Coinbase enfrenta seis demandas después de que una violación de datos expone la información del usuario

Coinbase, una popular plataforma de intercambio de criptomonedas, se enfrenta a una serie de problemas legales después de una importante violación de datos que expuso información confidencial del usuario. La violación ocurrió cuando los cibercriminales sobornaron al personal de soporte en el extranjero, obteniendo acceso a un subconjunto de datos de clientes. Este incidente provocó que se presentaran al menos seis demandas colectivas contra la empresa entre el 15 y el 16 de mayo.

Una de las primeras demandas se presentó en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York por Paul Bender. La denuncia de Bender sostiene queCoinbaseCOIN--Sin implementar ni mantener protocolos de seguridad básicos para proteger los datos de los usuarios. La violación puso a los usuarios afectados en riesgo continuo de robo de identidad y fraude financiero, con el potencial de consecuencias a largo plazo, incluso permanentes, debido a la naturaleza inmutable de la información expuesta. Además, Bender argumenta que Coinbase no notificó a los usuarios de inmediato, no ofreció protección de identidad ni orientación inmediatamente después y manejó el incidente de manera fragmentada y descoordinada.

Zaal Panthaki, residente de Maine, y Alexander Crous, con sede en Texas, hicieron acusaciones similares en una presentación separada, acusando a Coinbase de subinvertir sistemáticamente en infraestructura de seguridad de datos. Su demanda colectiva propuesta afirma que la compañía se olvidó de capacitar adecuadamente a los empleados que manejan datos confidenciales de los usuarios, en particular los que trabajan a través de proveedores de soporte subcontratados en el extranjero. La demanda también sostiene que Coinbase no supervisó a sus proveedores externos y dejó la información del cliente vulnerable a la explotación. El ataque explotó serias fallas internas de supervisión e higiene de seguridad, lo que permitió a los piratas informáticos obtener acceso a datos que incluyen correos electrónicos de usuarios, números de teléfono, números de cuenta y de Seguro Social enmascarados e historiales de transacciones.

A pesar de que Coinbase confirmó que tales claves privadas y contraseñas no se vieron comprometidas, la información personal identificable (PII) filtrada se considera muy valiosa para los estafadores. Puede usarse para hacerse pasar por víctimas y ejecutar sofisticados esquemas de phishing y fraude. Además de las críticas, otra demanda colectiva presentada por Rosemary Ortiz, residente de California, sostiene que Coinbase podría haber evitado la violación completamente si hubiera encriptado o eliminado de manera segura los datos de usuarios antiguos que ya no tenían motivo legal o operativo para conservar. Ortiz argumenta que Coinbase amplificó el impacto de la violación al almacenar información confidencial innecesaria.

A pesar de la reacción legal, Coinbase ha tomado medidas para abordar la violación. En una publicación de su blog, la compañía reveló que la violación comenzó con un intento de extorsión en el que los atacantes exigieron un rescate de 20 millones de dólares. Coinbase se negó a pagar el rescate y ofreció una recompensa equivalente para identificar y procesar a los atacantes. La compañía también destinó entre $180 millones y $400 millones para el reembolso del usuario y los esfuerzos de remediación, como se revela en una presentación de la SEC de EE. UU. Coinbase ha reforzado los controles de seguridad, incluidos controles de identificación adicionales y avisos de concientización sobre estafas, y está estableciendo un nuevo centro de atención al cliente con sede en EE. UU. La compañía también ha fortalecido los sistemas de detección de amenazas internas y ha contactado directamente a los usuarios afectados. Coinbase despidió al personal de atención al cliente involucrado de India y los remitió para un proceso penal.

Este hecho destaca las vulnerabilidades de la seguridad general y del soporte de Coinbase. La reacción de la compañía ante la violación de datos, que incluyó su rechazo a pagar el rescate y su compromiso con la transparencia, demuestra los esfuerzos que se realizan para mitigar el daño. No obstante, los desafíos legales y las posibles consecuencias a largo plazo para los usuarios afectados ponen de relieve la necesidad de contar con medidas sólidas de ciberseguridad y de una respuesta rápida y coordinada a los incidentes. El resultado de estas demandas probablemente establezca un precedente sobre cómo los intercambios de criptomonedas gestionarán las violaciones de datos y la protección del usuario en el futuro.