Si vas a KYC, entonces deberías CYA


Así es como puede protegerse mejor dados los requisitos de intercambio de información de varios servicios.

Lo que sabemos sobre lo que sucedió

El 10 y 18 de marzo de este año, o alrededor de esa fecha, dos servicios de terceros vieron comprometidos los datos de sus clientes de Bitcoin:

  • uno era un sistema de marketing por correo electrónico llamado ActiveCampaign.
  • uno era una aplicación web de gestión de relaciones con los clientes (CRM) llamada HubSpot.

En total, los dos incidentes separados se dirigieron y accedieron a información personal (PI) de clientes pertenecientes a al menos 31 empresas de Bitcoin. En todos los casos, los datos comprometidos incluían los nombres y las direcciones de correo electrónico de los clientes. En la mayoría de los casos, también incluía direcciones físicas y números de teléfono. En otros casos, los datos robados también incluían una dirección IP, historial de navegación, tipo de usuario y otra información del cliente.

De la información que se compartió públicamente, un compromiso ocurrió a través de ingeniería social y otro compromiso fue a través de un ataque de phishing.

Lo que aún no sabemos es si otras empresas de Bitcoin se han visto comprometidas a través de sus servicios de terceros. Es posible que otras empresas aún no se hayan dado cuenta de que sus datos se han visto comprometidos.

En resumen, siempre ha habido malos actores que apuntan a los usuarios de Bitcoin; también hay ataques cada vez mayores contra las empresas de Bitcoin. Los ciberataques están teniendo un gran aumento en los números.

KYC significa «conoce a tu cliente». Si ha proporcionado cualquiera de los datos personales mencionados anteriormente a una o más de estas empresas de Bitcon para comprar Bitcoin o para otros servicios, su información personal que la empresa requirió para conocer a su cliente ahora se ha visto comprometida.

El mal actor o los malos que perpetraron estos ataques exitosos, como mínimo, ahora saben que tienes bitcoin. Queda por ver cómo podrían intentar aprovechar esa información. Entonces, deberías cubrir tu… trasero.

¿Qué diablos es un CRM o un servicio de marketing por correo electrónico?

A Gestión de la relación con el cliente (CRM) sistema “es un proceso en el que una empresa u otra organización administra sus interacciones con los clientes”. Salesforce es quizás el ejemplo más conocido de un CRM. Un servicio de marketing por correo electrónico como HubSpot es una manera fácil para que las empresas envíen boletines y otra información por correo electrónico a diferentes grupos de usuarios.

Al igual que la mayoría de las personas usa varias aplicaciones de productividad digital para administrar sus contactos y vidas de comunicación, las empresas y otras organizaciones usan CRM y servicios de marketing por correo electrónico para administrar sus negocios digitalmente. Todos los negocios digitales con los que compra o trabaja también pueden tener estos datos personales comprometidos.

¿Cómo puedes CYA en el futuro?

Si va a interactuar con una empresa que necesita KYC y almacenar sus datos de contacto, estas son mis recomendaciones sobre los pasos mínimos que debe seguir para CYA:

  1. Correo electrónico: obtenga una dirección de correo electrónico separada que use solo para los servicios financieros de Bitcoin. Si hay un compromiso de datos, obtenga una nueva dirección de correo electrónico y actualice esa información de correo electrónico para TODOS los servicios de Bitcoin.
  2. Teléfono: obtenga un número de teléfono de Internet por separado y utilícelo para cualquier servicio de Bitcoin. Al igual que con las direcciones de correo electrónico, si hay un compromiso de datos, cambie el número de teléfono en todos los servicios de Bitcoin.
  3. Acceso a la cuenta: habilite la autenticación multifactor (MFA) con una aplicación de autenticación o una clave de hardware. NO use SMS/texto para MFA. (Recuerde, si se ve comprometido, tendrán su número de teléfono ahora y podrían intercambiar SIM y comprometerlo).
    SIEMPRE use contraseñas seguras y un administrador de contraseñas y no reutilice la misma contraseña en diferentes servicios.
  4. Dirección física: obtenga un apartado de correos u otro lugar de entrega para usar en lugar de la dirección de su casa o trabajo.

Algunas personas incluso usan un sistema de escritorio totalmente separado para las interacciones del servicio de Bitcoin.

También puede beneficiarse al revisar los consejos de seguridad que delineé en «Consejos de Bitcoin OpSec de Casa Keyfest».

Cómo puede CYA si sus datos se vieron comprometidos

Básicamente, siga los pasos anteriores y cambie lo que pueda en el perfil de su empresa Bitcoin y las credenciales de su cuenta, AHORA.

