Un supuesto hacker ético (que no persiguen fines delitivos) puso en jaque a la exchange de criptomonedas Kraken, luego de revelar una falla crítica en la plataforma y aprovecharla para sustraer u$s3 millones.
El individuo, que se hace llamar "sombrero blanco", se niega a devolver los fondos y exige una recompensa, algo que llevó a la plataforma a calificarlo de extorsionador.
Robo a la exchange Kraken: qué ocurrió
El problema estaba en el sistema de depósito de Kraken. Básicamente era una falla que permitía a los usuarios aumentar artificialmente el saldo de sus cuentas sin realizar un depósito real. El error fue detectado por investigadores de seguridad externos, quienes alertaron a la exchange.
La plataforma afirma haber solucionado el error en menos de una hora, tras recibir la notificación. Sin embargo, la compañía decidió no recompensar a los investigadores responsables, debido a su posterior comportamiento.
Según Nick Percoco, director de seguridad de Kraken, el supuesto investigador no solo no proporcionó pruebas sobre la vulnerabilidad, sino que la explotó para robar u$s 3 millones y ahora se niega a devolverlos.
"No divulgaremos el nombre de esta compañía de investigación porque no merecen reconocimiento por sus acciones. Estamos tratando esto como un caso criminal y nos estamos coordinando con las autoridades competentes", señalaron.
Los hackers demostraron la falla al sustraer u$s3 millones, pero se niegan a devolver el dinero porque no obtuvieron una recompensa por reportarla
"Son casos muy difíciles de resolver. La exchange parece tener una postura inamovible, aunque también se deberá probar el supuesto robo y avanzar con las penalidades correspondientes en tal caso", afirma a iProUP Segundo Carranza Torres, abogado especialista en tecnología.
Percoco detalla que el individuo aprovechó la falla para acreditar su cuenta con u$s4 millones en criptomonedas, cantidad suficiente para probar el error y solicitar una recompensa. Sin embargo, en lugar de seguir el protocolo, comunicó la falla a otras dos personas, quienes extrajeron maliciosamente casi u$s3 millones de la plataforma.
"Se nos acusa de ser irrazonables y poco profesionales por solicitar que los 'hackers de sombrero blanco' devuelvan lo que nos robaron. Increíble", razona Percoco en su cuenta de X.
Robo a la exchange Kraken: qué pide el hacker
Según lo expuesto por el exchange, los supuestos investigadores se negaron a colaborar con Kraken y exigieron una llamada con el equipo de ventas de la plataforma. Además, demandaron una recompensa sin aceptar devolver los fondos robados.
Kraken entendió que el accionar del individuo califica como extorsión y no como hacking de sombrero blanco. La compañía dice defender su programa de recompensas por errores, al que considera un escudo vital de seguridad, y reitera que no premiará a este individuo por no cumplir con las normas establecidas.
"Este caso pone de relieve un dilema en la industria de las criptomonedas: cómo recompensar a los hackers éticos que descubren vulnerabilidades sin incentivar la extorsión. La transparencia y la comunicación clara entre las plataformas y los investigadores son clave para evitar este tipo de situaciones", agrega Carranza.
"Como investigador de seguridad, su licencia para piratear una empresa se habilita siguiendo las reglas simples del programa de recompensas por errores en el que participa. Ignorar esas reglas y extorsionar a la empresa revoca su 'licencia para piratear'. Te convierte a ti y a tu empresa en delincuentes", asegura Nick Percoco.
Kraken informó públicamente sobre el error y la extorsión, buscando generar conciencia en la industria. Queda por ver si el hacker devolverá los fondos o si Kraken tomará acciones legales.
Robo a la exchange Kraken: cómo son los programas de recompensas
Los programas de recompensas por errores, también conocidos como bug bounty programs, son iniciativas implementadas por plataformas digitales, empresas de software y organizaciones para incentivar a investigadores de seguridad y hackers éticos a identificar y reportar vulnerabilidades en sus sistemas, productos o servicios.
"Establecen reglas claras y recompensas atractivas para aquellos que descubran y reporten de manera responsable fallas de seguridad en los sistemas de la organización", comenta a iProUP Rodrigo Lucero, especialista en tecnología.
El experto agrega que "las recompensas pueden variar desde sumas de dinero considerables hasta reconocimiento público, acceso a eventos exclusivos o la oportunidad de colaborar con la empresa".
Estos programas ofrecen diversos beneficios para las plataformas y organizaciones que los implementan. Algunos de ellos son una mejora de la seguridad, detección temprana de fallos, reducción de costos y mejora de la imagen de marca.