Los hackers de “sombrero blanco”, aparentemente, están siendo despojados de sus cuentas de Coinbase.

Hace aproximadamente un año, Vinny Troia, CEO y consultor principal de seguridad de Night Lion Security y un hacker de “sombrero blanco” certificado, se le fue enviado un formulario de cumplimiento por la plataforma de canje en Bitcoin, Coinbase, donde él tenía una cuenta.

Coinbase quería saber como Troia estaba usando Bitcoin y su cuenta.

“Les dije que yo dirijo una firma de seguridad. Pago por ransoms y compro documentos en la darkweb cuando el cliente lo solicita” dijo Troia a CoinDesk.

Los ransoms con los que Troia ayuda a sus clientes son aquellos que vienen del ataque de ransomware, los cuales han surgido en los últimos años. Muchos de ellos, como el bien conocido WannaCry, piden pagos en Bitcoin. Y los documentos?

Publicidad

Troia dijo:

Muchas veces quebrantamos investigaciones. Si un estafador dice que está vendiendo los documentos robados de mi cliente, la única forma de saber que es verdad lo que dicen es comprando esos documentos”.

De acuerdo con Troia, a Coinbase “esto no le gustó del todo”.

Luego Coinbase pregunto al experto si él tenía una carta o algún permiso del Departamento de Justicia que le diera permiso para realizar estas operaciones. A lo que Troia respondió que no. Después de una profunda investigación, Troia descubrió que tal permiso no existe.

Pero, “Mis clientes me autorizan para hacer esto” dijo Troia.

Coinbase envió a Troia un e-mail explicando que esas acciones están en contra de las reglas de la plataforma y que cerrarían su cuenta. Troia intentó creando una cuenta con la información de su esposa, pero también fue cerrada. Igual con la información de su hermano y de su madre e igual ambas cuentas fueron cerradas.

Su única opción?

El problema es que los ataques ransomware están en aumento, y la frecuencia de que estos pidan Bitcoin en vez de bolsas de dinero o sumas en dinero fiduciario también.

Los hackers de sombrero negro aman Bitcoin, primeramente porque sus billeteras no tienen que ser registradas con un intermediario central, y con el uso de estrategias de anonimato, las transacciones pueden ser muy difíciles de rastrear.

El mes pasado, varias publicaciones reportaron compañías estaban acumulando Bitcoin como prevención de futuros ataques ransomware. De acuerdo con Citrix Systems, en 2016, aproximadamente un tercio de las compañías británicas están creando una reserva de monedas digitales para recuperar información importante en caso de un ataque.

Algunas veces, es la única opción.

Troia, el cual se ubica en Saint Louis, trabajaba con una distribuidora local a principios de octubre del 2016, la cual fue atacada con un cifrado de disco completo. En este caso, el cifrado de disco completo significa que los hackers codificaron toda la información contenida en el disco duro de la compañía. De acuerdo con Troia, casi ninguna compañía, incluyendo una que lo llamo por ayuda a las 2:00 am de un domingo, tenía un respaldo de disco completo.

Troia buscó rápidamente formas de comprar Bitcoin y pagar a los atacantes. Su solución: recoger dinero de la compañía y comprar Bitcoin en un cajero BTC en el Galleria Mall de Brentwood en ST. Louis.

Mientras el proceso tomo cerca de 24 horas, si el cajero BTC, pudo haber sido mucho mas tiempo mientras se esperan periodos entre transacciones y debido a los limites de retiro. Troia dijo que incluso intento con Localbitcoin, pero al ser domingo, las transferencias bancarias se harían efectivas la semana siguiente.

“Cuando alguien tiene que pagar un ataque ransom, deben pagar lo más rápido posible, no cuatro días después. Las consecuencias de esperar afectan la reputación del negocio, con los clientes intentando acceder al sistema sin que esto sea posible. Y puede haber un gran impacto financiero para los clientes en esa situación”

Presión de la regulación

Parece casi anti-ético que se vuelva más difícil para los “chicos buenos” usar Bitcoin, cuando compañías como Coinbase que operan con monedas digitales tienen una creciente batalla para convencer a personas, compañías y gobiernos que las monedas digitales no tienen la culpa de los usos ilícitos que tiene.

