Activos digitales

Filtración de API de 3Commas Destaca Otra Forma de Perder Tu Dinero

mm
Hooded Hacker

En la era digital actual, es más importante que nunca estar al tanto de los riesgos potenciales de violaciones de seguridad en línea, como las filtraciones de API, ya que pueden provocar la pérdida de información personal y datos financieros.

Las filtraciones de API ocurren cuando un tercero accede a la API (Interfaz de Programación de Aplicaciones) de una empresa sin permiso. Esto puede suceder cuando la API de la empresa no está correctamente asegurada, o cuando hackers logran explotar una vulnerabilidad en el sistema. Y una vez que un tercero tiene acceso a la API de la empresa, pueden potencialmente acceder a datos sensibles, como la información de tarjetas de crédito de los clientes o los saldos de sus cuentas.

Las filtraciones de API pueden tener graves consecuencias tanto para las empresas como para los consumidores. Las empresas pueden enfrentar multas elevadas y daños si se comprometen los datos de los clientes, mientras que los consumidores pueden sufrir fraude financiero o robo de identidad. Así que, ¡profundicemos para entenderlo mejor!

Comprendiendo la clave API

Una clave API es un identificador único que se utiliza para autenticar solicitudes a una API (Interfaz de Programación de Aplicaciones). Es una forma de que la API identifique al desarrollador o sistema que realiza la solicitud y garantice que solo se procesen solicitudes autorizadas.

Las claves API se utilizan a menudo para rastrear y controlar el uso de una API, y para asegurar que la API no sea abusada o sobreutilizada. Por lo general, son generadas por el proveedor de la API, y suelen ir acompañadas de una clave secreta para autenticar la clave API y garantizar que sea utilizada por una fuente autorizada.

Para usar una API que requiere una clave API, el sistema debe incluir la clave en las solicitudes que se realizan a la API. Esto generalmente se hace incluyendo la clave en el encabezado de la solicitud o como un parámetro de consulta en la URL de la solicitud.

Existen dos tipos de claves API: privadas y públicas. Las APIs privadas suelen ser accesibles solo a un grupo específico de usuarios o sistemas, y a menudo se utilizan para acceder a datos o funcionalidades sensibles o propietarias. Las APIs públicas, por otro lado, se utilizan frecuentemente para acceder a datos o funcionalidades que están disponibles para el público en general. Las claves API públicas normalmente se emiten a cualquier desarrollador o sistema que desee usar la API.

¿Cómo se utilizan en el trading?

Las claves API se utilizan a menudo en el trading para acceder a una plataforma de negociación financiera, como una bolsa de valores o un intercambio de criptomonedas.

Permiten a los desarrolladores crear aplicaciones que pueden interactuar con intercambios de criptomonedas y ejecutar operaciones en nombre del usuario. Luego pueden usarse para ver información de la cuenta, obtener datos de mercado en tiempo real, colocar órdenes y gestionar posiciones, entre otras cosas.

La idea es que los humanos no tengan que hacer el trabajo duro de pensar o ejecutar sus operaciones. En su lugar, todo se realiza de forma instantánea y automática mediante código. Pero eso cambia cuando personas no autorizadas obtienen acceso a las APIs, ya que eso es todo lo que necesitan para causar estragos.

Después de todo, las claves API suelen ser generadas por el intercambio, y el usuario debe proporcionar la clave al software de trading para poder acceder a la API.

Peligros de usar claves API en el trading

Aunque las claves API pueden ser muy convenientes, también pueden representar un riesgo de seguridad. Por ejemplo, si una clave API se ve comprometida, puede usarse para obtener acceso no autorizado a una cuenta o para ejecutar operaciones en nombre del usuario y desviar fondos.

Además, si la clave se utiliza para acceder a información financiera sensible, como saldos de cuentas o historial de operaciones, podría usarse para estafarte o cometer otros delitos.

Además, las filtraciones de API a menudo son difíciles de detectar, ya que suelen ocurrir dentro del código de una aplicación o servicio, más que en la base de datos o el servidor. Por lo tanto, pueden pasar desapercibidas durante bastante tiempo.

Filtración de API de 3Commas

La semana pasada, se especuló que se habían robado millones de dólares en criptomonedas a través de claves API comprometidas de la plataforma de trading con sede en Estonia, 3Commas, que estaba respaldada por Alameda Research de Sam Bankman-Fried. Esta semana, la empresa admitió que fue la fuente de la filtración de API.

El anuncio de 3Commas se produjo después de que un usuario anónimo de Twitter obtuviera alrededor de 100,000 claves API pertenecientes a los usuarios del proveedor de software de trading y publicara más de 10,000 de esas claves en línea, diciendo que el resto “se publicará completo [sic] aleatoriamente en los próximos días.”

Desde entonces, 3Commas ha solicitado a los intercambios de criptomonedas compatibles, como Binance, Kucoin y otros, que revocaran todas las claves API que estaban conectadas a la plataforma de trading.

La filtración se produce después de que decenas de usuarios de 3Commas afirmaran que sus claves API fueron usadas para ejecutar operaciones en intercambios como KuCoin y Coinbase sin su consentimiento. La plataforma confirmó que los usuarios perdieron al menos 6 millones de dólares a manos de atacantes desde octubre, pero esa cifra se ha duplicado en las últimas semanas.

Inicialmente, 3Commas insistió en que no había ningún problema de seguridad de su parte y que un ataque de phishing había provocado que los usuarios entregaran sus datos. Pero el volcado de datos muestra que las credenciales de los usuarios fueron filtradas y no obtenidas mediante phishing.

3Commas es un bot de trading de criptomonedas popular que permite a los usuarios automatizar sus operaciones en intercambios de terceros. La aplicación utiliza claves API para acceder a las cuentas de los usuarios en los intercambios, y parece que las claves API incluidas en la filtración de esta semana fueron generadas en Binance y KuCoin.

Según el investigador de blockchain @ZachXBT, un grupo de 44 víctimas ha perdido un total de 14,8 millones de dólares a través de claves API robadas de 3Commas. En ese momento, el CEO de 3Commas, Yuri Sorokin, argumentó que si las claves API filtradas hubieran sido de 3Commas, “habrías visto millones de casos, no cien.”

Hay más de 1 millón de claves conectadas a 3Commas, pero solo ~100 usuarios reportaron problemas con sus cuentas, añadió Sorokin. Esta semana, los usuarios criticaron a 3Commas por culpar a sus propios usuarios en lugar de asumir la responsabilidad y centrarse en prevenir más explotaciones.

Antes de la declaración de 3Commas esta semana, el CEO de Binance, Changpeng Zhao, advirtió a los usuarios, diciendo: “Estoy razonablemente seguro de que hay filtraciones generalizadas de claves API de 3Commas. Si alguna vez has puesto una clave API en 3Commas (de cualquier intercambio), por favor desactívala inmediatamente.”

3Commas ahora está animando a los usuarios a generar nuevos códigos API como medida de precaución. Además, también han actualizado la aplicación para que sea más difícil llevar a cabo futuros fraudes de phishing.

Mientras tanto, el equipo legal de 3Commas declaró en un comunicado que la empresa está en proceso de contratar expertos externos para revisar su código y resolver la situación de manera definitiva para los usuarios.

“Solo una fracción minúscula de usuarios reportó actividad anormal a 3Commas. El 99,9 % de las claves API almacenadas en la base de datos de 3Commas no se han visto afectadas por los ataques,” añadió el equipo legal.

Medidas de protección

En el mundo actual, proteger tu API es más importante que nunca, debido al acceso directo que brinda a aplicaciones y datos. No puedes simplemente decir que tu API está segura hoy. La seguridad de la API es necesaria ahora más que nunca.

No asegurar correctamente una API podría meterte en muchos problemas. Por lo tanto, asegúrate de hacer negocios solo con empresas reputadas y nunca compartas tus datos sensibles con nadie a menos que estés absolutamente seguro de que es seguro hacerlo.

Otra forma de protegerse contra filtraciones de API es mantener tus aplicaciones y servicios actualizados y tener un plan para actualizarlos de forma regular. De esta manera, puedes asegurarte de que cualquier vulnerabilidad nueva se corrija lo antes posible. Además, deberías considerar usar un firewall de aplicaciones web (WAF) para ayudar a bloquear solicitudes maliciosas.

Mantén siempre tu clave API segura y protegida, y nunca la almacenes en un lugar donde pueda ser comprometida fácilmente. Es importante cambiar tus claves API regularmente y no compartirlas con nadie, ni siquiera con aquellos en quienes confías. Si debes compartirlas, asegúrate de hacerlo mediante un método seguro, como un archivo protegido con contraseña.

Si alguna vez sospechas que tu clave API ha sido comprometida, cámbiala inmediatamente y notifica a tu intercambio. Para protegerte aún más de estos riesgos, es importante cambiar tus contraseñas regularmente y nunca usar la misma contraseña para múltiples cuentas. Al tomar estas precauciones, puedes ayudar a mantener tu cuenta segura y protegida.

Palabra final

Las filtraciones de API no son nada nuevo. De hecho, existen desde hace bastante tiempo. Y aunque pueden no ser la forma más común de fuga de datos, aún pueden ser bastante dañinas. Esto se debe a que, a diferencia de otros tipos de filtraciones de datos, las filtraciones de API pueden dar a los atacantes acceso directo a tus datos más sensibles.

Aunque no es la única forma de perder dinero, ciertamente es una preocupación importante. Por lo tanto, es fundamental usar las claves API en el trading de manera responsable, estar al tanto de los riesgos y limitaciones potenciales de su uso, y asegurarse de tomar las precauciones necesarias para proteger tu dinero y tu información.

Gaurav comenzó a operar con criptomonedas en 2017 y se enamoró del espacio cripto desde entonces. Su interés en todo lo relacionado con criptomonedas lo convirtió en un escritor especializado en criptomonedas y blockchain. Pronto se encontró trabajando con empresas de criptomonedas y medios de comunicación. También es un gran fanático de Batman.