Actualización: Medidas para proteger tus datos y enjuiciar a los estafadores

English | Français | Español | Deutsch

A pesar de que la seguridad de los productos Ledger no tiene precedentes (los productos Ledger Nano son las únicas billeteras de hardware del mercado con certificación independiente) y que siguen sin haber sido afectados, los delincuentes están atacando a los clientes de Ledger con intentos de suplantación de identidad mediante distintos tipos de ataques. Recientemente, Shopify descubrió que algunos clientes de Ledger se habían visto afectados por el robo de datos de Shopify, de lo cual informó aquí, y avisó a Ledger.

<TL;DR>

Los delincuentes más decididos siempre probarán distintas formas de acceder a los datos de Ledger, por lo que debemos seguir reforzando nuestra seguridad. Se trata de un problema que afecta a todo el sector y que debemos combatir juntos, por lo que Ledger está redoblando sus esfuerzos para contribuir en ese sentido.

En esta entrada de blog informamos a nuestros usuarios de las medidas que tenemos en curso para reforzar nuestras prácticas de seguridad, así como de las acciones legales relacionadas con el robo de datos de 2020:

• Anunciamos cambios en la forma en la que Ledger tratará los datos del cliente: Nuestro objetivo es dejar de conservar por completo tus datos personales, como nombre, dirección y número de teléfono, a la mayor brevedad posible. Tanto nosotros como nuestros proveedores externos nos comprometemos a conservar estos datos durante el menor tiempo posible para cumplir nuestras obligaciones con nuestros clientes (como, por ejemplo, para completar tu pedido) y la ley (como, por ejemplo, en relación con nuestras obligaciones legales y contables). Los datos que sea necesario conservar se mantendrán en un entorno más separado.
• Vamos a implementar un modelo proactivo de mensajería según el cual la información importante sobre cuestiones técnicas y de seguridad se transmitirá a través Ledger Live. El correo electrónico y las redes sociales se usarán SOLO para transmitir mensajes y anuncios de productos.
• Ledger está empleando numerosos recursos adicionales para identificar y enjuiciar a los responsables de los ataques a Ledger y a los clientes de Ledger, incluido un fondo de recompensa de 10 BTC por información que conduzca a una detención y un enjuiciamiento satisfactorios. Esperamos que otras empresas se unan al programa de recompensas y ayuden a hacer de la comunidad de las cripto un lugar más seguro.

Recordatorio de seguridad: NUNCA des tus 24 Palabras a NADIE. Ledger NUNCA te pedirá tus 24 Palabras. Si alguien se hace pasar por Ledger y te pide tus 24 Palabras, es un delincuente y no Ledger. El ÚNICO sitio en el que debes introducir las 24 Palabras de tu semilla de recuperación es tu Ledger Nano: NUNCA DEBES INTRODUCIRLAS EN LEDGER LIVE.

<TL;DR>

En esta entrada de blog vamos a recapitular los eventos relacionados con nuestra filtración de datos de la forma más transparente posible. Todo el equipo de Ledger está trabajando a fondo para resolver el reto que tenemos ante nosotros. Esta entrada de blog es larga, pero queremos darte toda la información posible con respecto a la dirección que Ledger ha decidido tomar para mantener la seguridad de tus datos y capturar y enjuiciar a los criminales que cometen estos delitos.

1.- Qué ocurrió

En primer lugar, y para resumir brevemente la situación: el 14 de julio, de 2020, un investigador se puso en contacto con nosotros mediante nuestro programa de recompensas para informarnos de una filtración de datos de nuestra base de datos de comercio electrónico y marketing. De forma inmediata, corregimos la filtración de datos y pusimos en marcha una investigación interna. Descubrimos que un atacante malintencionado consiguió acceso no autorizado a nuestra base de datos de comercio electrónico y marketing mediante la clave de la API de un tercero. Mediante tareas forenses realizadas por Ledger y por una empresa forense externa llamada Orange Cyberdefense, pudimos determinar que se habían robado más de un millón de direcciones de correo electrónico y los registros de aproximadamente 9500 clientes, incluidos nombres, direcciones, productos pedidos y números de teléfono. Inmediatamente (el 29 de julio de 2020) avisamos a nuestros clientes y compartimos la información forense con las autoridades competentes.

