La violación de datos de Coinbase alimenta el debate sobre los requisitos de KYC

Los recientes incidentes de violación de datos de Coinbase han provocado nuevas llamadas para eliminar los requisitos de conocimiento del cliente (KYC) en los intercambios de criptomonedas con licencia. En diciembre de 2024, los agentes ilícitos sobornaron a los representantes de servicio al cliente de la bolsa en el extranjero para obtener acceso a la información personal de 70 000 usuarios. En mayoCoinbaseCOIN--Admitió que los piratas informáticos habían obtenido datos, como fotos de identificación emitidas por el gobierno y direcciones de casa.

Los críticos argumentan que los requisitos de KYC, diseñados para frenar el fraude, el lavado de dinero y el financiamiento del terrorismo, se han convertido en un guardián defectuoso. En la práctica, los usuarios cotidianos terminan expuestos mientras que los atacantes determinados encuentran formas de eludir el sistema. Ilia Kolochenko, director ejecutivo de una empresa de ciberseguridad, señaló que cualquier persona puede generar un pasaporte o diploma estadounidense falso de una escuela de derecho líder, y es probable que el 50 % de las empresas con controles de identidad puedan eludirse mediante la inteligencia artificial generativa. En febrero de 2024, se informó que las personas pueden eludir con éxito los muros de verificación de KYC de los intercambios criptográficos mediante la generación de pasaportes usando IA. Después, en octubre de 2024, apareció otro servicio de IA para agregar una herramienta de generación de video para eludir las verificaciones de criptografía KYC.

En 2023, un conocido detective de blockchain compartió detalles de una demostración en la que eludió el sistema de verificación de Gate.io usando una identidad falsa bajo el nombre de un líder norcoreano. Dijo que le llevó solo unos minutos hacerlo. Esta demostración de verificación débil de KYC no fue única, resaltando las vulnerabilidades en el sistema actual. Lisa Loud, directora ejecutiva de una fundación, sospecha que sus datos personales se incluyeron en la violación de Coinbase debido a la creciente frecuencia de mensajes de spam sospechosos que ha recibido. Ella se considera afortunada en términos financieros, ya que no tiene mucho en el intercambio, pero está más preocupada por su información privada a la que los actores ilegales pueden obtener acceso.

Las prácticas de verificación de identidad (KYC) se originaron en la década de 1970, gracias a la Ley de Secreto Bancario de EE. UU., y se reforzaron de manera significativa después de los atentados del 11 de septiembre a través de la Ley PATRIOTA de EE. UU. bajo el Programa de Identificación de Clientes. «La criptomoneda surgió mucho después, pero cada vez más se basa en la verificación de identidad. Los actores ilegales pueden comprar identidades robadas o cuentas verificadas por el KYC en los mercados de la darknet o usar herramientas avanzadas, como IA, para evitar estas verificaciones a un costo mínimo. Algunos usuarios han pedido que se elimine el KYC y se reemplace por innovaciones modernas, como la tecnología de conocimiento cero (ZK). Esto permitiría que una parte demuestre a otra que la información es veraz sin necesidad de revelar datos subyacentes. En teoría, podría permitir a los reguladores marcar sus casillas de cumplimiento mientras que los usuarios mantienen su privacidad.

Pese al incidente de seguridad, Kolochenko dijo que la verificación previa de identidad continuará existiendo más allá de las fronteras, a pesar de sus fallas. «La verificación previa de identidad está aquí para quedarse y los reguladores no bajarán la barra. De hecho, la subirán. Sin ella, las criptomonedas corren el riesgo de convertirse en una herramienta para todos los delitos imaginables», dijo. Se negó a calificarlo como una violación de datos, señalando que la información del cliente fue robada a través del soborno del personal de Coinbase en el extranjero en lugar de por daños a la infraestructura o una vulnerabilidad técnica. Independientemente de cómo se llame, los datos de los clientes se han visto comprometidos. Hay poco que puedan hacer aparte de seguir las mejores prácticas para mantener una huella digital limpia.

Loud es un defensor de la tecnología ZK, que puede mejorar la privacidad y satisfacer los requisitos de verificación de identidad. Pero ella misma admite que la tecnología no se puede implementar de inmediato debido a sus grandes necesidades y gastos de cómputo. Mientras que los usuarios de criptografía se esfuerzan por recuperar su privacidad, los reguladores y los intercambios permanecen bloqueados en una mentalidad de cumplimiento primero que requiere la presentación de datos personales. Loud ha sido especialmente cautelosa desde la filtración de datos de Coinbase, que ella sospecha también se vio afectada. Ahora está considerando cambiar el número de teléfono que ha tenido durante más de una década, ya que de pronto se encontró inundada de spam relacionado con Coinbase. La violación también ha despertado temores sobre la seguridad de los usuarios, ya que en la filtración se incluyeron datos sobre las direcciones de los hogares. Esto puede poner a los usuarios en riesgo físico.