Seguridad ilusoria en Illusory Systems: cómo la empresa logró pasar por alto el robo de 186 millones de dólares

La Comisión Federal de Comercio de EE. UU. (FTC) presentó cargos contra la empresa Illusory Systems, también conocida como Nomad, por graves incumplimientos en materia de ciberseguridad. Según la agencia, la negligencia en la protección de datos permitió que actores malintencionados explotaran una vulnerabilidad en el código y robaran a los usuarios 186 millones de dólares. Ahora la empresa debe devolver los fondos a las víctimas y poner sus procesos de seguridad en consonancia con los requisitos establecidos.

Según la declaración de la Comisión, en junio de 2022 Nomad desplegó una actualización que contenía un error crítico. A las pocas semanas, desconocidos empezaron a explotar activamente esa brecha para retirar fondos. Además, el sistema de respuesta a incidentes resultó tan débil que la empresa no pudo detener el ataque a tiempo, lo que provocó un daño a gran escala.

La Comisión centró especial atención en la discrepancia entre las promesas públicas de Nomad y la situación real. A pesar de las declaraciones sobre la prioridad de la seguridad, en la práctica ni siquiera se aplicaron medidas básicas: no se emplearon prácticas de programación seguras, no existían procesos establecidos para recibir notificaciones sobre vulnerabilidades y se ignoraron tecnologías comunes que podrían haber minimizado los riesgos.

Además, con anterioridad la empresa ya había recibido advertencias sobre la necesidad de realizar pruebas exhaustivas y garantizar un nivel adecuado de protección. Sin embargo, según representantes de la comisión, Illusory Systems ignoró esas recomendaciones y no estableció controles apropiados, incluido el control del personal responsable de la seguridad.

En el marco del acuerdo propuesto, la empresa debe implantar un programa completo de seguridad de la información, someter estos procesos a una evaluación independiente al menos una vez cada dos años y devolver a los usuarios los fondos que se pudieron recuperar parcialmente tras el incidente. Además, se le prohíbe hacer declaraciones engañosas sobre la seguridad de sus servicios.

La Comisión aprobó la denuncia y el proyecto de acuerdo por unanimidad. El documento se publicará en el Registro Federal, y durante 30 días cualquiera podrá dejar comentarios. Tras ese periodo, la comisión tomará una decisión sobre la aprobación final de las condiciones. El incumplimiento de los requisitos que figuren en el documento definitivo se considerará una infracción y podrá conllevar multas de decenas de miles de dólares por cada incumplimiento.