Entonces sabrá que el contacto futuro de la empresa con la dirección de correo electrónico o el número de teléfono anterior debe verse como sospechoso y posiblemente nefasto.

¿Cómo puedes CYA contra la ingeniería social?

Primero, NO asuma que no caería en un ataque de ingeniería social.

La ingeniería social es un método tortuoso de compromiso y atraerá su deseo de ser visto y comprendido. Si los delincuentes tienen su información de un CRM, usarán información sobre lo que ha navegado, las compras que realizó y las conversaciones pasadas para que sienta que se han conectado personalmente con usted. Usarán cualquier vulnerabilidad psicológica que puedan detectar para que confíes en ellos y luego tomarán una acción que puede causar un compromiso que les dará una ganancia financiera.

Imagínese que mañana recibe una llamada telefónica (ingeniería social) aparentemente de uno de sus proveedores de servicios de Bitcoin, que le notifica el ataque y le ofrece actualizar su contraseña allí mismo por teléfono. Su identificador de llamadas incluso muestra que están llamando desde la compañía desde la que dicen que están llamando. Solo necesitan su contraseña actual para autenticarse. Si lo tiene habilitado, incluso podrían decir que recibirá una solicitud de autenticación de 2 factores enviada a su teléfono y, por supuesto, obtendrá una. Le pedirán que lea el código para «confirmar su identidad».

Lo que realmente está sucediendo es que falsificaron el identificador de llamadas para que parezca que están llamando de esa compañía. Están iniciando sesión en el sitio web como usted y les está dando toda la información que necesitan para acceder a su cuenta.

Vaya siempre al sitio web directamente y realice cualquier cambio de perfil allí.

¿Cómo puede usted CYA contra el phishing por correo electrónico?

NO asuma que es tan astuto técnicamente que no caería en un ataque de spear phishing. Incluso las personas que deberían saberlo mejor se enamoran de ellos todo el tiempo.

Imagine que mañana recibe un correo electrónico (ataque de phishing), aparentemente de uno de sus proveedores de servicios de Bitcoin, que le notifica el ataque y le recomienda que inicie sesión de inmediato para actualizar su contraseña, proporcionando un enlace de inicio de sesión útil.

¿Deberías hacer clic en ese enlace?

Respuesta: ¡NO! NUNCA debe hacer clic en el enlace de un correo electrónico.

Investigue un poco e infórmese sobre qué tan reales se ven y cómo usan el sesgo psicológico y el ruido para engañar a sus ojos y cerebro.

SaberBe4 es una empresa que brinda capacitación en seguridad a los empleados y tiene mucha información buena y gratuita sobre cómo detectar y evitar ataques de phishing.

Personalmente, rara vez, o nunca, hago clic en enlaces de compañías de Bitcoin. Vaya al sitio e inicie sesión directamente. El pequeño esfuerzo adicional vale la pena por la seguridad adicional y evitar el riesgo de compromiso de la información personal.

Cómo puede CYA con intercambios centralizados

Como siempre, ni tus llaves, ni tus monedas. Para estar verdaderamente descentralizado, DEBE sacar su Bitcoin del intercambio y ponerlo en autocustodia.

Este no es solo un problema de la empresa Bitcoin. Sin embargo, como estoy escribiendo en otro artículo y algo que debería ser evidente en este punto, los Bitcoiners son un objetivo.

Llamada de atención sobre seguridad y privacidad

Estos compromisos deberían ser una llamada de atención sobre la seguridad en todas las áreas de su vida digital.

Y acabas de darte cuenta de que SÍ te preocupas por la privacidad.

Con ese fin, puede optar por cambiar a servicios que no KYC y/o que no contengan parte de su información personal.

Para obtener información más detallada sobre el compromiso de Hubspot, consulte «Lo que significa para usted la violación de datos de Hubspot Bitcoin Company (no es bueno)» de Robert Warren.

Esta es una publicación invitada de Heidi Porter. Las opiniones expresadas son totalmente propias y no reflejan necesariamente las de BTC Inc o Revista Bitcoin.

milfinanzas

Soy ingeniero Naval especializada . dependiente de la Universidad Veracruzana, es un programa académico dedicado al desarrollo científico y tecnológico de las ciencias de la Ingeniería Naval y sus aplicaciones en el desarrollo socioeconómico del País. Tengo las habilidades y conocimientos matemáticos, y físicos a nivel superior para el diseño, construcción, reparación y mantenimiento de todo artefacto flotante. Soy trader de tiempo medio. Devoro libros, que abarcan desde el lado más científico al más humilde y humanista  que entiende que las personas "son personas".
Botón volver arriba
AllEscort