Se publican registros que apuntan a que el ataque contra Coinbase ocurrió durante meses antes de que la empresa supiera de la intrusión

 (jonathanclark.com)
1 puntos por GN⁺ 2025-11-17 | Aún no hay comentarios. | Compartir por WhatsApp
  • En enero de 2025 salió a la luz un caso en el que el atacante ya conocía datos personales sensibles, como el número de Seguro Social y el saldo en bitcoin
  • La víctima envió de inmediato un informe técnico detallado al equipo de seguridad de Coinbase, pero durante los 4 meses siguientes no recibió respuesta a las preguntas clave
  • Coinbase no reconoció hasta mayo la filtración interna de datos por parte de empleados de un contratista en el extranjero (TaskUs) y anunció un impacto de cerca del 1% de los clientes y hasta 400 millones de dólares en daños
  • El análisis de encabezados de correo reveló una estructura de ataque en varias etapas, con envíos falsificados a través de Amazon SES, uso de números de Google Voice y ataques de bombardeo por SMS
  • El vacío de 4 meses entre el reporte y la divulgación pública deja en evidencia fallas en la vigilancia de seguridad y en la respuesta, además de subrayar el problema de confianza en los exchanges centralizados

Resumen del incidente

  • El 7 de enero de 2025, la víctima recibió un correo con el asunto “Solicitud de retiro de 2.93 ETH” y después una llamada que suplantaba a Coinbase
    • La persona que llamó conocía datos no públicos como el número de Seguro Social, el saldo en bitcoin y la información de la licencia de conducir
    • La víctima lo reportó de inmediato al equipo de seguridad de Coinbase y entregó un análisis detallado con encabezados de correo, grabaciones de voz e información sobre el atacante
  • Brett Farmer, responsable de Trust & Safety en Coinbase, respondió que era “un informe muy sólido”, pero después no contestó ninguna de las consultas de seguimiento

Inconsistencias con el anuncio oficial de Coinbase

  • Coinbase dijo que detectó la intrusión hasta el 11 de mayo de 2025 y la hizo pública el 15 de mayo
    • Los atacantes sobornaron a empleados de TaskUs en India para robar datos de clientes
    • Datos filtrados: nombre, dirección, número de teléfono, correo electrónico, últimos 4 dígitos del número de Seguro Social, imágenes de identificaciones oficiales, saldos de cuenta e historial de transacciones
    • El alcance estimado fue de menos del 1% de los clientes y pérdidas de entre 180 y 400 millones de dólares
  • Sin embargo, la víctima ya había presentado en enero evidencia de que los atacantes tenían acceso a datos internos, y Coinbase la ignoró

Estructura detallada del ataque

  • Falsificación de correo electrónico:
    • La dirección del remitente era commerce@coinbase.com, pero el servidor real de envío era Amazon SES(a32-86.smtp-out.amazonses.com)
    • La firma DKIM pasaba tanto para coinbase.com como para amazonses.com, dando una apariencia de legitimidad
    • El Return-Path estaba configurado como amazonses.com, lo que sugiere posibilidad de falsificación
  • Fraude telefónico:
    • El número de origen 1-805-885-0141 fue identificado como un número de Google Voice
    • El atacante intentó convencer a la víctima de “mover los activos a una cold wallet”
  • Ataque de bombardeo por SMS:
    • Justo después de la llamada, llegaron cientos de mensajes de texto spam
    • Se analiza como una técnica de ruido para preguntar por códigos de autenticación de dos factores (2FA) y alertas de seguridad

Problemas de Coinbase

  • Subcontratación de tareas sensibles de seguridad: personal contratado en el extranjero podía acceder a datos de identidad de clientes e información de cuentas
  • Fallo en la detección de la intrusión: aunque el ataque ya estaba en curso desde enero, los sistemas internos de monitoreo no lo detectaron hasta mayo
  • Ignorar reportes de usuarios: Coinbase no respondió durante 4 meses al informe técnico ni a las preguntas de la víctima
  • Retraso en la divulgación: aunque el ataque llevaba meses ocurriendo, el reconocimiento oficial solo llegó después de una exigencia de rescate

Recomendaciones de seguridad para usuarios

  • No confiar en números telefónicos ni en el identificador de llamadas; siempre volver a verificar con el número oficial del sitio
  • No confiar aunque el atacante conozca datos personales; hace falta autenticación en ambos sentidos
  • Revisar el análisis de encabezados de correo para confirmar servidor de envío y resultados de SPF y DKIM
  • Verificar el número de devolución de llamada y confirmar identidad mediante procesos de autenticación dentro de la app
  • Rechazar solicitudes urgentes de mover fondos y usar 2FA basada en app en lugar de SMS
  • Ante un intento de ataque, reportarlo de inmediato con toda la información técnica disponible

El significado del vacío de 4 meses

  • La víctima entregó en enero evidencia de la intrusión y grabaciones, pero Coinbase no respondió hasta mayo
  • Durante ese periodo, otros clientes también pudieron haber estado expuestos al mismo ataque
  • El silencio de Coinbase deja al descubierto fallas estructurales en el sistema de alertas de seguridad y en el proceso de atención al cliente
  • El caso simboliza los problemas de confianza y responsabilidad en los exchanges centralizados, y la víctima concluyó que “ese silencio duró 120 días”

Preguntas clave que siguen abiertas para Coinbase

  • ¿Cuándo ocurrió realmente la filtración de datos?
  • ¿Cuál fue el número de víctimas entre enero y mayo y cómo se procesaron esos reportes?
  • ¿Cuál fue la causa del fallo en los controles de acceso interno y hubo respuesta regulatoria?
  • ¿Se puede verificar la efectividad de las medidas de seguridad mejoradas que afirma haber implementado Coinbase?

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.