Actualización: medidas para proteger tus datos y perseguir a los estafadores

English | Français | Español | Deutsch

Aunque la seguridad de los productos de Ledger no tiene parangón (los productos de Ledger Nano son las únicas carteras de hardware certificadas de manera independiente en el mercado) y sigue sin verse vulnerada, los delincuentes están atacando a los clientes de Ledger con intentos de phishing utilizando diferentes tipos de ataque. Hace poco Shopify descubrió que los clientes de Ledger se habían visto afectados por el robo de datos de Shopify publicado aquí, y se lo notificó a Ledger.

Resumen

Siempre surgirán adversarios que se centrarán en intentar acceder a los datos de Ledger desde diferentes ángulos y debemos seguir reforzando nuestra estructura de seguridad. Es un problema que afecta a todo el sector y contra el que tenemos que luchar colectivamente, y Ledger está duplicando su compromiso para aportar su granito de arena a esta lucha.

En esta publicación ponemos al día a nuestros usuarios sobre las acciones que estamos llevando a cabo para reforzar nuestras prácticas de seguridad y hacer justicia ante el robo de datos de 2020:  

• Anunciamos cambios en la forma en que Ledger tratará los datos de sus clientes: nuestro objetivo es eliminar completamente vuestros datos personales, como el nombre, la dirección y el número de teléfono, tan pronto como nos sea posible. Nos exigimos a nosotros mismos y a nuestros proveedores externos que conserven estos datos durante el periodo de tiempo necesario para cumplir con nuestras obligaciones para con nuestros clientes (como la ejecución de los pedidos) y con la ley (como las obligaciones contables y legales). Los datos que sea necesario conservar se pondrán en un entorno más segregado. 
• Implementaremos un modelo de mensajería en el que la información técnica y de seguridad proactiva importante se comunicará a través de Ledger Live. El correo electrónico y las redes sociales se utilizarán ÚNICAMENTE para difundir mensajes y anuncios relacionados con nuestros productos.
• Ledger está destinando una gran cantidad de recursos adicionales a identificar y condenar a los responsables de los ataques a Ledger y a sus clientes, entre los que se incluye una recompensa de 10 BTC si se recibe información que conduzca a su detención y enjuiciamiento. Confiamos en que otras empresas se unan al programa de recompensas y ayuden a hacer de la comunidad de criptomonedas un entorno más seguro. 

Recordatorio de seguridad: NUNCA le des tus 24 palabras a NADIE.  Ledger NUNCA te pedirá tus 24 palabras.  Si alguien que se hace pasar por Ledger te pide tus 24 palabras, no es Ledger sino un delincuente. El ÚNICO lugar donde debes introducir las 24 palabras de tu semilla de recuperación es en tu Ledger Nano; NUNCA EN LEDGER LIVE.

Resumen

En esta publicación vamos a recapitular los acontecimientos relacionados con nuestra filtración de datos de la forma más transparente posible. Todo el equipo de Ledger está trabajando muy duro para resolver estos obstáculos.  Esta publicación es bastante larga, pero queremos proporcionarte toda la información posible sobre la dirección que está tomando Ledger para mantener tus datos seguros y detectar y perseguir a los delincuentes que cometen estos delitos.  

1- ¿Qué sucedió?

En primer lugar, recapitulemos brevemente los hechos: el 14 de julio de 2020 un investigador se puso en contacto con nosotros a través de nuestro programa de recompensas para informarnos de una filtración de datos que afectaba a nuestra base de datos de comercio electrónico y marketing. Corregimos inmediatamente la filtración de datos e iniciamos una investigación interna. Detectamos que un intruso malintencionado había conseguido acceder sin autorización a nuestra base de datos de comercio electrónico y de marketing a través de la clave API de un tercero.  Gracias a los análisis forenses efectuados por Ledger y por la empresa forense Orange Cyberdefense, pudimos identificar que también se habían robado más de un millón de direcciones de correo electrónico y aproximadamente 9500 registros de clientes que contenían el nombre, la dirección, los productos pedidos y el número de teléfono. Inmediatamente (29 de julio de 2020) se lo notificamos a nuestros clientes y compartimos la información forense con las autoridades pertinentes.

