BitPay demanda a aseguradora tras perder 1,8 millones de dólares en un ataque de phishing

ACTUALIZACIÓN (17 de septiembre, 15:25 BST):Este artículo se ha actualizado con información adicional, incluidos los documentos judiciales presentados por BitPay en el tribunal federal.

BitPay presentó una demanda contra una compañía de seguros de Massachusetts después de perder 1,8 millones de dólares durante un ataque de phishing en diciembre pasado.

Según documentos obtenidos por laCrónica empresarial de AtlantaEl procesador de pagos de Bitcoin fue estafado a mediados de diciembre por un individuo desconocido que se hizo pasar por el CEO de BTC Media, David Bailey, cuya computadora fue infiltrada antes del ataque.

Posteriormente, el atacante obtuvo las credenciales de correo electrónico del director financiero de BitPay, Bryan Krohn, que luego se utilizaron para incitar al director ejecutivo Stephen Pair y al presidente ejecutivo Tony Gallippi a autorizar tres pagos por un total de5.000 BTClos días 11 y 12 de diciembre, incluida una transacción desde una billetera en el intercambio de Bitcoin Bitstamp.

BitPay presentó una reclamación por las pérdidas días después del incidente ante Massachusetts Bay Insurance Company, que posteriormente la denegó mediante carta fechada el 8 de junio. La representación legal de BitPay impugnó el rechazo, y la aseguradora reafirmó su decisión al mes siguiente.

Tras exigir el cumplimiento de su reclamación, BitPay presentó una demanda ante el Tribunal de Distrito de EE. UU. para el Distrito Norte de Georgia el 15 de septiembre. La empresa alegó incumplimiento de contrato y reclama daños y perjuicios, además de las costas judiciales, además de su reclamación de 950.000 dólares.

El ataque demuestra el riesgo que enfrentan las empresas que manejan monedas digitales ante este tipo de ataques, así como el costo del fraude resultante del fracaso de las políticas operativas para prevenir tales intrusiones.

Cronología del ataque

Los documentos judiciales del juicio, incluida la denuncia y las cartas intercambiadas entre BitPay y los abogados de Massachusetts Bay, describen cómo el agresor, haciéndose pasar por Bailey, inició el ataque enviando un correo electrónico que contenía un LINK a un documento de Google.

La computadora de Bailey había sido comprometida antes de esto, aunque no se mencionan detalles sobre este incidente.

La denuncia afirma:

El correo electrónico falso enviado por quien hackeó la computadora del Sr. Bailey lo dirigió a un sitio web controlado por el hacker, donde proporcionó las credenciales de su cuenta de correo electrónico corporativa de BitPay. Tras obtener sus credenciales de BitPay, el hacker utilizó esa información para acceder a su cuenta de BitPay y realizar una transferencia fraudulenta de Bitcoin.

Una cronología incluida en la carta de negación inicial de Massachusetts Bay brinda más detalles.

"Inmediatamente después de hacer clic en el LINK del documento de Google, el Sr. Krohn introduce su información de autenticación según se le solicita para acceder a los supuestos documentos de Google y recibe un mensaje de error", afirma la carta. "[Krohn] cree que su información privada fue robada en ese momento y que su respuesta le proporcionó al estafador acceso a su correo electrónico".

Un detalle clave incluido en los correos electrónicos ahora era accesible para el estafador: el hecho de que BitPay no exigió a SecondMarket que pagara por adelantado los bitcoins que recibía de la empresa.

Utilizando esta información, el individuo creó una cadena de correos electrónicos que mostraba una conversación entre Krohn y el vicepresidente de SecondMarket, Preston Blankenship, sobre una compra de 1.000 BTC.

El correo electrónico solicita la transferencia de 1000 bitcoins a SecondMarket a la dirección de billetera específica proporcionada. A las 15:33, los bitcoins se envían desde la billetera HOT de BitPay, según la carta de Massachusetts Bay.

Menos de una hora después, la persona que controlaba el correo electrónico de Krohn solicitó el envío de 1000 BTC adicionales a la misma dirección de Bitcoin . Esta cantidad se transfirió desde una cuenta de Gallippi en Bitstamp después de que Pair indicara por correo electrónico que no había fondos suficientes en la billetera "caliente" de BitPay tras la segunda Request.

Al día siguiente, el correo electrónico de Krohn se utilizó para Request que Pair enviara 3.000 BTC adicionales a otra dirección que se decía estaba controlada por SecondMarket.

