Demandas y Acusaciones Contra TaskUs
Las enmiendas a una demanda colectiva en Nueva York contra TaskUs han añadido nuevas acusaciones sobre fallos de seguridad sistémicos y ocultamiento en una violación de datos relacionada con los clientes de Coinbase. La demanda enmendada, presentada el martes en el Distrito Sur de Nueva York, incorpora elementos clave a las divulgaciones anteriores sobre cómo se gestionaron los datos de los clientes de Coinbase a lo largo de la línea de tiempo de la masiva violación, desde sus orígenes a finales de 2024 hasta la eventual divulgación de Coinbase en mayo, con pérdidas estimadas que podrían alcanzar hasta 400 millones de dólares.
«Este fue un esquema de soborno criminal que comenzó a finales de 2024 y que explotó tanto a proveedores externos como a un pequeño número de empleados de Coinbase CX fuera de los EE. UU., permitiendo estafas de ingeniería social contra menos del 1% de los usuarios que transaccionan mensualmente»
declaró un portavoz de Coinbase a Decrypt. La bolsa de criptomonedas afirmó que notificó a los usuarios afectados y a los reguladores de inmediato, y reembolsó a los clientes impactados mientras reforzaba los controles sobre proveedores e internos. Coinbase ha terminado desde entonces su relación con TaskUs, negándose a «pagar a los criminales» y, en su lugar, creando «una recompensa de 20 millones de dólares por información que conduzca a arrestos y condenas», confirmó el portavoz a Decrypt.
Detalles de la Violación y Respuesta de TaskUs
TaskUs no respondió de inmediato a las solicitudes de comentarios de Decrypt. Los cambios clave en la demanda describen un esquema coordinado dentro de las operaciones de TaskUs en India, donde supuestamente se sobornó a empleados para fotografiar información sensible de cuentas y pasarla a criminales. Los demandantes afirman que la conspiración se extendió más allá del personal de primera línea, lo que llevó a TaskUs a despedir a alrededor de 300 empleados en enero.
Las declaraciones públicas de la firma de subcontratación supuestamente «desmienten una campaña criminal mucho más amplia y coordinada que involucró a decenas, si no cientos de empleados de TaskUs», señala la demanda. La presentación también acusa a TaskUs de ocultar el alcance de la violación. Según los demandantes, la empresa «tomó medidas para silenciar a aquellos con conocimiento de la violación» y despidió a su propio personal de recursos humanos encargado de investigar el incidente en febrero.
Posteriormente, continuó afirmando a los reguladores que no había sufrido ninguna violación material, y avanzó con una compra de 1.6 mil millones de dólares a través de Blackstone antes de que Coinbase reconociera el incidente en mayo. Un formulario 10-K de TaskUs en febrero no citó ningún factor relacionado con la violación de Coinbase, lo que significaba que efectivamente estaba afirmando que «no tenía conocimiento de ninguna violación de datos material que afectara a la empresa», antes de que Coinbase reconociera el incidente en mayo, alegó la demanda enmendada.
Implicaciones Legales y Normativas
La demanda también amplía las afirmaciones de que TaskUs ignoró la Sección 5 de la Ley FTC, enmarcando las omisiones como sistémicas en lugar de aisladas. Estos estándares guían «lo que las empresas deben hacer para evitar prácticas ‘injustas’ o ‘engañosas'», explicó Andrew Rossow, abogado de asuntos públicos y CEO de AR Media Consulting, a Decrypt.
«Si bien no toda la orientación es legalmente vinculante, ignorarla puede mostrar que una empresa fue descuidada o engañosa.» Los tribunales y reguladores están evaluando si los datos comprometidos eran lo suficientemente sensibles como para exponer a las personas al robo de identidad o a pérdidas financieras, explicó Rossow. También examinarán si se emplearon salvaguardias como cifrado o autenticación multifactor, si los riesgos eran predecibles, si las promesas de seguridad se alineaban con la realidad y si los consumidores tenían algún medio para protegerse.