El 20 de diciembre de 2020 se hizo público en un foro el contenido completo de las bases de datos robadas.  Tras ver las bases de datos completas, pudimos comprobar que se habían robado aproximadamente 272 000 registros de clientes, que incluían el nombre, la dirección y el número de teléfono, además de las más de 1 millón de direcciones de correo electrónico. Nada más descubrirse esto, avisamos a los clientes afectados por correo electrónico (el 21 de diciembre de 2020).

Tenemos nueva información que compartir: el 23 de diciembre de 2020 recibimos una notificación de nuestro proveedor de servicios de comercio electrónico, Shopify, en relación con un incidente que afectaba a los datos de los comerciantes y en el que uno o varios miembros deshonestos de su equipo de asistencia habían obtenido registros de transacciones de clientes, entre los que se encontraban los de Ledger. Los responsables exportaron ilegalmente los registros transaccionales de los clientes en abril y junio de 2020. A juicio de Shopify, esto está relacionado con el incidente denunciado de septiembre de 2020, que afecta a más de 200 comerciantes, pero hasta el 21 de diciembre de 2020, Shopify no había descubierto que Ledger también fuera objeto de este ataque. Shopify nos informó de que habían contratado a expertos forenses digitales y a un abogado para seguir investigando el problema y que habían informado a las autoridades policiales tanto de Canadá como de Estados Unidos.

En colaboración con la empresa forense Orange Cyberdefense, hemos podido determinar que afecta a unos 292 000 clientes. Aunque el 93 % de la base de datos es semejante a la del ataque anterior, en esta filtración se incluyeron aproximadamente 20 000 nuevos registros de clientes que contenían el correo electrónico, el nombre, la dirección postal, los productos pedidos y el número de teléfono.

Si adquiriste un producto de Ledger después de finales de junio de 2020, o si compraste tu producto a través de un sitio web distinto de Ledger.com, tus datos no se han visto afectados por estos incidentes.

Para encontrar respuestas a las preguntas más frecuentes sobre estos dos ataques, visita la sección FAQ.  Para informarte sobre los tipos de ataques de phishing que existen, o para denunciar un ataque de phishing a nuestro equipo, consulta esta página.

A pesar de estos ataques, las carteras de hardware de Ledger no se han visto vulneradas y tus criptomonedas están seguras SIEMPRE Y CUANDO NUNCA COMPARTAS TUS 24 PALABRAS CON NADIE (especialmente si se hacen pasar por Ledger; Ledger nunca te pedirá esta información).

2- Medidas adoptadas por Ledger

Respecto a la filtración de datos detectada el 14 de julio

Corregimos la vulneración el 14 de julio de 2020. El 17 de julio de 2020 lo notificamos a la autoridad francesa de protección de datos. Empezamos a realizar análisis forenses con Orange Cyberdefense el 20 de julio de 2020. Era necesario y prudente completar la investigación con Orange Cyberdefense y reunir todos los datos posibles antes de comunicar la filtración de datos a nuestros clientes.

En cuanto tuvimos el informe final, enviamos un correo electrónico a toda nuestra base de datos de correos electrónicos el 29 de julio de 2020. Ese mismo día informamos a los medios de comunicación de la situación con un comunicado de prensa. Presentamos una denuncia ante la fiscalía francesa el 5 de agosto de 2020.

Respecto a las campañas de phishing contra nuestros clientes

En los últimos meses hemos presenciado una elevada actividad de ataques de phishing contra nuestros clientes. Hemos realizado una gran campaña de comunicación para advertir a nuestros clientes sobre estos ataques por correo electrónico, en nuestra página web, en Ledger Live y en Twitter, Reddit y otras plataformas de terceros. Enviamos un correo electrónico a toda nuestra base de datos informando sobre estos intentos de phishing el 22 de octubre de 2020. Nos hemos asociado con Webdrone, una empresa especializada en inteligencia empresarial y ciberdelincuencia, para identificar al autor o autores de las páginas web de phishing. Tenemos un programa en curso con Corsearch para cerrar páginas web de phishing de forma inmediata por medio de registradores y, hasta la fecha, hemos cerrado 216 sitios y subiendo.

