso de ingeniería social que no requirió el empleo de complejos procedimientos técnicos.  

Sí se expusieron, en cambio, datos como nombres, direcciones, correos electrónicos, números telefónicos, imágenes de documentos de identidad y datos bancarios de miles de usuarios. La filtración ocurrida es suficiente como para ocasionar una pequeña epidemia de extorsión a usuarios en el ecosistema de Bitcoin y las criptomonedas. Mientras, Brian Armstrong, el CEO de Coinbase, se negó a pagar a los ciberdelincuentes, contribuyendo a la incertidumbre de los usuarios del exchange.  

El «Conoce a Tu Cliente» (KYC) tiene, pues, dos caras. Ambas problemáticas. Por un lado, permite autenticar la identidad de los usuarios, “asegurando” que los participantes sean legítimos y bienintencionados, en parte por miedo a la retaliación de parte de autoridades gubernamentales y del mismo exchange. El bien y la corrección individual pueden practicarse por convicción, pero también por miedo. No hay que olvidar que la aparente eficacia de este control de masas puede emplearse para atrapar delincuentes, aunque también usarse de manera injusta y distorsionada contra individuos con derechos y libertades plenas. 

La otra cara, sin embargo, no es menos problemática. Primero, porque el KYC implica la existencia de una base de datos centralizada, vulnerable a un solo vector de ataque, lo que no resulta afín al espíritu distribuido de Bitcoin. Este único vector de ataque fue explotado manipulando a empleados internacionales del exchange.  

Si, generalmente, la amenaza se siente venir del Estado y de las grandes corporaciones como Coinbase, la filtración de bases de datos tan sensibles deja también al usuario a merced de ciberdelincuentes extorsionadores. En medio de una guerra a dos bandos, como la sufrida por Job, el personaje bíblico.  

Pese a que Job le fue dado al final más de lo que perdió durante sus penitencias, este jamás pudo individualizarse completamente de la influencia de las dos fuerzas poderosas que luchaban a ambos extremos de su sí -mismidad, simbolizadas por Dios y su contrafigura rebelde. Lo mismo experimenta el individuo que sufre estas vulneraciones de su privacidad: la guerra de la información por el control sobre la identidad se pelea, a gran escala, allí donde el individuo particular no importa y es representado apenas como una notación abstracta. Dios y el diablo, Coinbase y un conglomerado de ciberdelincuentes, luchan entre ellos a escala celeste por dominar las piezas del juego (los individuos), y todo solamente para satisfacer sus intereses comerciales, legales o no. 

Por suerte, Coinbase prometió que va a reembolsar a los usuarios que perdieron dinero por las extorsiones. También prometió una recompensa de 20 millones de dólares a cualquier hacker de sombrero blanco o persona que colabore demostrablemente en llevar a los delincuentes a la justicia. Es lo mínimo que podrían hacer. 

No obstante, no hay anulación retroactiva que pueda recuperar esos datos personales de los usuarios; datos que no perdieron ellos, sino un intermediario que prometió protegerlos y atesorarlos. Tampoco hay garantía que los efectos no sean más letales a largo plazo, y que dichos actores fraudulentos no vendan esos datos a otros grupos peligrosos, y así sucesivamente. 

Incluso si el caso Coinbase no repercute económicamente en los usuarios afectados, todavía es posible que veinte años después del día fatídico, ciertas personas reciban en su bandeja de correo electrónico o por vía telefónica extorsiones incómodas y amenazantes. Asegurando, por ejemplo, poseer videos sexuales donde aparecen ellos y sus parejas, y exigiendo a cambio dinero en criptomonedas. Incluso cuando los extorsionadores no posean dichos videos, las personas vulnerables a la manipulación enviarán el dinero de “rescate”, lo que podría tener consecuencias financieras graves e incluso efectos perjudiciales en sus vidas personales. 

Coinbase está haciendo lo correcto: ofreciendo reembolsos, y tomando una actitud activa para la captura de los actores fraudulentos. 

Dicho esto, se agradecería, de parte de los exchanges de bitcoin y criptomonedas, Coinbase entre ellos, un mayor enfoque en la prevención de filtraciones; o como mínimo, un nivel de atención equivalente, en el cuidado de los datos personales, al que dedican al cumplimiento con Estados y gobiernos. 

Descargo de responsabilidad: Los puntos de vista y opiniones expresadas en este artículo pertenecen a su autor y no necesariamente reflejan aquellas de CriptoNoticias. La opinión del autor es a título informativo y en ninguna circunstancia constituye una recomendación de inversión ni asesoría financiera.