Coinbase: hackers sobornaron a empleados para robar datos de clientes y luego exigieron un rescate de 20 millones de dólares

 (cnbc.com)
1 puntos por GN⁺ 2025-05-16 | 1 comentarios | Compartir por WhatsApp
  • Coinbase fue afectada por un grupo de hackers con un incidente de soborno a empleados y filtración de datos de clientes
  • Los hackers robaron información de clientes y luego exigieron un rescate de 20 millones de dólares
  • Se confirmó una inusual amenaza de seguridad en la que empleados internos colaboraron con los atacantes
  • Este incidente vuelve a poner en primer plano la importancia de la gestión del riesgo interno en los sectores de exchanges y fintech
  • Se están llevando a cabo medidas de respuesta urgente y protección al cliente para evitar la expansión del daño

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-05-16
Opinión de Hacker News

  • Últimamente he estado recibiendo llamadas de spear phishing muy sofisticadas. Usan el truco típico de decir que tengo que verificar una transacción sospechosa. Hablan un inglés estadounidense perfecto, con una voz muy amable, y hasta conocen el saldo de mi cuenta. En la primera llamada me di cuenta de inmediato de que era una estafa, y desde entonces he estado a salvo gracias a la función de filtrado de llamadas de Google. Dan ganas de pasarle estas llamadas a Kitboga. Empezaron intentando estafar a clientes de Coinbase y al final terminaron intentando extorsionar a Coinbase mismo

    • Si alguna vez tuviste una cantidad considerable de activos en Coinbase, el spear phishing es la menor de tus preocupaciones. Coinbase filtró no solo nombres y direcciones, sino también saldos, historial de transacciones e imágenes de identificaciones. Mucha gente termina sufriendo ataques en la calle o en su propia casa, o incluso secuestros de familiares. Incluso menos de 10 mil dólares ya se considera una cantidad “considerable”. Hasta ahora, la mejor defensa era la discreción, pero gracias a Coinbase eso ya desapareció. Los criminales pueden saber quién alguna vez tuvo una suma grande en Coinbase o la convirtió en efectivo, y localizar fácilmente información de sus familiares o usarlos para extorsión. Aunque Coinbase tuviera la obligación de compensar todos los daños causados por esto, hacerlo sería suficiente para llevar a la empresa a la quiebra

    • Cambié de un Pixel a un iPhone, y me impresiona la cantidad de llamadas spam que recibo. Me pregunto cómo manejan esto en iPhone

    • Me pregunto desde hace cuánto han aumentado las llamadas de spear phishing. No me creo eso de que Coinbase diga que el ataque de hackeo es un problema sistémico

    • Sigo recibiendo mensajes de texto con códigos de verificación de inicio de sesión de Coinbase sin haber intentado entrar. Lo mismo me pasa con mi cuenta de Microsoft. Supongo que alguien está probando si mi correo puede usarse para iniciar sesión

    • Me pregunto de dónde son los números que llaman. He recibido muchas llamadas de phishing, pero nunca contesto números desconocidos. Gracias al Call Screen de Google siempre cuelgan. Por eso estoy seguro de que son estafas

    • Gracias a la IA, las estafas se han vuelto todavía más sofisticadas. También han desaparecido muchos errores ortográficos. Hace poco revisé un correo de phishing por curiosidad y encontré partes mal traducidas con caracteres Unicode extraños. No es perfecto, pero sí se nota que se está volviendo cada vez más engañoso

    • La semana pasada recibí tres o cuatro nada más

    • Me pregunto si ese acento perfecto será gracias al machine learning

    • El hecho de que hablen inglés perfecto y además sepan el saldo de la cuenta me hace pensar si no serán ex empleados de Coinbase

    • Siento con amargura que esto nunca se va a detener, y que ahora el elemento criminal ya se convirtió en capitalismo legalizado

  • Se señala como problema que los datos filtrados parecen ser los mismos que se usan para la recuperación de cuenta. O sea, si pierdes acceso a tu cuenta por un error propio o por un problema del lado de Coinbase, el proceso de recuperación ya no será algo simple. También existe la posibilidad de que un hacker intente recuperar la cuenta usando la información filtrada. Se argumenta que la solución es tener sucursales físicas que permitan recuperación de cuentas en el mundo real. En persona se puede detener y procesar a los delincuentes. Sería una gran barrera para criminales en el extranjero. La solución más segura es la autenticación de dos factores por hardware, como una Yubikey

    • La industria cripto está redescubriendo rápidamente por qué existe el sistema financiero tradicional. Esa “oficina física” que mencionas es lo que muchos partidarios de las criptomonedas llaman un “banco”

    • Si hay un historial de depósitos y retiros directamente desde la wallet propia, otra forma confiable de recuperación sería enviar un mensaje firmado con esa clave a la dirección registrada en Coinbase. La esencia de las criptomonedas es otra forma de PKI

    • Si hubiera sucursales físicas, también aparecería la realidad de que alguien podría quedarse sin acceso a su cuenta sin haber hecho nada mal —por ejemplo, porque el sistema detectó demasiado riesgo de forma exagerada— y entonces tendría que viajar a otra ciudad para resolverlo. En ese caso la gente bloqueada estaría muy molesta

    • Pienso que alguien lo bastante técnico como para usar una Yubikey simplemente compraría una hardware wallet y custodiaría sus fondos por su cuenta

    • Si Coinbase necesita sucursales físicas, entonces eso simplemente significa que es un banco

    • Aunque la autenticación de dos factores por hardware (Yubikey) fuera la única solución, si la pierdes vuelves otra vez al problema de recuperación de cuenta

    • ¿Lo de que Coinbase necesita sucursales físicas lo dices en serio o es sarcasmo?

