Recientemente, el director de seguridad de Kraken, Nick Percoco, realizó un anuncio alarmante. Un grupo de hackers white-hat no identificado logró robar aproximadamente $3 millones en activos digitales de la casa de cambio de criptomonedas. El grupo explotó una falla en el sistema de Kraken que permitía a los usuarios inflar artificialmente su balance en la plataforma.
Detección y solución del problema
La saga comenzó cuando un investigador de seguridad alertó a Kraken sobre un error «extremadamente crítico» el 9 de junio. Aunque la casa de cambio recibía regularmente informes falsos de recompensas por errores, esta denuncia llamó su atención. Un equipo se formó rápidamente para investigar el problema y descubrió que los ciberdelincuentes podían iniciar depósitos en Kraken y recibir fondos en sus cuentas sin completarlos.
La causa raíz del error se remontó a una falla en la última experiencia de usuario (UX) de Kraken. Fue identificada y contenida dentro de dos horas después de su detección inicial. Sin embargo, luego se reveló que tres cuentas ya habían aprovechado la falla. Una de estas cuentas pertenecía a un investigador de seguridad que encontró el error inicialmente pero decidió explotarlo en lugar de reportarlo a través de los canales adecuados.
Reacción y consecuencias
Cuando Kraken contactó a los investigadores de seguridad y solicitó la devolución de los activos robados, se encontraron con resistencia. El grupo acusó a Kraken de ser poco razonable y poco profesional, exigiendo que la plataforma proporcionara una estimación de los daños potenciales causados por el error. La situación escaló al punto de que Kraken tuvo que involucrar a agencias de aplicación de la ley, tratando el caso como uno de extorsión.
Este incidente destaca los riesgos asociados con depender de programas de recompensas por errores para la ciberseguridad. Si bien estos programas son esenciales para identificar vulnerabilidades, también pueden atraer a actores malintencionados que buscan aprovechar debilidades para su beneficio personal. La experiencia de Kraken sirve como una advertencia para otras empresas en el espacio de las criptomonedas, enfatizando la importancia de medidas de seguridad sólidas y protocolos de respuesta rápida ante posibles amenazas.
Deja una respuesta