Pero, de acuerdo con Juan Lianos, un experto en sumisión de monedas digitales y líder de ConsenSys, todo es parte de la misma batalla.

“Coinbase está conociendo las expectativas y estándares de cualquier altamente regulada y  escudriñada institución financiera. Ellos son una parte sistemáticamente importante y están respaldados por grandes inversionistas. Todos ellos son, como necesitan ser, conscientes de los riesgos de reputación y de regulación de asociarse con noticias negativas y operadores con malas intenciones. Es un tema de bastante controversia”

Aparentemente. El grupo de defensa sin fines de lucro, Coin Center, publicó fuertes opiniones el mes pasado sobre una presentación en un tribunal que sugería que ayudar a alguien a realizar los pagos de un ataque ransomware debería ser ilegal.

Coin Center negó comentar esta historia, a través de Neeraj Agrawal, Director de comunicaciones de Coin Center, dijo: “La decisión que Coinbase o que cualquier otra compañía haga sobre quien puede y quien no usar sus plataformas es un asunto interno de esas compañías”

Traída contra Coin.mx, la presentación del tribunal estableció que la plataforma violó la ley anti-lavado de dinero “Conscientemente procesaron y se beneficiaron de numerosas transacciones con Bitcoin dirigidas a victimas de esquemas ransomware”.

Las acciones judiciales obviamente hicieron que otros tomaran precauciones.

“No los culpo” dice Llanos.

Aunque, mientras las agencias federales para el cumplimiento de la ley normalmente advierten a negocios de EE. UU. en contra de pagar ransoms digitales, pero en octubre de 2015, el agente del FBI, Joseph Bonavolonta dijo que los ejecutivos de negocios nivel-C que puede que sea mejor sucumbir ante los atacantes y pagar a cambio de la información.

Coinbase hizo un pequeño comentario referente a esta situación.

“Nosotros trabajamos con terceros y ellos necesitan estar seguros de que acatamos con los tipos de negocios y actividades con los que ellos estén conformes y que nosotros podemos ofrecer” dijo David Farmer, director de operaciones de negocio de Coinbase.

Farmer también envió un enlace a los términos y condiciones y la lista de actividades prohibidas en la plataforma. Mientras que ninguno de estos documentos establece algo especifico sobre el “hacking de sombrero blanco” o ransomware, la lista de negocios prohibidos si establece que es “representativo, pero no minucioso”.

Esto da a Coinbase el derecho de eliminar cualquier cuenta que represente un riesgo para su plataforma.

No digas nada

Troia no es el único consultor de seguridad que esté realizando este tipo de trabajos a petición de sus clientes.

Aunque, en primer lugar él no sabe exactamente porqué su cuenta fue etiquetada por actividades sospechosas . En este enfoque, él piensa que las cuentas a las que envió pagos ransom ya deben haberlas etiquetado como problemáticas.

“Nunca podré descubrirlo. Posiblemente lo máximo que llegué a canjear fue un Bitcoin completo, literalmente uno. Nunca tuve un volumen alto de comercio”.

Troia recientemente intentó llegar a los ejecutivos de Coinbase, incluyendo al CEO Briang Armstrong, explicando la situación, y que teóricamente el pudo haber mentido para mantener su cuenta, esperando que la verdad pueda hacerle ganar algunos puntos.

Vía e-mail, Armstrong dijo que revisaría la situación y envió el e-mail al equipo de soporte.

Al día siguiente, Troia recibió una respuesta del equipo de soporte, diciendo que profundizarán la inspección, él aun no podía abrir su cuenta, fuera por negocio o por asuntos personales. Esto no parece que vaya a cambiar.