  • Le pregunté al soporte de Coinbase si mi cuenta estaba afectada por este hackeo. Después de pasar por el chatbot con IA y finalmente hablar con una persona real, resultó que no sabían nada del hackeo. Fui yo quien se los mencionó por primera vez

    • Se enviaron correos a las cuentas afectadas. Yo fui uno de los usuarios afectados

    • También puede ser que el primer cliente simplemente se topó con un agente flojo

    • Me pasó que el agente solo leyó la línea de manual de “no lo sabía, eres la primera persona que me habla de esto”

  • Se nota un esfuerzo de Coinbase por distanciarse de los “empleados de soporte deshonestos en el extranjero”. Si en realidad eran empleados o contratistas de Coinbase, entonces en la práctica la empresa les vendió los datos directamente a los hackers. Compensar a los clientes que perdieron dinero por fraude es de sentido común. Pero si alguien realmente tuvo que mudarse, cambiar de banco o de correo, o incluso contratar personal de seguridad, me pregunto si también podría cobrarle esos costos a la empresa

    • Si un empleado violó la política de la empresa o extrajo ilegalmente datos confidenciales para entregárselos a hackers, me parece exagerado decir que “la empresa vendió los datos”

  • Se comparte lo mencionado en el blog oficial de Coinbase: a los clientes que fueron engañados y transfirieron fondos se les compensará, y a los clientes cuya información quedó expuesta ya se les envió un correo el 15 de mayo a las 7:20 (hora del Este de EE. UU.)

    • Me llamó la atención que eligieran un correo noreply. Coinbase presume la centralización y su centro de atención como grandes ventajas, pero esto demuestra justamente que ese punto hace posibles los ataques de ingeniería social

    • Me pregunto por qué las cuentas de Coinbase Prime no estuvieron incluidas en el alcance de la filtración. No sé si las cuentas Prime tienen una protección especial o si simplemente eran menos interesantes para los estafadores

  • Por las leyes de KYC (conoce a tu cliente) del gobierno, Coinbase está obligada a almacenar mucha más información sensible de la necesaria para verificar la identidad. Que hasta las fotos de identificación hayan sido robadas es culpa del gobierno, además del problema de empleados internos y criminales que no sabemos qué podrían hacer con esa información

    • KYC sí tiene razones suficientes por sí solo. El problema no es la regulación gubernamental, sino las empresas privadas que manejan mal los datos de sus clientes. Mientras peor los gestionen, menos les cuesta, y como no son sus propios datos, tienen poco incentivo para protegerlos. Si no los obligan, no lo harán

    • Decir que por KYC tienen que conservar información sensible de forma continua es una excusa. Hace falta ser honestos sobre por qué todos los agentes de soporte tienen acceso permanente a documentos de identidad

  • Pienso que la respuesta de Coinbase es bastante buena: no pagar ni un centavo del rescate de 20 millones de dólares y, en cambio, crear un fondo de recompensa de 20 millones por información que lleve a capturar a los responsables

    • Señalan que es la misma jugada que usaron en la película 'Ransom' de 1996

    • Desde la perspectiva del cliente, pagar el rescate para limitar la filtración de datos es más importante. Está bien crear un fondo de recompensa aparte, pero lo urgente es proteger los datos cuanto antes

    • Me gusta esta forma de responder. En momentos así, creo que mucha gente conectaría más si la empresa en vez de frases corporativas dijera algo como “¡váyanse al diablo, hackers de mierda!”

  • Solo dijeron que reclutaron a “empleados de soporte deshonestos en el extranjero”. No explican en qué país estaban ni por qué los contrataron en primer lugar. Se hace raro que una empresa que ya factura miles de millones de dólares ni siquiera haya sido capaz de contratar y verificar personal de forma adecuada

  • Sobre la creación del “fondo de recompensa de 20 millones de dólares”, normalmente critico mucho a la industria cripto, pero esta vez sí les doy crédito. Ojalá de verdad paguen esa recompensa

    • Bromean con que hasta podrían pagar la recompensa en criptomonedas

  • Esto da una sensación de déjà vu. Si Coinbase solo se dio cuenta de que algo andaba mal cuando los hackers pidieron dinero, entonces da para sospechar que ni siquiera llevaban registros de acceso de sus empleados. Me pregunto si existe al menos algún mecanismo interno mínimo de trazabilidad. Deberían poder montar un sistema simple de rastreo de accesos y bloquear de inmediato comportamientos anómalos o empleados maliciosos. Después de este desastre, tengo curiosidad por ver cómo serán las indemnizaciones de salida de los altos ejecutivos

    • Según el blog oficial, los empleados de soporte ya tenían acceso a los datos sensibles y se los entregaron a los atacantes a cambio de dinero. Los hackers no accedieron directamente a las cuentas

    • He vivido la experiencia de tener que agregar varias capas de seguridad a paneles administrativos internos cuando se empezó a contratar personal fuera de EE. UU. (registro de logs, monitoreo, aprobaciones de administradores, etc.). En la industria de tarjetas de crédito, los estándares PCI-DSS hacen que la protección de datos sea extremadamente estricta. La industria cripto parece tener una conciencia de seguridad relativamente más baja por la falta de regulaciones de ese tipo

    • Como mínimo, hace falta registro de logs y auditorías posteriores. Tampoco sería descabellado exigir a los agentes de atención datos de verificación que el cliente no pueda conocer fácilmente. Y en los casos donde el propio cliente quede bloqueado fuera de su cuenta, eso podría manejarlo un grupo muy pequeño de empleados con controles mucho más estrictos. Incluso la estadística de que se accedió a menos del 1% de los usuarios mensuales me parece una cifra bastante grande