Qué Hacer Después de Su Primer Ciberataque – Para Que No Haya un Segundo

Phemex comparte sus lecciones aprendidas de su incursión sin precedentes.

Incluso los líderes de opinión son susceptibles a los riesgos de operar un negocio en línea. Phemex, un intercambio híbrido que incorpora procesos de primera categoría tanto de plataformas centralizadas como descentralizadas, sufrió un ataque por parte de un actor de amenaza serio a finales de enero.

En lugar de evitar este evento indeseado, el equipo de Phemex decidió ser directo y transparente al respecto, y tal vez esa sea la lección más importante que puedan extraer de ello.

“Queremos utilizar este artículo para abordar el incidente, explicar cómo lo manejamos y detallar las medidas que hemos tomado para prevenir que ocurran incidentes similares en el futuro,” dice Federico Variola, CEO de Phemex.

Destacó que, si bien el ataque provino de un actor de amenazas altamente sofisticado, la gran mayoría de los fondos de los usuarios nunca estuvieron en riesgo y el intercambio cubrió las pérdidas de todos los usuarios.

“También reanudamos las operaciones principales tan pronto como fue posible e inmediatamente renovamos nuestra infraestructura de seguridad para las billeteras calientes con el fin de minimizar significativamente estos riesgos de seguridad en el futuro,” continuó.

Ataque y defensa

El atacante tiene un historial de hackeos en criptomonedas y se considera extremadamente sofisticado, por lo que la naturaleza del ciberataque fue compleja y difícil de prevenir. Estos perpetradores no han sido identificados públicamente por las autoridades, pero probablemente residen en un estado que respalda este tipo de acciones y están probablemente protegidos contra cualquier enjuiciamiento u otra acción legal.

El reciente hackeo de Bybit parece estar relacionado con el mismo grupo, según Variola, pero los incidentes son diferentes.

“En nuestro caso, se atacó una billetera caliente,” dijo. “En el caso de Bybit, fue su billetera fría principal de ETH.”

Phemex emplea sistemas separados de billeteras calientes y frías con el fin de minimizar el riesgo de pérdida durante “casos límite” – jerga de ciberseguridad para referirse a un problema o situación que ocurre en el límite extremo de lo que es normal o esperado.

“Solo se robaron fondos de nuestra billetera caliente, y esa minimización de pérdidas es exactamente la razón por la que tenemos billeteras calientes y frías separadas desde el principio,” según Variola. “Lo que ocurrió es indudablemente un evento negativo, pero está dentro de los límites de lo que es aceptable para que nuestro intercambio maneje.”

El ataque fue perpetrado mediante ingeniería social, dirigido a empleados de Phemex a través de Telegram. A informe completo del incidente aparece en Medium.

Las estimaciones sitúan el valor total de los fondos robados por un valor de 85 millones de dólares, por lo que la transparencia y la confiabilidad para los usuarios fueron de las máximas prioridades de Phemex mientras ocurría el ataque.

“Notificamos inmediatamente a los usuarios,” continúa Variola, “y pudimos asegurarles que sus fondos estaban seguros alentándolos a que verificaran por sí mismos utilizando nuestra autoverificable.”Herramienta de Prueba de Reservas con Árbol Merkle.”

Una vez que Phemex contuvo y evaluó los daños, el siguiente paso fue minimizar el perjuicio. Algunos fondos ya han sido recuperados. Los fondos robados que aparecieron en otros exchanges fueron congelados de inmediato.

“La recuperación de fondos aún está en curso y tenemos la esperanza de recuperar una cantidad considerable de los activos robados,” afirma Variola. Aun así, “todavía contamos con los recursos para operar a plena capacidad.”

Mientras tanto, Phemex está colaborando con las fuerzas del orden, empresas de ciberseguridad y otras plataformas criptográficas en el proceso de recuperación. El exchange pudo restaurar la funcionalidad central para los usuarios en un plazo de 24 horas, posiblemente una de las recuperaciones más rápidas tras un hackeo realizada por cualquier exchange criptográfico establecido. Posteriormente, Phemex implementó una revisión estricta y manual de las transacciones de depósito y retiro para reforzar la seguridad y garantizar que no se realizaran transacciones maliciosas en las horas inmediatas siguientes.

Lecciones aprendidas, acciones tomadas

Inmediatamente después de la violación, el equipo técnico de Phemex diseñó e implementó una nueva infraestructura de seguridad de billetera caliente más robusta.

“Una lección importante que hemos aprendido y sobre la cual hemos reflexionado es que Phemex ha crecido muy rápido durante el último mercado alcista y algunos de nuestros procedimientos operativos quedaron rezagados respecto a nuestro crecimiento,” dice Variola. “Este ciberataque mostró que el tipo de medidas de seguridad que pudieron haber sido aceptables para nuestro tamaño anterior ahora ya no son aceptables para nuestra escala actual.”

La nueva estructura de Phemex está diseñada con una arquitectura de confianza cero y aprovecha la tecnología avanzada de Enclave. Esto incluye AWS Nitro para lograr una seguridad robusta a nivel de chip en las carteras calientes.

Si bien eso resuelve el problema inmediato, no pondría a Phemex por delante de los hackers. Por lo tanto, el equipo tomó medidas para proteger todas las billeteras que cualquiera de sus usuarios pudiera tener.

“Planeamos emplear un sistema de billeteras en niveles con billeteras frías,” dice Variola. “También se aplicaría a las billeteras calientes, que mantendrán una proporción mucho menor de nuestros fondos en el futuro.”

El sistema escalonado también se aplica a billeteras calientes, que combinan la conexión a internet, velocidad y eficiencia de las billeteras calientes con la seguridad mejorada y el control manual de las billeteras frías.

Phemex también está aumentando la fuerza laboral dedicada a la seguridad de la infraestructura, con diferentes equipos supervisando elementos separados y un menor número de personas teniendo acceso a todo el sistema. De extremo a extremo, promete Variola, cada tarea será revisada por terceros líderes en la industria.

Eso podría ralentizar el ritmo de la prestación de servicios de Phemex en un paso, pero el equipo de Variola está convencido de que debe hacerse.

“Las operaciones de nuestra bolsa serán más complejas utilizando el nuevo sistema, pero esto no se puede evitar porque la seguridad es la máxima prioridad,” afirma Variola. “Tenemos una confianza extrema en el nuevo sistema y estamos solicitando certificaciones de terceros sobre estos estándares de seguridad.”