El 20 de diciembre de 2020, descubrimos que todo el contenido de las bases de datos robadas se había hecho pública en un foro. Una vez que vimos estas bases de datos en su totalidad, pudimos ver que se habían robado los registros de aproximadamente 272.000 clientes, incluidos nombres, direcciones y números de teléfono, además de las más de un millón de direcciones de correo electrónico. En cuanto lo descubrimos, avisamos a nuestros clientes por correo electrónico (21 de diciembre de 2020).

Ahora, tenemos información nueva que compartir: el 23 de diciembre de 2020 recibimos un aviso de Shopify, nuestro proveedor de servicios de comercio electrónico, en relación con un incidente relacionado con datos de comerciantes por el que miembros sin escrúpulos de su equipo de soporte obtuvieron registros de transacciones de clientes, incluidos los de Ledger. Los agentes exportaron ilegalmente registros de transacciones de clientes en abril y junio de 2020. Según Shopify, esta acción está relacionada con el incidente que se produjo en septiembre de 2020, que afecta a más de 200 comerciantes, pero hasta el 21 de diciembre de 2020, Shopify no tuvo certeza de que Ledger también había sido objeto de este ataque. Shopify nos indica que contrataron expertos forenses digitales y consultores para continuar con su investigación de este asunto y que han trasladado el caso a las autoridades policiales de Canadá y EE. UU.

Junto con la empresa forense Orange Cyberdefense, hemos podido comprobar que afecta aproximadamente a 292.000 clientes. Aunque la base de datos es un 93 % similar a la que quedó expuesta en el ataque anterior, en esta filtración había aproximadamente 20.000 registros de clientes nuevos, incluidos correos electrónicos, nombres, direcciones postales, productos pedidos y números de teléfono.

Si has comprado un producto Ledger después de finales de junio de 2020 o has comprado tu producto fuera de Ledger.com, tus datos no han sido afectados durante estos incidentes.

Si quieres ver las respuestas a las preguntas frecuentes relacionadas con estos ataques, visita las Preguntas más frecuentes. Si quieres informarte sobre los tipos de ataque de suplantación de identidad que se suelen realizar o quieres notificar a nuestro equipo un ataque de suplantación de identidad, consulta esta página.

A pesar de estos ataques, las billeteras de hardware Ledger no se han visto afectadas y tus criptodivisas están seguras, SIEMPRE QUE NUNCA COMPARTAS TUS 24 PALABRAS CON NADIE (en particular con nadie que afirme ser parte de Ledger; Ledger nunca te pedirá esta información).

2.- Medidas adoptadas por Ledger

En relación con la filtración de datos que se produjo el 14 de julio

Aplicamos parches al origen de la filtración el 14 de julio de 2020. El 17 de julio de 2020, avisamos a la autoridad de protección de datos de Francia. Empezamos a realizar labores forenses con Orange Cyberdefense el 20 de julio de 2020. Consideramos que era necesario y prudente completar la investigación con Orange Cyberdefense y recopilar el máximo de datos posibles antes de informar a nuestros clientes de la filtración de datos.

En cuanto tuvimos el informe definitivo, enviamos un mensaje a todas las direcciones de correo electrónico de nuestra base de datos el 29 de julio de 2020. El mismo día, informamos a los medios de la situación mediante un comunicado de prensa. Presentamos una denuncia ante la fiscalía de Francia el 5 de agosto de 2020.

En lo que respecta a las campañas de suplantación de identidad contra nuestros clientes

En los últimos meses, hemos visto una gran cantidad de ataques de suplantación de identidad contra nuestros clientes. Hemos llevado a cabo una intensa labor de comunicación para avisar a nuestros clientes de estos ataques mediante correo electrónico, en nuestro sitio web, en Ledger Live y también en Twitter, Reddit y otras plataformas de terceros. El 22 de octubre de 2020, enviamos un correo electrónico a toda nuestra base de datos con respecto a estos intentos de suplantación de identidad. Nos hemos asociado con Webdrone, una empresa especializada en inteligencia empresarial y ciberdelincuencia, para identificar a los creadores de los sitios web de suplantación de identidad. Contamos con un programa continuo con Corsearch para cerrar rápidamente los sitios web de suplantación de identidad mediante registradores y, hasta la fecha, hemos cerrado 216 sitios, y seguimos haciéndolo.

