elmercado.mx. México, por Carlos Macías. La mañana del jueves 5 julio, la mayor casa de cambio (Exchange) de criptomonedas mexicana Bitso anunció la detección de un “ataque cibernético” en su plataforma.
Bitso informó que de inmediato activó uno de sus “protocolos de seguridad preestablecidos”. El protocolo consistió en desactivar todos los fondeos y retiros de criptomonedas para proteger los recursos de los usuarios.
Lo relevante es que todo indica que, “gracias a las acciones tomadas hasta ahora, todos los fondos de los usuarios están íntegros y seguros”, según consigna el comunicado de Bitso, difundido poco después.
A cuidar el SPEI
El tema de los posibles ataques cibernéticos en México despierta notable sensibilidad ahora, porque apenas en mayo pasado el sistema de transferencia electrónica interbancaria nacional (SPEI) había detectado la intrusión de ciber atacantes que vulneraron la plataforma, no del SPEI -por fortuna-, sino de los programas de interface que enlazaban a tres o cuatro instituciones bancarias hacia el SPEI. (Véase nuestra nota al respecto).
De inmediato, este mismo viernes 6 de julio, la Comisión Nacional Bancaria y de Valores de México extendió una alerta de seguridad para todo el sistema bancario (interconectado en sus operaciones por el SPEI), con la solicitud expresa de revisar y responder a cualquier irregularidad que sea detectada en transferencias interbancarias de fondos (SPEI).
Vale decir que la banca central nacional, el Banco de México, funciona como responsable de la plataforma del SPEI y hasta ahora -incluido el ataque de mayo- el SPEI ha funcionado sin alguna vulneración.
Nueva casta de atacantes cibernéticos
En la actualidad, los intentos para explotar eventuales vulnerabilidades en las plataformas financieras no son una excepción, parecen parte de la normalidad.
Debemos entender que el acceso en línea a las operaciones financieras individuales despierta apetitos renovados, y están fincados en el anonimato de una nueva casta de atacantes cibernéticos, quienes desde luego son entendidos en codificación y en sistemas de seguridad.
Probablemente los participantes no son otros, sino los propios colaboradores en el desarrollo de códigos para redes emergentes.
Los conocedores de la nueva economía -los actores emergentes de la criptoeconomía-, que han crecido con ésta, parecen convivir con ellos, lidian con sus intrusiones y les ponen cada vez grados más difíciles de superar.
En la criptoeconomía, las excepciones parecen regla
Vivimos una transición en las nuevas prácticas de uso y de consumo de productos en línea.
A diferencia de la clientela convencional del sistema bancario mexicano (los cuentahabientes), los usuarios de Bitso no parecen sobrereaccionar ante alertas emitidas por la Exchange. (Las alertas son habituales en casi todas las Exchanges del mundo).
Aún más, las Exchanges más recientes y exitosas son dirigidas y son propiedad de jóvenes; y éstos toman como práctica dirigirse personalmente con los clientes a través de las redes sociales, para hacerles saber de alguna irregularidad y del eventual arreglo del problema.
Por lo demás, un indicador fiable de la alta tolerancia al riesgo que posee un usuario estándar de Exchanges, lo representa el apego a los activos virtuales incluso ante los severos altibajos que suelen experimentar los precios de las cripto.
Una de las ventajas de las nuevas prácticas que se van creando en la criptoeconomía, es que cada responsable de Exchange suele establecer comunicación personal por redes sociales (y en Medium) con sus usuarios, sobre los eventuales inconvenientes y, en su caso, sobre las noticias positivas del intercambio. En el caso de Bitso, tanto Pablo González, como José Rodríguez y Daniel Vogel, entre otros.
El foco en las API’s
Casi cada semana nos enteramos de alguna noticia ocurrida en el mundo, donde intrusos buscan extraer ventajas de alguna vulnerabilidad detectada en las Exchanges.