Nuestro equipo interno de protección de la marca se ha dedicado exclusivamente a los ataques de phishing desde que surgieron.  Corsearch colabora con organizaciones internacionales de investigación en nuestro nombre. El 16 de diciembre de 2020 lanzamos una página específica donde describimos la naturaleza de estos ataques de phishing para ayudarte a identificarlos y a denunciar cualquier posible intento de ataque. 

Estamos trabajando con Chainalysis y otras organizaciones para rastrear las carteras de criptomonedas utilizadas por los estafadores.  Si se descubren, o cuando se descubran, informaremos a las autoridades para que tomen medidas (por ejemplo, congelar los criptoactivos en caso de que lleguen a la bolsa). 

Seguimos trabajando con varios investigadores privados para encontrar y rastrear a los individuos responsables de estos ataques. Todas las pistas y la información recopilada se comparten con las autoridades pertinentes (si tienes información nueva que aportar, consulta el programa de recompensas que aparece a continuación).  En el caso de las campañas de phishing, Ledger también ha presentado una denuncia ante la fiscalía francesa y facilita la información recopilada por Ledger y los investigadores con regularidad.

A raíz de estos incidentes, Ledger ha experimentado un aumento exponencial de solicitudes de información en comparación con el año pasado por estas fechas. Cada comunicación con nuestros clientes es importante para nosotros y queremos responder a todos ellos con información precisa. Para dar respuesta a esta demanda, hemos contratado más recursos en 2020 y seguimos contratando en 2021. Lo lamentamos profundamente si estás experimentando retrasos con nuestro servicio de atención al cliente y estamos trabajando con ahínco para responder a todo el mundo con la mayor brevedad posible. Esperamos que esta publicación y la sección de preguntas frecuentes te ayuden a encontrar inmediatamente las respuestas que buscas.

Respecto a la filtración de datos de Shopify

La investigación relativa al incidente de Shopify está en curso y seguiremos informando a medida que la situación vaya evolucionando. A día de hoy: el 26 de diciembre de 2020 lo notificamos a la autoridad francesa de protección de datos. Tras completar el análisis forense con Orange Cyberdefense, el 13 de enero de 2021 informamos por correo electrónico a todos los clientes afectados por esta filtración.  Continuamos trabajando con Shopify y la fiscalía en el caso; ya está en marcha una investigación encabezada por el FBI y la RCMP.  Ledger también denunció los hechos ante la fiscalía francesa y presentó una querella contra el agente o agentes deshonestos.  Seguimos trabajando con Shopify mediante nuevos procesos internos para garantizar una mayor seguridad.

3- Próximas medidas

Las filtraciones de datos y los ataques de phishing son un problema que afecta a todo el sector. Seguimos trabajando en este problema cada día, y hoy queremos compartir con vosotros el inicio de nuestro nuevo plan, que tiene como objetivo aumentar el nivel de protección de nuestros clientes.

En primer lugar, preferimos no conservar sus datos; para nosotros, la confianza de los usuarios es mucho más importante que la posesión de sus datos. Cuando realizas un pedido de un producto directamente a Ledger, recopilamos tus datos para poder enviarte el pedido. La normativa contable y las obligaciones legales exigen que conservemos los datos de las compras de comercio electrónico durante un período de tiempo determinado.  No obstante, estamos cambiando la forma en que gestionamos estos datos, para ir más allá de los principios del RGPD y adoptar el mejor enfoque posible:

1. Nuestro objetivo es eliminar completamente tus datos personales, tales como tu nombre, dirección y número de teléfono, tan pronto como sea posible. Nos exigimos a nosotros mismos y a nuestros proveedores externos que conserven estos datos durante el periodo de tiempo necesario para cumplir con nuestras obligaciones para con nuestros clientes (como la ejecución de los pedidos) y con la ley (como las obligaciones contables y legales). Los datos que sea necesario conservar se pondrán en un entorno más segregado. Por ejemplo, nuestro objetivo es almacenar la información de tu pedido de comercio electrónico, tales como tu nombre, dirección y número de teléfono, en un entorno segregado tres meses después del envío de tu producto.
2. Limitaremos el número de ubicaciones en las que se muestran tus datos personales.  Por ejemplo, eliminaremos el nombre, la dirección y el número de teléfono de los correos electrónicos de confirmación de pedidos que te enviamos para que estos datos no pasen por nuestro proveedor de correo electrónico destinado al comercio electrónico.
3. Implementaremos un modelo de mensajería en el que la información técnica y de seguridad proactiva importante se comunicará únicamente a través de Ledger Live. El correo electrónico y las redes sociales se utilizarán ÚNICAMENTE para difundir mensajes y anuncios relacionados con nuestros productos.
4. Llevaremos a cabo una reevaluación detallada de todos nuestros proveedores y socios para asegurarnos de que siguen cumpliendo las normas más rigurosas.

