Hackear a Bitso: el regreso de un zombie
José Soto Galindo
11 junio, 2020
Una analepsis es una figura retórica de la literatura que se utiliza para presentar escenas del pasado rompiendo la secuencia cronológica de la obra. En inglés puede compararse con el flashback. Y es justo lo que ocurrió por estos días con la narrativa sobre Bitso, el gran operador de criptomonedas de México y uno de los actores fintech más profesionales y experimentados del mercado local. El 17 de mayo un supuesto hacker puso a la venta documentos con datos personales de clientes de Bitso. La noticia llegó con retraso de 4 años: Bitso confirmó que sufrió una vulneración a sus bases de datos, pero que se trató de un incidente ocurrido en 2016 “que fue analizado y atendido” en su momento, que la información vulnerada pertenecía a clientes registrados antes de junio de ese año, que los datos filtrados eran insuficientes para “ingresar a las cuentas” y, lo más importante, que los fondos estaban asegurados.
“Nuestro compromiso con la seguridad de la información y fondos de nuestros usuarios siempre será prioridad”, informó un ejecutivo de Bitso en el blog de la compañía en Medium.
La aparición inesperada del hacker y la confirmación posterior de un viejo hackeo llegaron como una analepsis, como un flashback sobre la historia de Bitso, una plataforma para la compraventa de 9 monedas digitales: bitcoins, litecoins, ethers, trueUSD, manas, BATs, golems, DAIs y XRPs. La pandemia había opacado la celebración pública por la autorización de NVIO Pagos México como la primera fintech regulada por la nueva ley para entidades financieras de base tecnológica, una autorización que da el aval a esta compañía ligada con Bitso para realizar transferencias electrónicas, emitir tarjetas y operar remesas nacionales o hacia el extranjero.
El coronavirus también impuso un bajo perfil al análisis de Bitso sobre el crecimiento de las criptomonedas en el mercado de remesas a México (según la compañía, 6 de cada 100 remesas se realizan con criptomonedas), que al mismo tiempo servía como mensaje velado a sus competidores sobre la ferocidad con la que Bitso intentará ganar participación.
Y entonces llegó el hacker con datos de clientes de Bitso para ensuciar la narrativa de esta compañía tecnológica y confirmar que en la era digital y de ciberseguridad hay tres tipos de empresas: las que ya fueron hackeadas, las que van a ser hackeadas y las que lo serán por segunda, tercera o cuarta vez.
En la vulneración de seguridad, informó Bitso en su blog en Medium, el o los responsables robaron 11 tipos de datos de 9,859 usuarios, entre los que destacan ID del cliente, nombre completo, correo electrónico, número de transacciones, volumen operado en los últimos 30 días y “balance” (sin aclarar si este concepto se refiere al saldo de los usuarios afectados al momento del hackeo o a sus estados de cuenta general).
A la publicación de Bitso le faltaron muchos detalles: ¿cuál fue el periodo de registro de los clientes afectados por el incidente de seguridad? ¿Cuántos documentos formaban la base de datos vulnerada? ¿Por cuánto tiempo estuvo activa la brecha de seguridad? ¿Se notificó del incidente las autoridades de protección de datos personales en México, el Inai? “La información con la que contamos hasta el momento es la publicada en el blog”, me respondió una vocera de Bitso consultada sobre el tema.
Un viejo zombie recuperó protagonismo en la narrativa corporativa de Bitso y obligó a la compañía a comunicar públicamente sobre un incidente olvidado en el cajón. De repente, una escena del pasado se cruzó en el camino, como una analepsis involuntaria. ¿Será el único zombie debajo de la alfombra?
Hackeos a empresas privadas
- Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
- Hackear a Rackspace (14 de diciembre, 2022)
- Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
- Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
- Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
- Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
- Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
- Lecciones del hackeo a iVoy (10 de agosto, 2020)
- Lecciones del hackeo a Bitso (11 de junio, 2020)
- Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
- Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
- Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
- Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
- ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
- Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
- Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
- Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
- Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
- Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
- Hackear las elecciones (9 de junio, 2017)
- Yahoo: Hit me, baby, one more time (24 de enero, 2017)
Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.
Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.
Comentarios
