1 puntos por GN⁺ 2025-05-16 | 1 comentarios | Compartir por WhatsApp
  • Coinbase reveló un incidente en el que personal de soporte en el extranjero fue sobornado y se filtraron datos de clientes; los atacantes intentaron usar esa información en ataques de ingeniería social y el costo de la respuesta se estima en hasta 400 millones de dólares
  • Los atacantes afirmaron haber obtenido, el 11 de mayo, información de cuentas de algunos clientes y documentos internos, y exigieron 20 millones de dólares a cambio de no publicarlos
  • Entre los datos filtrados había nombres, información de contacto, datos bancarios enmascarados, imágenes de identificaciones y saldos de cuenta, pero las contraseñas, claves privadas y fondos no quedaron expuestos, y las cuentas de Coinbase Prime no se vieron afectadas
  • Coinbase se negó a pagar el rescate y está cooperando con las autoridades; además, despidió al personal implicado, advirtió a los clientes potencialmente afectados y reforzó la protección de monitoreo contra fraudes
  • La empresa ofreció una recompensa de 20 millones de dólares por información que lleve al arresto y condena de los responsables, y dijo que reembolsará a los clientes que enviaron fondos engañados por los atacantes

Robo de datos provocado por el soborno a personal de soporte en el extranjero

  • Según Coinbase, ciberdelincuentes sobornaron a agentes de soporte en el extranjero para robar datos de clientes y buscaban usar esa información en ataques de ingeniería social
  • El costo de respuesta a este incidente podría llegar hasta 400 millones de dólares
  • Las acciones de Coinbase cayeron más de 6% en las operaciones de la mañana

Exigencia de 20 millones de dólares y respuesta de Coinbase

  • Coinbase recibió el 11 de mayo un correo electrónico en el que se afirmaba haber obtenido información de cuentas de algunos clientes y documentos internos
    • La empresa informó en una presentación ante la SEC que entre los documentos internos había materiales relacionados con atención al cliente y sistemas de gestión de cuentas
  • Los atacantes exigieron 20 millones de dólares a cambio de no divulgar esa información
  • Coinbase no pagará el rescate y está investigando el caso junto con las autoridades
  • En una entrada de blog, la empresa dijo que, en lugar de aceptar la exigencia, ofrecerá una recompensa de 20 millones de dólares por información que conduzca al arresto y condena de los criminales

Información expuesta y alcance del impacto

  • Entre los datos afectados había información sensible de clientes
    • Nombres, direcciones, números de teléfono y correos electrónicos
    • Números e identificadores de cuentas bancarias enmascarados
    • Últimos 4 dígitos del número de Social Security
    • Imágenes de identificaciones oficiales
    • Saldos de cuenta
  • Las contraseñas, claves privadas y fondos no quedaron expuestos
  • Las cuentas de Coinbase Prime no se vieron afectadas
  • Los clientes que enviaron fondos engañados por los atacantes recibirán reembolso

Abuso de acceso interno y detección previa

  • Los atacantes obtuvieron información sobornando a contratistas en el extranjero y a empleados en funciones de soporte
  • Los internos sobornados abusaron de su acceso a los sistemas de soporte al cliente para robar datos de algunas cuentas
  • Coinbase detectó la intrusión de forma independiente durante los meses anteriores y despidió de inmediato al personal involucrado
  • Advirtió a los clientes que podrían haber estado expuestos y reforzó la protección de monitoreo contra fraudes

Flujo reciente del negocio de Coinbase

  • Coinbase opera la mayor plataforma de intercambio de criptomonedas de Estados Unidos
  • En la última semana anunció una adquisición que se espera ayude a su expansión global, y también quedó confirmada su incorporación al S&P 500, efectiva a partir de la próxima semana
  • En la conferencia telefónica de resultados de la semana pasada, el CEO Brian Armstrong dijo que su meta es convertir a Coinbase en la app de servicios financieros número 1 del mundo en los próximos 5 a 10 años

1 comentarios

 
GN⁺ 2025-05-16
Comentarios de Hacker News
  • Enlace al documento original ante la SEC: https://www.sec.gov/ix?doc=/Archives/edgar/data/0001679788/0...