En SEGUNDO lugar, los robos y ataques de esta índole deben ser investigados y perseguidos.  Para que las criptomonedas prosperen debe pagarse un precio por cometer un robo de las mismas.  Seguimos trabajando con las autoridades policiales e investigadores privados en estos casos, y estamos incorporando más medios:

1. Estamos ampliando los servicios de investigación privada, sumando experiencia y diferentes enfoques para encontrar a los responsables de estos robos de datos.  Seguiremos colaborando con las autoridades policiales de todo el mundo para encontrar, detener y enjuiciar a los responsables en la medida de lo posible.
2. Estamos creando una recompensa a cambio de recibir nueva información, que se haya obtenido de forma legal, que conduzca a la identificación, la detención y el enjuiciamiento satisfactorios de los responsables de los ataques contra Ledger y contra nuestros clientes.  Ledger ha creado una cartera inicial con 10 BTC (dirección: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) como fondo de recompensa. Esta cantidad se otorgará a discreción de Ledger y se tendrán en cuenta factores como: ¿se ha obtenido la información de forma legal? ¿Es nueva? ¿En qué medida es la información sustancial y en qué medida ayudará a que la investigación avance y se pueda perseguir directamente al individuo o individuos? ¿Ha tenido éxito esa persecución? En términos más generales, estará sujeta a las condiciones de nuestro programa de recompensas que puedes consultar aquí.
3. Anunciamos nuestra intención de colaborar con otros miembros del sector en esta iniciativa.  Nos estamos poniendo en contacto con otras empresas y particulares de este ámbito para obtener financiación para el programa de recompensas por delitos cometidos contra la comunidad de criptomonedas. Alentamos a los CEO de otras empresas del sector de las criptomonedas a que se pongan en contacto con nosotros lo antes posible si quieren unirse a nuestro proyecto.

Lamentamos enormemente que se hayan producido estos incidentes y el dolor o el estrés que hayan podido causar a nuestros clientes.  La misión de Ledger es garantizar tu seguridad y nos tomamos estos incidentes muy en serio, tanto personal como profesionalmente.  Pronto lanzaremos una solución técnica que eliminará las 24 palabras como único pilar de la seguridad de nuestras carteras de hardware y que nos permitirá asegurar los fondos de nuestros clientes individuales. Estos ataques no han hecho más que consolidar nuestra determinación de crear y lanzar productos que garanticen tu seguridad y la de tus criptomonedas.  En 2021 anunciaremos productos y servicios apasionantes, innovadores y seguros. Ledger mantiene su compromiso de crear los productos más seguros y proteger el ecosistema de las criptomonedas. Así de simple. 

POR FAVOR, aprovecha este momento para recordar que hay que estar alerta y tomar todas las medidas posibles para estar protegido. A medida que el valor de tus criptomonedas aumente y más personas se unan al ecosistema, esto deberá seguir recibiendo especial atención. Crypto Casey resume perfectamente la situación y la mejor manera de protegerse en este vídeo y en este podcast.  Adopta todas las medidas necesarias para mantenerte a ti y a tu criptomoneda a salvo.

Todos estamos aquí por la misma razón: creemos desde hace tiempo en el valor y el futuro de las criptomonedas y de los activos digitales.  En Ledger hemos aprendido lecciones muy importantes y seguiremos trabajando duro para que la confianza depositada en nosotros esté bien fundada. Es un honor para nosotros. Y es por eso que nos volvemos más fuertes y resilientes. 

Atentamente,

Pascal, Ian, Antoine, Matt, Charles.