Desde su creación, nuestro equipo interno de protección de la marca se ha dedicado de forma exclusiva a los ataques de suplantación de identidad. Corsearch colabora con organizaciones de investigación internacionales en nuestro nombre. El 16 de diciembre de 2020, lanzamos una página específica en la que compartimos la anatomía de estos ataques de suplantación de identidad para ayudarte a identificarlos y denunciar los nuevos ataques que puedas recibir.

Estamos trabajando con Chainalysis y otras organizaciones para rastrear las billeteras de criptodivisas que usan estos estafadores. Si las descubrimos, o cuando lo hagamos, informaremos a las autoridades policiales para que tomen las medidas necesarias (por ejemplo, para que inmovilicen los activos cripto si llegan a los exchanges).

Seguimos trabajando con diversos investigadores privados para encontrar y rastrear a los responsables de estos ataques. Todas las pistas y la información que hemos recopilado se han enviado a las autoridades competentes (si quieres hacernos llegar información nueva, consulta el programa de recompensas que se menciona a continuación). En lo que respecta a las campañas de suplantación de identidad, Ledger también ha presentado una denuncia ante la fiscalía de Francia y comparte información recopilada por Ledger y los investigadores de forma periódica.

Debido a estos incidentes, Ledger ha experimentado un aumento exponencial en las solicitudes de información, en comparación a la cantidad de solicitudes que habíamos recibido a estas alturas del año pasado. Todas nuestras comunicaciones con nuestros clientes son importantes y queremos responder a todas ellas con información precisa. Para responder a esta demanda, contratamos más recursos en 2020 y vamos a seguir contratándolos en 2021. Te pedimos disculpas si estás sufriendo retrasos en nuestro servicio de soporte al cliente. Estamos esforzándonos por responder a todo el mundo lo antes posible. Esperamos que esta entrada de blog y las preguntas más frecuentes te ayuden a encontrar de forma inmediata las respuestas que estás buscando.

Sobre la filtración de datos de Shopify

La investigación del incidente de Shopify sigue en curso y continuaremos informándote a medida que se desarrolle la situación. A fecha de hoy: se lo notificamos a la autoridad de protección de datos de Francia el 26 de diciembre de 2020. Tras completar las acciones forenses con Orange Cyberdefense, informamos a todos los clientes afectados por esta filtración el 13 de enero de 2021. Seguimos trabajando con Shopify y los fiscales en el caso; ya hay una investigación en curso a cargo del FBI y el RCMP. Además, Ledger ha informado los incidentes a la fiscalía de Francia y ha denunciado a los responsables. Seguimos trabajando con Shopify y empleando nuevos procesos internos para garantizar un mayor nivel de seguridad.

3.- Siguientes pasos

Las filtraciones de datos y los ataques de suplantación de identidad son un problema que afecta a todo el sector. Seguimos trabajando en este problema día tras día, y hoy queremos explicarte la creación de nuestro nuevo plan, pensado para aumentar la protección de nuestros clientes.

Lo PRIMERO de todo: preferiríamos no tener tus datos, tu confianza tiene mucho más valor para nosotros que guardar tus datos. Cuando pides tu producto directamente a través de Ledger, recibimos tu información para poder enviar tu pedido. Las normativas en materia de contabilidad y las obligaciones legales nos exigen que guardemos los datos de las compras de comercio electrónico durante un periodo de tiempo determinado. A pesar de ello, vamos a cambiar la forma en la que gestionamos estos datos para ir más allá de los principios del RGPD y adoptar un planteamiento óptimo.

