El afectado asegura que el exchange incumplió con sus políticas de seguridad, lo cual derivó en la sustracción de más de USD $9 millones en fondos Bitcoin.
***
Bittrex, la plataforma de intercambio internacional que registra uno de los mayores volúmenes de operaciones comerciales, actualmente afronta una demanda por parte de un inversionista, quien presuntamente perdió sus fondos a razón de una violación de seguridad.
De acuerdo con informes publicados, el inversionista Gregg Bennett presentó una demanda ante el Tribunal Superior del Condado King en Washington, alegando que Bittrex violentó sus propios protocolos de seguridad y no atendió con celeridad el caso que derivó en el robo de al menos unos 100 BTC (USD $9.315.000).
El ataque tuvo lugar durante el mes de abril de este año, y para ello los delincuentes vulneraron las medidas de seguridad a través del reemplazo de una tarjeta SIM de la operadora de telefonía móvil AT&T, con lo cual sustrajeron los datos de identidad de Bennett y se apropiaron de sus fondos alojados en Bittrex.
Según Bennet y sus abogados, Bittrex no actuó en conformidad con los protocolos de seguridad tras la notificación de Bennett, lo cual derivó en la pérdida de los fondos sustraídos minimizando las posibilidades de dar con el culpable y encontrar los activos correspondientes.
Bittrex responde
Aunque no hay una respuesta oficial en relación al caso de Bennett, el CEO del exchange, Bill Shihara, indicó que la plataforma maneja un sistema muy sólido para evitar brechas de seguridad, incluyendo sistema de autenticación de dos factores, y la confirmación a través de correo electrónico para las operaciones cuando son realizadas desde una dirección IP desconocida.
Shihara aprovechó el espacio para recordar a los usuarios que muchas de las violaciones de seguridad se dan del lado de las personas que operan en la plataforma, por lo que en el caso de lo ocurrido con las SMS recordó al público no confiar en el teléfono celular como método de seguridad único, ya que una vez hackeado este, todo es posible lamentablemente.
Al respecto, Shihara comentó:
Este problema requiere muchas soluciones y capas de seguridad… Siempre recordamos a los usuarios que no confíen ciegamente en sus teléfonos, ya que es posible que el dispositivo pase a control de otras personas”
¿Trabajo interno?
Otra de las hipótesis presentadas por Bennett apuntan a que posiblemente el hackeo derivó de un trabajo interno, y aunque no indica sobre quienes recaen sus sospechas, asegura que resulta muy extraño los cambios a su PIN de la cuenta y sus números de identificación asociados, información que solo la compañía proveedora del servicio de telefonía manejaba.
Un portavoz de AT&T, Jim Greer, reiteró que la compañía hace lo posible por mantener la seguridad de sus usuarios, pero también se hizo eco de las declaraciones de Shihara invitando a las personas a no depender de sus teléfono para la seguridad de sus activos de valor:
Los intercambios de tarjetas SIM hacen parte de un tipo de robo perpetuado por delincuentes sofisticados. Trabajamos conjuntamente con las autoridades y consumidores para detener y prevenir este tipo de delitos”
¿Negligencia del exchange?
Aclarando más detalles sobre el ataque, Bennett indicó que Bittrex incumplió sus dictámenes ya que no atendió debidamente ciertas irregularidades, como el hecho de que las operaciones fueron realizadas desde una dirección IP en Florida y desde un sistema operativo distinto al que habitualmente usa.
Además de lo antes mencionado, el exchange permitió a los delincuentes extraer 100 BTC de su cuenta, lo cual va mucho más allá de lo permitido sin más mecanismos de verificación. Además, los hackers también tomaron otras monedas digitales alojadas en su cartera, las cambiaron por Bitcoin a precios muy accesibles para compradores y las sustrajeron junto con el resto del capital.
En la cuenta quedaban otros fondos que los hackers no pudieron sustraer, ya que finalmente Bittrex respondió a los reclamos de Bennett y suspendió los retiros no autorizados desde la cuenta. Sin embargo el reclamo del afectado va dirigido a que los delincuentes modificaron sus contraseñas, a lo cual el exchange debía suspender retiros al menos por espacio de 24 horas, cosa que hacen otras plataformas como medida de seguridad.
De momento se desconoce si Bittrex en efecto tiene responsabilidad en la pérdida de los fondos o si restituirá los mismos al inversionista afectado.
Fuente: CoinDesk
Versión de Angel Di Matteo / DiarioBitcoin
Imagen de Pixabay
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.