Pair respondió "para confirmar que esta Request, que excedía la cantidad diaria habitual de 1000 a 2000 Bitcoin entre las empresas, era válida". El agresor respondió copiando una dirección de correo electrónico supuestamente de SecondMarket y confirmando la validez de la Request .

Después de procesar la transacción, Pair confirmó la acción por correo electrónico y copió a la empleada de SecondMarket, Gina Guarnaccia.

Guarnaccia respondió "que no envió el correo electrónico anterior indicando los 3.000 bitcoins y la dirección donde debían enviarse, y que SecondMarket no compró los bitcoins".

Surge una disputa sobre reclamaciones

Tras una investigación, la aseguradora rechazó la reclamación de BitPay. Massachusetts Bay argumentó en su carta de rechazo que BitPay sufrió una pérdida indirecta, no ONE, por lo que el incidente quedó excluido de la cobertura.

La carta decía:

Los hechos presentados no justifican una pérdida directa, ya que no hubo piratería ni acceso no autorizado al sistema informático de BitPay que provocara una transferencia fraudulenta de dinero. En cambio, el sistema informático de David Bailey, socio comercial de BitPay, se vio comprometido, lo que provocó la recepción de correos electrónicos ficticios por parte de BitPay.

"La Regulación no cubre pérdidas indirectas causadas por la piratería del sistema informático de alguien que no sea el asegurado", añade la carta.

Además, la compañía de seguros argumentó que debido a que los bitcoins existen en un medio electrónico, cualquier incidente que resultara en su pérdida no se consideraría como si hubiera ocurrido en las "instalaciones" de BitPay.

Hanover entiende que los bitcoins se almacenaron y transfirieron en línea, y no se encuentran en las instalaciones físicas de BitPay. No parece que las transacciones de Bitcoin implicaran una transferencia de propiedad desde el interior de las instalaciones al exterior de las mismas —escribió la aseguradora—. Por lo tanto, Hanover debe respetuosamente declinar la cobertura de esta pérdida en virtud del Contrato de Seguro contra Fraude Informático.

Una semana después, Morris, Manning & Martin LLP, una firma de abogados que representa a BitPay, respondió exigiendo que la aseguradora rescindiera su rechazo de la reclamación y pagara los 950.000 dólares solicitados.

BitPay refutó la afirmación de que sus pérdidas fueran indirectas, argumentando que Massachusetts Bay malinterpretaba la cláusula de su propia Regulación sobre fraude informático. La compañía declaró además que, según su acuerdo con la aseguradora, sus tenencias de Bitcoin estaban sujetas a una consideración especial dadas las particularidades de la moneda digital.

MBIC acordó añadir Bitcoin a la definición de 'dinero' de la Regulación , asegurando así a BitPay contra la pérdida de Bitcoin. A diferencia del dinero tradicional, Bitcoin no existe físicamente en ningún lugar ni instalación, y no puede transferirse desde ni hacia ninguna ubicación física", escribió la abogada Jessica Pardi en la carta.

"En consecuencia, cualquier acuerdo para asegurar Bitcoin que supuestamente requiera que el Bitcoin esté en las instalaciones de BitPay es ilusorio, y la interpretación de MBIC carece de fundamento y evidencia mala fe", añadió.

En una carta de respuesta enviada por el bufete de abogados LEO & Weber, la aseguradora reafirmó su negativa a honrar el reclamo y refutó los contraargumentos de BitPay sobre que las pérdidas eran directas en lugar de indirectas.

"Desconocemos cualquier prueba que respalde que el autor haya accedido al sistema informático o dispositivo de BitPay. La transferencia final de bitcoins no se produjo a raíz del acceso del autor al sistema informático o dispositivo de BitPay", declaraba la carta. "Finalmente, los superiores del Sr. Krohn decidieron enviar bitcoins en tres transacciones separadas, antes de recibir el pago, a quien creían que era SecondMarket".

Días después, BitPay reiteró sus exigencias y amenazó con demandar si no se le pagaba. La aseguradora se negó a aceptar la reclamación o a pagar la cantidad solicitada, según la denuncia.

BitPay y Massachusetts Bay no respondieron de inmediato a las solicitudes de comentarios.

La queja de BitPay, junto con documentos adicionales, se puede encontrar a continuación:

Queja y documentos de BitPay

Imagen de mazovía Shutterstock

Descargo de responsabilidad:El fundador de CoinDesk, Shakil Khan, es un inversor en BitPay.