  • He estado recibiendo de forma constante llamadas de spear phishing de este lado o de alguien que compró los datos filtrados
    Es la táctica típica de decir que hay que verificar una transacción potencialmente fraudulenta, hablan un inglés perfecto con acento estadounidense, suenan muy amables y hasta conocen el saldo de la cuenta
    Por suerte me di cuenta de inmediato en la primera llamada de que era una estafa, y en las demás el filtro de llamadas de Google hizo bien su trabajo
    Si fuera posible, me gustaría pasárselos a Kitboga: https://www.youtube.com/watch?v=HNziOoXDBeg

    • Si tuviste activos importantes en Coinbase antes de esta filtración, el spear phishing es la menor de tus preocupaciones
      Coinbase no solo entregó nombres y direcciones, sino también saldos, historial de transacciones e imágenes de identificaciones gubernamentales; personas con grandes saldos de criptomonedas están siendo atacadas en la calle o en sus casas, o sus familiares son secuestrados para pedir rescate
      Aquí “grande” podría significar menos de 10 mil dólares
      Hasta ahora, la mejor defensa había sido mantener el perfil bajo y no hablar públicamente de criptomonedas de una forma que pudiera vincularse con tu identidad real, pero gracias a Coinbase esa línea de defensa desapareció
      Los delincuentes ahora saben quién tuvo un saldo importante en Coinbase, si lo convirtió a efectivo y por cuánto, y si alguna vez movió tokens a una wallet propia fuera del exchange
      Ahora ya saben a quién vale la pena secuestrar y dónde vive, y si buscan en Google el nombre y la dirección de la casa, en la mayoría de los casos también aparecen los nombres de familiares que podrían convertirse en blanco de extorsión o secuestro
      A Coinbase no la van a obligar a compensar todos los costos reales del daño, y esos costos serían del tamaño suficiente para quebrar a la empresa
    • Cambié de Pixel a iPhone y me impactó la cantidad de llamadas spam
      Me pregunto cómo lidian con esto los usuarios de iPhone
    • Empecé a recibir regularmente mensajes de texto con códigos de verificación de inicio de sesión de Coinbase aunque yo nunca intenté entrar
      Lo mismo me pasa con mi cuenta de Microsoft
      Normalmente solo los ignoro, pero parece que alguien está probando si puede iniciar sesión con mi correo
    • Me pregunto desde hace cuánto vienen aumentando estas llamadas de spear phishing
      Cuesta creer la explicación de que Coinbase no lo vio como un problema sistémico hasta que recibió contacto de “ciberdelincuentes”
    • Desde la llegada de la IA, las estafas se volvieron más sofisticadas y los errores ortográficos comunes casi desaparecieron
      Hace poco, por curiosidad, estaba viendo un correo de phishing y detecté unos caracteres Unicode raros mal traducidos, y enseguida supe que eran rastros de una traducción deficiente
      No es perfecto, pero está bastante bien hecho
  • El problema es que los datos filtrados parecen ser los mismos que se usan para la recuperación de cuenta
    O sea, si pierdes el acceso a tu cuenta, ya sea por error tuyo o de Coinbase, el proceso de recuperación podría dejar de ser algo simple, y los hackers podrían intentar “recuperar” la cuenta usando esta información filtrada
    Coinbase necesita sucursales físicas. Tiene que haber lugares donde se puedan resolver en persona cosas como la recuperación de cuenta, y donde se pueda detener y procesar a quien intente robar dinero; además, eso suele ser una barrera importante para ladrones que operan desde el extranjero
    La única solución aquí es la autenticación en dos pasos con hardware como YubiKey

    • La industria cripto sigue redescubriendo rápidamente por qué existe todo el sistema financiero mundial
      Lo que acabas de describir es básicamente lo que muchos defensores de las criptomonedas llaman un banco
    • Eso es simplemente un banco
    • ¿Y qué se hace si se pierde una autenticación en dos pasos por hardware como YubiKey? ¿No terminas volviendo de todos modos al paso de recuperación de cuenta?
    • Si alguna vez enviaste dinero a una wallet que controlas, hacer que firmes un mensaje con esa clave y que Coinbase lo verifique contra la dirección registrada podría ser un factor de recuperación confiable
      Después de todo, las criptomonedas no dejan de ser otra infraestructura de clave pública
    • El 99% de los datos usados para la recuperación de cuenta son registros públicos o información que ya apareció en decenas de filtraciones masivas anteriores
  • Intenté contactar al soporte de Coinbase para confirmar si me había afectado
    Después de perder tiempo con un bot de IA, por fin me comunicaron con una persona, pero ese empleado no sabía nada de la filtración y yo fui quien se la informó primero

