BlockFi, un proveedor de préstamos de criptomonedas, informó el martes que sufrió una violación de datos que puede poner a algunos de sus clientes en peligro físico.

Según su informe de incidentes, algunos de los datos de clientes de la compañía se violaron a través de un ataque de intercambio de tarjeta SIM realizado a uno de sus empleados.

Los atacantes robaron con éxito la cuenta de correo electrónico y el número de teléfono utilizados para el procedimiento de verificación de la cuenta del empleado, lo que les permitió acceder a los registros de BlockFi.

Los ataques de intercambio de SIM son el resultado de vulnerabilidades del operador de red y generalmente se realizan a través de conspiradores con acceso al equipo de la red telefónica, aunque también son posibles las técnicas de intrusión externa. Este tipo de ataque fue causante de varios robos de exchanges de alto perfil, pero generalmente apuntan a los propios clientes.

Los atacantes supuestamente intentaron retirar fondos de clientes directamente, pero los intentos no tuvieron éxito, dice BlockFi.

Sin embargo, los atacantes tenían acceso total a los datos del cliente utilizados como parte de los esfuerzos de marketing de BlockFi.

La compañía enfatizó que no se filtró "información de identificación no pública", que incluiría números de cuentas bancarias, contraseñas o números de seguridad social.

Sin embargo, los hackers obtuvieron acceso a los nombres completos de los clientes, las direcciones de correo electrónico, las fechas de nacimiento y, en particular, la información de la actividad y las direcciones físicas.

¿Pueden las víctimas ser extorsionadas físicamente?

BlockFi afirma que no existe una amenaza para los fondos en BlockFi de los clientes, y escribe: "Debido a la naturaleza de la información que se filtró, no creemos que exista ningún riesgo inmediato para los clientes de BlockFi o los fondos de la compañía".

Sin embargo, los datos de domicilio y actividad pueden exponer a los usuarios afectados a extorsión y robo físico.

BlockFi no reveló qué tipo de datos de actividad se incluyeron en estas bases de datos y se negó a responder la consulta de Cointelegraph sobre el tema, refiriéndose al reporte total del incidente.

Un portavoz no identificado solo agregó: "no hemos recibido más indicios de que un tercero no autorizado haya alterado la información a la que se accedió en este momento".

Sin embargo, es fácil creer que simplemente leer los datos de la actividad permitiría a los atacantes conocer el tamaño de la cuenta del cliente y las promesas de garantías. Este tipo de datos es crucial para cualquier campaña de marketing dirigida.

Además, la política de privacidad de BlockFi establece explícitamente que esta información está disponible para uso de marketing:

“Podemos utilizar su información personal e información sobre cómo utiliza nuestros servicios para enviarle información promocional y de otro tipo. También podemos usar su información personal para realizar un análisis con respecto a su uso de nuestros servicios y productos y la efectividad de nuestras iniciativas de marketing".

La conexión entre la dirección de la casa, la actividad de los clientes en la plataforma y sus datos de identificación podrían permitir a los delincuentes apuntar con precisión a las víctimas de este ataque para extorsionarlos por sus criptomonedas.

Este tipo de robo no es desconocido, ya que un hombre de Singapur habría sido secuestrado en enero y obligado a transferir las criptomonedas en su poder.

Se reportaron casos similares en 2017, en particular el secuestro del director del exchange de criptomonedas Exmo en Ucrania. También se informó que India tuvo varios de esos casos ese año.

El caso de las finanzas anónimas

Un desarrollador core de Ethereum aprovechó la ocasión para encomiar el anonimato de las finanzas descentralizadas basadas en blockchain y dijo: "¿los detractores finalmente comenzarán a entender el punto de las DeFi en Ethereum?"

Si bien las DeFi conllevan un conjunto diferente de riesgos, las consecuencias de las violaciones de datos en plataformas centralizadas que contienen datos de Conozca a su Cliente podrían ser catastróficas.

Sigue leyendo: