Mejore su destreza tecnológica con cursos de habilidades de alto valor
| Ofreciendo Universidad | Curso | Sitio web |
|---|---|---|
| CON xPRO | Liderazgo e innovación en tecnología del MIT | Visita |
| Escuela de Negocios de la India | Gestión de productos ISB | Visita |
| Instituto Tecnológico de Delhi | Programa de certificación en ciencia de datos y aprendizaje automático | Visita |
¿Cuándo se considera un evento de fuerza mayor?
En medio de innumerables ciberataques, el incidente también ha planteado una pregunta más importante: ¿se puede clasificar un ataque de malware como un evento de «fuerza mayor» y cuándo? ¿Puede un proveedor de servicios eludir su responsabilidad?
Según el abogado principal de la Corte Suprema, NS Nappinai, “en el opaco mundo de las criptomonedas, el contrato es el rey. Los términos se recogen invariablemente en contratos de formato estándar y no se negocian. Incluir una amplia gama de circunstancias en una fuerza mayor es una práctica estándar, pero la misma está protegida por aquellas circunstancias que están fuera del control del oferente. Si bien cualquier resultado fuera del control del oferente puede incluirse en una fuerza mayor, no protegerá automáticamente a la parte de la responsabilidad”.
“La parte tendría que demostrar que se tomaron todas las medidas preventivas y de protección previsibles para mitigar los riesgos. Una exención de responsabilidad no puede considerarse una renuncia a la misma”, afirmó Nappinai, fundador de Cyber Saathi, una organización especializada en leyes y recursos cibernéticos.
Un portavoz de WazirX dijo que la mayoría de los proveedores de servicios de activos digitales virtuales y algunos de los corredores de bolsa incluyen la violación cibernética como un evento de fuerza mayor porque tales ataques a menudo están fuera del control razonable del proveedor de servicios.
El 18 de julio de 2024, se robaron activos por un valor de aproximadamente 235 millones de dólares (casi 2000 millones de rupias) tras un ataque a una billetera criptográfica WazirX administrada por Liminal, un proveedor de custodia digital. Se trataba de una billetera multifirma que requería varias firmas (de WazirX y Liminal) para aprobar una transacción. Las investigaciones en curso pueden identificar el punto de la infracción y las fallas.
El funcionario de WazirX afirmó que la plataforma seguía “estrictas medidas de seguridad” y que Liminal proporcionaba “infraestructura de seguridad avanzada”. A pesar de esto, el atacante, que se especula que es el grupo Lazarus con sede en Corea del Norte, eludió las capas de seguridad, dijo la persona.
Los exchanges de criptomonedas rivales coinciden en que una plataforma atacada por un malware de terceros puede justificarlo como un evento de fuerza mayor siempre que se implementen medidas de seguridad razonables. “El concepto de fuerza mayor incluye tanto ‘acto de Dios’ como ‘acto de personas’. La fuerza mayor se regirá por el contrato ejecutado entre el usuario y el exchange”, dijo Tushar Tarun, director legal de CoinDcx, uno de los exchanges más grandes.
Vacío regulatorio
Sin embargo, en un vacío regulatorio, no existen medidas de seguridad cibernética establecidas por ningún regulador o autoridad central que las bolsas de criptomonedas deban seguir. En la India, las criptomonedas no están prohibidas (como en China y Bangladesh) ni permitidas con restricciones (como en los EE. UU., el Reino Unido y los Emiratos Árabes Unidos). Pero las transacciones y las ganancias de las criptomonedas están fuertemente gravadas y las bolsas están obligadas a frenar las normas de lavado de dinero. “Si hubiera ocurrido un fraude de 2000 millones de rupias en una correduría o en una bolsa de valores, se habría armado un escándalo. Aquí, el gobierno no parece estar preocupado. Y los comerciantes que evadieron impuestos o movieron dinero no hablaron”, dijo un funcionario de la industria.
Sangram Gayal, quien dirige la práctica de investigaciones cibernéticas en PwC, cree que no hay nada de fuerza mayor en una violación cibernética, ya que es deber fiduciario de una organización de servicios financieros implementar medidas de ciberseguridad adecuadas. “Uno debería preguntarse si las bolsas de criptomonedas tienen controles como los de los bancos. En ausencia de controles adecuados, un atacante sofisticado puede llevar a cabo un fraude grave. Las criptomonedas son el salvaje oeste de los servicios financieros… Desafortunadamente, hay recursos limitados para las partes afectadas”, dijo Gayal.
¿Cuál sería el curso de acción de la policía cibernética central y los organismos de vigilancia como I4C y CERT-In, que están rastreando el fraude en WazirX? “El mandato de I4C y CERT-In puede no extenderse a brindar ayuda a las víctimas privadas de recursos en caso de fuerza mayor, pero las medidas de seguridad y protección exigidas por estas organizaciones sin duda pueden servir para señalar las deficiencias de la organización, si las hubiera, lo que anularía la defensa por fuerza mayor”, dijo el abogado Nappinai.
Un portavoz de la asociación Bharat Web3 Association (BWA) dijo que sus miembros (las bolsas de criptomonedas) acordaron seguir las pautas sobre protección del consumidor y cotización de tokens. “Nuestras empresas miembro se adhieren a las mejores prácticas en materia de ciberseguridad. Todos estamos comprometidos a aprender de estos incidentes y utilizarlos como catalizador para fortalecer nuestras iniciativas”, dijo BWA.