    • Mandaron correo electrónico a las cuentas afectadas
      Fuente: fui afectado
    • Lo que escuchaste fue el guion de “vaya, no sabíamos y usted es la primera persona que nos lo dice”
  • La razón por la que Coinbase tuvo que guardar mucha más información sensible de la necesaria para verificar identidad y autenticación fue el KYC
    Si te roban la foto del pasaporte, y luego delincuentes o empleados maliciosos de Coinbase hacen algo con esa información, parte de la culpa se la puedes agradecer al gobierno

    • El KYC existe por razones bastante válidas
      El problema aquí no es la regulación del gobierno, sino que una empresa privada maneje de forma negligente los datos de sus clientes
      Hacerlo mal sale más barato, y como la información en riesgo no es de la empresa sino del cliente, hay pocos incentivos para protegerla bien a menos que la ley los obligue
    • Esa es una forma demasiado fácil de evadir responsabilidad
      Deberían explicar honestamente por qué todos los agentes de soporte tienen que poder acceder de forma permanente a documentos usados para verificar identidad
      Esos documentos solo se necesitan para el KYC
  • Coinbase parece estar esforzándose bastante por separarse de los llamados “agentes de soporte maliciosos en el extranjero”
    Si eran empleados o contratistas de Coinbase, entonces en la práctica la empresa le vendió sus propios datos a hackers, y luego los hackers volvieron para exigir rescate
    Tiene sentido compensar a clientes que fueron engañados para transferir dinero. La lógica para demandar a Coinbase parece bastante clara, porque sus acciones llevaron a esas pérdidas
    Lo que más me intriga es si una persona que sintió la necesidad de mudarse, cambiar de banco, cambiar de correo electrónico o contratar seguridad privada podría ganar una demanda para cobrarle a la empresa una parte o la totalidad de esos costos

    • Esa interpretación es extraña
      Si empleados de la empresa violaron la política y probablemente extrajeron datos internos de la empresa de forma ilegal para venderlos a hackers, cuesta decir que “la empresa vendió los datos”
  • Publicación del blog de Coinbase: https://www.coinbase.com/blog/protecting-our-customers-stand...
    Dijeron que compensarán a los clientes que fueron engañados por ataques de ingeniería social para enviar fondos a los atacantes, y que ya enviaron correos desde no-reply@info.coinbase.com a los clientes cuyos datos fueron accedidos
    Todas las notificaciones enviadas a los clientes afectados fueron despachadas el 15/5 a las 7:20 a. m., hora del Este

    • Es una decisión interesante haber usado no-reply
      Entiendo que es difícil operar una empresa como Coinbase, pero su mayor fortaleza —la centralización y el soporte al cliente— también es precisamente lo que hace posible este tipo de ingeniería social, así que se siente como una elección extraña
    • Dijeron que “las contraseñas, las claves privadas y los fondos no fueron expuestos, y las cuentas de Coinbase Prime no se vieron afectadas”, pero me pregunto por qué las cuentas de Coinbase Prime no estuvieron incluidas en la filtración
      No sé si hay una capa adicional de protección de datos detrás del muro de pago de Coinbase Prime, o si las evitaron deliberadamente porque es más probable que sean usuarios más experimentados
  • Según la explicación de la filtración, parece que los atacantes pagaron a varios contratistas o empleados que realizaban tareas de soporte fuera de EE. UU. para que recopilaran información desde sistemas internos de Coinbase a los que tenían acceso por su trabajo
    Por los datos filtrados, es muy probable que la fuente haya sido el soporte al cliente en Filipinas
    Como los salarios suelen ser menores a 1,000 dólares al mes y los puestos de entrada pueden ganar menos de 500, un soborno de 5,000 dólares puede equivaler a más de un año de ingresos libres de impuestos
    Es una inversión pequeña considerando lo que se puede ganar con este conjunto de datos
    Los datos filtrados incluyen nombres, direcciones, números de teléfono, correos electrónicos, los últimos 4 dígitos enmascarados del número de Seguro Social, números de cuenta bancaria enmascarados y algunos identificadores bancarios, imágenes de identificaciones oficiales como licencias de conducir y pasaportes, capturas del saldo y del historial de transacciones, además de algunos documentos internos, materiales de capacitación y comunicaciones que el personal de soporte podía ver
    Estos son los datos con los que sueña cualquier atacante, y con solo direcciones de correo y saldos de cuenta ya es una pesadilla
    En vez de extorsionar a la empresa, pueden extorsionar directamente a cada usuario. Algo como: “envía el 50% de tu BTC o publicaremos toda tu información en internet”
    Parece una situación similar a la filtración de datos de Vastaamo: https://en.wikipedia.org/wiki/Vastaamo_data_breach