Apenas el miércoles 4 de julio, hace dos días, una de las mayores Exchanges del mundo, Binance, había anunciado lo que -creemos- fue una irregularidad similar a la de Bitso (está por comprobarse). Se trata de la detección de inconsistencias en sus API´s (definidas en inglés como Application Programming Interface).
Es probable que en el caso de Bitso -como de Binance- se haya registrado alguna irregularidad en el funcionamiento del conjunto de sus API’s. Conviene señalar que todas las Exchanges funcionan con API’s.
Las API’s son códigos de programación, que sirven para integrar y compartir funciones; en este caso, la plataforma de intercambio posee y permite aplicaciones de terceros (aplicaciones comerciales, programas de gráficos y sistemas de punto de venta, entre otros).
Bitso, una Exchange
Bitso es el referente de Exchange de criptomonedas en México. La fundó Pablo González en 2014, luego una ronda de inversión por 2.5 millones de dólares. Pudo construir su infraestructura de la mano de la red más grande del mundo, encabezada por el inversor Barry Silbert y su Digital Currency Group.
Silbert mantiene asociadas a un enjambre de más de 50 casas de cambio de criptomonedas en diferentes países.
Barry Silbert es el típico evangelista de bitcoin (el beneficiario en grande de las primeras bifurcaciones mayores –hardfork-, la de Ethereum Classic, ETC, en el 2016), y hoy se distingue por haber formado lo que es quizá el mayor portafolios de fondos de inversión en criptomonedas en Wall Street, llamado Grayscale.
No es la primera vez
Bitso había detectado, según un comunicado del pasado 20 de junio, “un aumento en intentos de phishing a nuestros usuarios”.
Se trata de un tipo de fraude en internet que busca obtener claves de los clientes mediante engaño, por vía de correos falsos o vínculos en redes sociales.
Ello ha sido muy común en mensajes de twitter o Facebook (lo hemos visto en el caso de Waves y de Ethereum).
De acuerdo con Bitso, los hackers se aprovechan de cuentas que aún no han activado las funciones avanzadas de seguridad que ofrece la Exchange: en especial, la cada vez más imprescindible autenticación de dos factores, 2FA, que proporciona Google u otros proveedores confiables.
Binance en el oleaje emergente
La semana que termina, esta nueva casta de piratas obligaron también, por horas, al repliegue de Binance (dirigida por el hiperactivo Changpeng Zhao “CZ” ), que es ya quizá la casa de cambio de criptomonedas más activa del mundo, apenas fundada en el segundo semestre de 2017, pero que anuncia probables ganancias en el 2018 por mil millones de dólares en 2018 (aún con un mercado en pleno descenso).
Binance detectó un irregular funcionamiento de sus API’s el miércoles 4 de junio, el conjunto de códigos de interfase que permiten visualizar sus operaciones hacia otros usuarios.
En minutos, Binance y CZ tomaron medidas y respondieron con la remoción de todos los juegos de API’s de su plataforma, para la revisión y recreación de códigos y claves. La irregularidad fue detectada, luego reparada, y no hubo consecuencias.
Para la agenda Fintech
Este jueves le tocó sufrir a la mexicana Bitso. Cualquier agenda pública de seguridad informática, incluirá abordar este reto creciente con un enfoque integrado y de forma conjunta en el ecosistema.
Justo de modo coincidente, el mismo jueves 4 de julio, la Comisión Nacional Bancaria y de Valores de México dio a conocer los avances en la reglamentación de la ley Fitech.
Ha dado a conocer nuevos criterios, ya con distinción, para “Instituciones de fondos de pago electrónico” y para “Instituciones de Financiamiento colectivo”.
Así, la maduración del ecosistema Fintech (y, por tanto, del propio ecosistema cripto) está en proceso.
Fuentes: Con información de Bitso, Binance, CNBV, Digital Currency Group y Grayscale.
Imagen de la portada: Bitso en Medium: “Política de Listado de Divisas Digitales”, 19 de abril, 2018.
