El primer día de noviembre se supo que el popular exchange de cripto derivados, BitMEX, había filtrado accidentalmente datos sensibles relacionados con sus usuarios, lo que ocurrió como resultado de que la empresa no aplicó un “protocolo de copia ciega” a sus servidores de correo masivo.

El lapso fue reconocido por la firma pocas horas después. La subdirectora general de operaciones de BitMEX, Vivien Khoo, emitió una declaración en la que afirmaba que BitMEX había enviado accidentalmente un mensaje a la mayoría de sus usuarios que contenía las direcciones de correo electrónico de otros usuarios en el campo "to", añadiendo:

"Lamentamos profundamente la preocupación que esto ha causado a nuestros usuarios. El problema fue causado por un error en el software utilizado para enviar correos electrónicos. Tan pronto como nos enteramos del problema, evitamos inmediatamente que se enviaran más correos electrónicos y desde entonces hemos abordado el problema para asegurarnos de que esto no vuelva a suceder".

Para empeorar las cosas, hackers desconocidos pudieron obtener el control de la cuenta oficial de Twitter de BitMEX por un corto tiempo después de la filtración. Mientras estaban en control, los malhechores pudieron publicar varios mensajes como: "Toma tus BTC y corre. Último día para retiros" y "hackeado" en la transmisión en vivo de la empresa.

En respuesta, el equipo de relaciones públicas de BitMEX procedió rápidamente a borrar estos mensajes y emitió una declaración en la que afirmaba que el hackeo no había puesto en peligro de ninguna manera la seguridad de los fondos de los clientes. En este sentido, una cuenta de Twitter llamada "Bitmexdatabaseleak", que ya ha sido suspendida, surgió a raíz del hackeo antes mencionado, supuestamente filtrando una gran cantidad de datos de clientes, tales como las identificaciones de usuario individuales y los correos electrónicos de muchos clientes de BitMEX.

Según Larry Cermak, director de investigación de The Block, el reciente compromiso de BitMEX con los datos coincidió con un volcado de correos electrónicos de alrededor de 30.000 direcciones en la Dark Web. Esto ha llevado a la gente a creer que algunos o todos los datos filtrados de los clientes podrían haber sido vendidos en línea a terceras personas ilícitas.

BitMEX desactivó temporalmente los retiros de los clientes que habían cambiado las contraseñas de sus cuentas o los detalles de seguridad tras la filtración de la dirección de correo electrónico. En el momento de redactar el presente informe, el exchange no ha respondido a una solicitud de Cointelegraph para comentar la situación.

Los retiros de Bitcoin en BitMEX no se verán afectados

Tras un fallo de seguridad tan importante, es razonable suponer que BitMEX habría tenido que enfrentarse a algún tipo de reacción por parte de sus clientes. Sin embargo, de acuerdo con los datos disponibles en línea, parece que el volumen total de retiros de BTC de la plataforma de operaciones el primero de noviembre - un día después de la filtración del correo electrónico - no se vio afectado en gran medida.

Jeffery Liu Xun, CEO de XanPool, compartió sus ideas con Cointelegraph sobre cómo una empresa de la talla de BitMEX podría permitir que ocurriera tal error:

"Dado que he recibido los correos electrónicos anteriores de Bitmex antes, sin este problema, es probable que esto se deba a que un novato del área de marketing interno cometió un GRAN error, o a que su proveedor de servicios de correo masivo se equivocó. Creo que es el primero porque servicios como MailChimp no cometen estos errores. Este asunto definitivamente no puede ser dejado de lado".

Luego procedió a agregar que, como resultado de los riesgos a la privacidad planteados por la filtración, los competidores de BitMEX ahora pueden enviar correos electrónicos masivos a sus clientes en un intento de pescarlos para sus plataformas. Además, Xun cree que un segundo riesgo más peligroso reside en el hecho de que la gran mayoría de las personas que hacen uso de las plataformas de operaciones no utilizan contraseñas complejas, por lo que los hackers serios ahora tendrán la opción de revisar sus repositorios de contraseñas para intentar acceder a las carteras de los usuarios desprevenidos a través de una gran cantidad de técnicas de infiltración basadas en permutaciones y combinaciones. Sobre el tema, añadió:

"Difundir los correos electrónicos de los usuarios es a menudo tan dañino como difundir sus contraseñas, ya que los hackers tienen grandes repositorios de contraseñas que la gente tiende a utilizar. Por último, la publicación de los correos electrónicos de sus usuarios también los abre a ataques de spam y phishing".