    • La extorsión a usuarios individuales podría ser la menor de las preocupaciones
      En Francia ha habido al menos 5 casos de secuestros e intentos de secuestro relacionados con inversionistas en criptomonedas desde principios de este año
    • Es aún peor
      Las empresas estadounidenses subcontratan soporte al cliente en Filipinas pagando entre 3 y 6 dólares por hora
      Las empresas proveedoras del servicio tienen una rotación altísima, y en algunas la permanencia promedio del personal es de unos 6 meses
      No hay absolutamente ninguna razón para ser leal
    • Casi no hay regulación gubernamental sobre la IA, no hay castigo por filtraciones de datos, y no existen mecanismos para proteger a la gente de abusos a gran escala
      De hecho, vamos en la dirección opuesta
      Siento que este tipo de shock va a empujar a EE. UU. al caos muy pronto
    • El punto clave no es solo el bajo salario en Filipinas, sino que todos tienen un precio
      En EE. UU. el precio habría sido mucho más alto, pero probablemente también se habría ajustado al mayor beneficio esperado del ataque
  • Independientemente de cómo veas a Coinbase, su respuesta esta vez parece bastante buena
    No pagarán el rescate de 20 millones de dólares; en cambio, ofrecerán una recompensa de 20 millones de dólares por información que lleve al arresto y condena de los responsables

    • No está nada bien
      El titular es “Protecting Our Customers - Standing Up to Extortionists”, y el problema es que redactaron el comunicado de una forma que hace que la gente termine felicitándolos cuando en realidad deberían estar disculpándose por haber filtrado información personal
      Eso es lo que de verdad me enfurece
      Además, el asunto del correo que recibí era “important notice”, y el hecho de que mi cuenta personal había sido afectada aparecía recién en la tercera oración de un párrafo larguísimo
      Nada de esto está bien, y no parece que la empresa se esté tomando el asunto en serio
    • Es la misma táctica que en la película Ransom de 1996: https://youtu.be/haThIxPnYro?si=Jxu0elA-ylB5Z15q
    • Me gusta
      En momentos así, habría sido una buena oportunidad para salir un poco del lenguaje corporativo y decir algo como “¡váyanse al diablo, hackers de mierda!”
      Hasta la gente del Bible Belt aprecia una grosería bien puesta cuando toca
    • Desde la perspectiva del cliente, podría ser mejor pagar el rescate y recuperar la información de identificación personal
      Está bien si además quieren ofrecer una recompensa, pero si fueran mis datos, me importaría más que Coinbase redujera el alcance de la filtración que verla jugando a la cacería de recompensas por venganza
  • Es realmente lamentable que Coinbase tuviera que tener esta información en primer lugar por las regulaciones de conoce a tu cliente
    Deberíamos establecer una norma social fuerte de no compartir información de identificación personal sin una razón legítima
    Esto no es solo un riesgo de robo individual, sino también un riesgo para la seguridad nacional
    Coinbase no hace aportes a mi cuenta del Seguro Social, así que no debería tener mi número de Seguro Social, y como no va a venir a mi casa, no debería tener mi dirección
    Históricamente, las regulaciones de conoce a tu cliente eran comunes en los países del bloque comunista, pero en la mayoría de las democracias habrían sido difíciles de imaginar antes del 11-S
    El 11-S dio una oportunidad perfecta para convertir en ley la lista de deseos de las agencias de inteligencia y, lamentablemente, eso ayuda tanto a agencias de inteligencia extranjeras como a las nacionales, o quizá incluso más
    Aquí se puede ver cuándo se implementó en varios países: https://en.wikipedia.org/wiki/Know_your_customer#Laws_by_cou...

    • Me gustaría ver si puedes seguir repitiendo esa postura después de que hackeen tu cuenta de Coinbase y tengas que buscar una solución