1. Nuestro objetivo es dejar de conservar por completo tus datos personales, como nombre, dirección y número de teléfono, a la mayor brevedad posible. Tanto nosotros como nuestros proveedores externos nos comprometemos a conservar estos datos durante el menor tiempo posible para cumplir nuestras obligaciones con nuestros clientes (como, por ejemplo, para completar tu pedido) y la ley (como, por ejemplo, en relación con nuestras obligaciones legales y contables). Los datos que sea necesario conservar se mantendrán en un entorno más separado. Por ejemplo, nuestro objetivo es trasladar la información de tu pedido de comercio electrónico, como nombre, dirección y número de teléfono, a un entorno separado tres meses después del envío de tu producto.
2. Vamos a reducir los lugares en los que se muestra tu información personal. Por ejemplo, vamos a dejar de incluir nombre, dirección y número de teléfono en los correos de confirmación de pedidos que te enviamos, para que estos datos no pasen por nuestro proveedor de correo electrónico de comercio electrónico.
3. Vamos a implementar un modelo proactivo de mensajería según el cual la información importante sobre cuestiones técnicas y de seguridad se transmitirá a través Ledger Live. El correo electrónico y las redes sociales se usarán SOLO para transmitir mensajes y anuncios de productos.
4. Vamos a evaluar de nuevo de forma detallada a todos nuestros proveedores y socios para asegurarnos de que siguen cumpliendo los estándares más estrictos.

SEGUNDO: los robos y ataques como estos no pueden quedar impunes o sin investigar. Para que las criptodivisas prosperen, aquellos que roben criptodivisas deben sufrir un castigo. Seguimos trabajando en estos casos en conjunto con las autoridades policiales y con investigadores privados, y vamos a incorporar más recursos:

1. Estamos contratando personal adicional de investigación privada para disponer de más experiencia y diferentes enfoques, a fines de encontrar a los responsables de los robos de datos. Vamos a seguir colaborando con las autoridades policiales internacionales para buscar, detener y enjuiciar a los responsables cuando sea posible.
2. Ofreceremos una recompensa por la información nueva que se obtenga legalmente y que derive en la identificación, la detención y el enjuiciamiento de los responsables de los ataques contra Ledger y sus clientes. Ledger ha creado una billetera con 10 BTC (dirección: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) como reserva de recompensa inicial. Ledger distribuirá este botín según su criterio exclusivo, para lo que tendrá en cuenta factores como los siguientes: ¿Se ha obtenido la información de forma legal? ¿Es nueva? ¿Hasta qué punto resulta significativa la información y hasta dónde permitirá que llegue la investigación? ¿Va a permitir el enjuiciamiento de personas? ¿Se ha llevado a cabo un enjuiciamiento? En un nivel más general, estará sujeto a los términos de nuestro programa de recompensas, disponibles aquí.
3. Anunciamos nuestra intención de colaborar en esta iniciativa con otras entidades del sector. Estamos poniéndonos en contacto con empresas y particulares de la criptósfera para financiar este programa de recompensas para los delitos cometidos contra la comunidad cripto. A los CEO de otras empresas del espacio de las cripto les decimos que se pongan en contacto con nosotros cuanto antes para acompañarnos en este proyecto.

Sentimos mucho que se hayan producido estos incidentes y los problemas y la tensión que puedan haber ocasionado a nuestros clientes. La misión de Ledger es mantener la seguridad, por lo que nos tomamos estos incidentes muy en serio, tanto a nivel personal como profesional. Pronto publicaremos una solución técnica que hará que las 24 Palabras dejen de ser el único pilar de seguridad de nuestras billeteras de hardware y abriremos las puertas a seguros de fondos para particulares. Estos ataques no han hecho sino reforzar nuestra determinación de crear y lanzar productos que mantengan tanto tu seguridad como la de tus cripto. En 2021 anunciaremos productos y servicios emocionantes, innovadores y seguros. Ledger mantiene el compromiso de crear los productos más seguros y de proteger el ecosistema de criptodivisas. Sin excepción.

Dedica un instante a recordar que debes estar alerta y tomar todas las medidas posibles para protegerte. Dado que el valor de tus cripto aumenta y cada vez se une más gente al ecosistema, van a seguir siendo objeto de deseo. Crypto Casey resume muy bien la situación y explica cómo puedes protegerte en este video y en este podcast. Toma todas las medidas que tengas a tu alcance para mantener tanto tu seguridad como la de tus cripto.

Todos estamos aquí por el mismo motivo: hace mucho tiempo que creemos en el valor y en el futuro que tienen las criptodivisas y los activos digitales. En Ledger hemos aprendido lecciones muy importantes y seguiremos esforzándonos para asegurarnos de que somos dignos de tu confianza. Muchas gracias por depositarla en nosotros. Nos permite ser más fuertes y resistentes.

Atentamente,

Pascal, Ian, Antoine, Matt, Charles.