Los sentimientos de Xun fueron compartidos por Craig Russo, un inversionista de criptomonedas y propietario de Peer, una empresa nueva con sede en Boston detrás del popular medio de comunicación SludgeFeed. En opinión de Russo, toda esta situación ha sido un terrible fallo de seguridad por parte de BitMEX y afectará al exchange cada vez que se vea involucrado en algún tipo de controversia en el futuro. Se lo dijo a Cointelegraph:

"La confianza es primordial en esta industria y las consecuencias de un evento como éste probablemente perdurarán por un tiempo. Creo que en el corto plazo algunos inversionistas abandonarán la plataforma, pero en general, BitMEX puede recuperarse del incidente dada su participación en el mercado y los recursos a su disposición".

¿Qué sigue para BitMEX y sus usuarios?

Cada vez que se produce un fallo de seguridad de esta magnitud, es de suma importancia que la empresa en cuestión adopte medidas correctivas inmediatas para garantizar que la confianza de sus clientes permanezca intacta.

En este sentido, BitMEX publicó el lunes un artículo en su blog admitiendo que, si bien sus procesos internos habían fallado la semana pasada, la situación se había arreglado gracias al nuevo sistema interno de detección de errores de la compañía, capaz de manejar el renderizado, la traducción, la puesta en escena y el envío fragmentario de correos electrónicos importantes.

Según el proveedor de datos Skew, es probable que la información personal de 22.000 usuarios de BitMEX haya sido expuesta en línea. Esto, según Dovey Wan de Primitive Crypto, podría resultar en que el gobierno de los Estados Unidos hiciera uso de las direcciones de correo electrónico filtradas para investigar las declaraciones de impuestos de muchos individuos vinculados con BitMEX. El exchange no está registrado en la  Commodity Futures Trading Commission (Comisión de Comercio de Futuros de Commodity de Estados Unidos) y, por lo tanto, los estadounidenses no pueden participar en la plataforma.

Además, el IRS (el órgano tributario estadounidense) ha publicado recientemente un nuevo conjunto de reglas que requieren que los poseedores de criptomonedas reporten todas sus existencias de criptomonedas con un detalle meticuloso. Los propietarios de las criptomonedas están siendo gravados por cualquier ganancia de capital (así como por otras formas de ingresos) que puedan haber adquirido a través del intercambio o la tenencia de dichos activos digitales.

Relacionado: Auditorías de criptomonedas para el IRS estadounidense: ¿Contratar a profesionales o hacerlo nosotros mismos?

Por último, en cuanto a si BitMEX enfrenta la posibilidad de incurrir en alguna acción legal como resultado de esta debacle, Aaron Wagener, co-fundador y director de operaciones de la red global de datos descentralizada MXC Foundation, dijo a Cointelegraph que debido a los términos y condiciones establecidos por BitMEX en el momento de la incorporación de los clientes, cualquier acción legal potencial contra la firma podría resultar extremadamente difícil.

Wagener también agregó que, dado que la situación se produjo claramente debido a la falta de juicio humano, la cuestión más importante ahora girará en torno a BitMEX para garantizar la seguridad de sus usuarios, especialmente porque esta información ha pasado a ser de dominio público. Wagener continuó:

"Es extremadamente difícil decir simplemente que el tema ha sido controlado. Los usuarios se encuentran bajo la amenaza potencial de correos electrónicos de phishing, estafas y spam de una amplia gama de fuentes. Este es un tema que seguirá siendo una espina clavada en los usuarios durante bastante tiempo".

Sin embargo, Ray Walsh, experto en privacidad digital de la plataforma educativa ProPrivacy, cree que, bajo la General Data Protection Regulation (Reglamento General de Protección de Datos), la empresa podría enfrentar grandes multas. No sólo eso, sino que también señaló que la Federal Trade Commission (Comisión Federal de Comercio) podría muy bien iniciar una investigación, o que los usuarios de BitMEX podrían decidir entablar una demanda colectiva contra la firma por el mal manejo de sus datos personales. Walsh destacó además que parece que ya se está abusando de los datos:

"Después de la filtración, los usuarios de BitMEX recibieron correos electrónicos inusuales y no parece haber duda de que esos correos electrónicos fueron el resultado de la filtración. También parece que las direcciones de correo electrónico filtradas ya se han vendido en la Deep Web, lo que significa que los hackers más serios ahora intentarán robar las contraseñas de la gente para robar fondos en criptomonedas".

Sigue leyendo: