Se publican registros que apuntan a que el ataque contra Coinbase ocurrió durante meses antes de que la empresa supiera de la intrusión

 (jonathanclark.com)
1 puntos por GN⁺ 2025-11-17 | 1 comentarios | Compartir por WhatsApp
  • En enero de 2025 salió a la luz un caso en el que el atacante ya conocía datos personales sensibles, como el número de Seguro Social y el saldo en bitcoin
  • La víctima envió de inmediato un informe técnico detallado al equipo de seguridad de Coinbase, pero durante los 4 meses siguientes no recibió respuesta a las preguntas clave
  • Coinbase no reconoció hasta mayo la filtración interna de datos por parte de empleados de un contratista en el extranjero (TaskUs) y anunció un impacto de cerca del 1% de los clientes y hasta 400 millones de dólares en daños
  • El análisis de encabezados de correo reveló una estructura de ataque en varias etapas, con envíos falsificados a través de Amazon SES, uso de números de Google Voice y ataques de bombardeo por SMS
  • El vacío de 4 meses entre el reporte y la divulgación pública deja en evidencia fallas en la vigilancia de seguridad y en la respuesta, además de subrayar el problema de confianza en los exchanges centralizados

Resumen del incidente

  • El 7 de enero de 2025, la víctima recibió un correo con el asunto “Solicitud de retiro de 2.93 ETH” y después una llamada que suplantaba a Coinbase
    • La persona que llamó conocía datos no públicos como el número de Seguro Social, el saldo en bitcoin y la información de la licencia de conducir
    • La víctima lo reportó de inmediato al equipo de seguridad de Coinbase y entregó un análisis detallado con encabezados de correo, grabaciones de voz e información sobre el atacante
  • Brett Farmer, responsable de Trust & Safety en Coinbase, respondió que era “un informe muy sólido”, pero después no contestó ninguna de las consultas de seguimiento

Inconsistencias con el anuncio oficial de Coinbase

  • Coinbase dijo que detectó la intrusión hasta el 11 de mayo de 2025 y la hizo pública el 15 de mayo
    • Los atacantes sobornaron a empleados de TaskUs en India para robar datos de clientes
    • Datos filtrados: nombre, dirección, número de teléfono, correo electrónico, últimos 4 dígitos del número de Seguro Social, imágenes de identificaciones oficiales, saldos de cuenta e historial de transacciones
    • El alcance estimado fue de menos del 1% de los clientes y pérdidas de entre 180 y 400 millones de dólares
  • Sin embargo, la víctima ya había presentado en enero evidencia de que los atacantes tenían acceso a datos internos, y Coinbase la ignoró

Estructura detallada del ataque

  • Falsificación de correo electrónico:
    • La dirección del remitente era commerce@coinbase.com, pero el servidor real de envío era Amazon SES(a32-86.smtp-out.amazonses.com)
    • La firma DKIM pasaba tanto para coinbase.com como para amazonses.com, dando una apariencia de legitimidad
    • El Return-Path estaba configurado como amazonses.com, lo que sugiere posibilidad de falsificación
  • Fraude telefónico:
    • El número de origen 1-805-885-0141 fue identificado como un número de Google Voice
    • El atacante intentó convencer a la víctima de “mover los activos a una cold wallet”
  • Ataque de bombardeo por SMS:
    • Justo después de la llamada, llegaron cientos de mensajes de texto spam
    • Se analiza como una técnica de ruido para preguntar por códigos de autenticación de dos factores (2FA) y alertas de seguridad

Problemas de Coinbase

  • Subcontratación de tareas sensibles de seguridad: personal contratado en el extranjero podía acceder a datos de identidad de clientes e información de cuentas
  • Fallo en la detección de la intrusión: aunque el ataque ya estaba en curso desde enero, los sistemas internos de monitoreo no lo detectaron hasta mayo
  • Ignorar reportes de usuarios: Coinbase no respondió durante 4 meses al informe técnico ni a las preguntas de la víctima
  • Retraso en la divulgación: aunque el ataque llevaba meses ocurriendo, el reconocimiento oficial solo llegó después de una exigencia de rescate

Recomendaciones de seguridad para usuarios

  • No confiar en números telefónicos ni en el identificador de llamadas; siempre volver a verificar con el número oficial del sitio
  • No confiar aunque el atacante conozca datos personales; hace falta autenticación en ambos sentidos
  • Revisar el análisis de encabezados de correo para confirmar servidor de envío y resultados de SPF y DKIM
  • Verificar el número de devolución de llamada y confirmar identidad mediante procesos de autenticación dentro de la app
  • Rechazar solicitudes urgentes de mover fondos y usar 2FA basada en app en lugar de SMS
  • Ante un intento de ataque, reportarlo de inmediato con toda la información técnica disponible

El significado del vacío de 4 meses

  • La víctima entregó en enero evidencia de la intrusión y grabaciones, pero Coinbase no respondió hasta mayo
  • Durante ese periodo, otros clientes también pudieron haber estado expuestos al mismo ataque
  • El silencio de Coinbase deja al descubierto fallas estructurales en el sistema de alertas de seguridad y en el proceso de atención al cliente
  • El caso simboliza los problemas de confianza y responsabilidad en los exchanges centralizados, y la víctima concluyó que “ese silencio duró 120 días”

Preguntas clave que siguen abiertas para Coinbase

  • ¿Cuándo ocurrió realmente la filtración de datos?
  • ¿Cuál fue el número de víctimas entre enero y mayo y cómo se procesaron esos reportes?
  • ¿Cuál fue la causa del fallo en los controles de acceso interno y hubo respuesta regulatoria?
  • ¿Se puede verificar la efectividad de las medidas de seguridad mejoradas que afirma haber implementado Coinbase?

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-17
Opiniones en Hacker News

  • Según un reporte de Reuters del 2 de junio, salió a la luz que Coinbase sabía desde enero sobre una filtración de datos de clientes a través de un contratista externo
    Según una divulgación ante la SEC del 14 de mayo, el 11 de mayo Coinbase recibió un correo de un atacante desconocido afirmando haber obtenido información de cuentas de clientes y documentos internos, incluidos materiales relacionados con sistemas de atención al cliente y administración de cuentas

    • Yo le reporté este problema a Coinbase el 7 de enero. El momento coincide exactamente. Por la actitud confiada del empleado con el que hablé, no parecía que yo hubiera sido el primero en reportarlo
    • Parece que la palabra “contratista externo” se va a volver un subtítulo recurrente en este tipo de noticias

  • Hace tiempo me tocó hacer trabajo de red en la oficina compartida donde estaba Coinbase, y la contraseña de administrador estaba escrita en un pizarrón y se veía desde el pasillo
    Lo señalé por correo e incluso les cobré, y su solución fue poner un papel encima de la contraseña. Eran tiempos realmente absurdos

    • Mandar una factura por un servicio no solicitado es una buena forma de lograr que nadie se tome en serio tus correos
    • Esto no me sorprende en lo más mínimo. Toda la industria de Bitcoin y fintech es demasiado temeraria

  • Hace como un mes recibí en Reino Unido una llamada de alguien que decía ser de Coinbase
    Cuando les dije que en mi cuenta solo tenía como £5 en Bitcoin Cash, perdieron el interés al instante y dijeron que lo manejarían por correo
    Me preguntaron si tenía “cold storage” y respondí que tenía refrigerador. Era cierto

    • Jaja, la próxima vez que me llegue una llamada spam también voy a usar ese chiste

  • El título del artículo es demasiado clickbait
    En realidad solo se trata de una grabación donde un atacante de phishing intenta sacar información, y eso no demuestra que Coinbase supiera de la filtración
    Que el denunciante haya entregado el material a Coinbase no significa que ellos ya estuvieran al tanto del breach

    • Yo envié a Coinbase la grabación de la llamada y los correos, y me respondieron: “este reporte es muy sólido y vale mucho la pena investigarlo. Ahora mismo estamos investigando al estafador
    • Parece que no leíste bien el artículo. Todo lo necesario está ahí mismo

  • La historia es interesante, pero me molesta mucho que el texto esté escrito con IA. Fue incómodo de leer

    • Me gustaría preguntar cómo puedes estar tan seguro. Los LLM imitan la forma de hablar de los humanos, pero esa forma de hablar también viene del estilo de alguien.
      Es muy posible que los patrones de lenguaje actuales de los LLM sean el resultado de copiar los hábitos de escritura de alguien
    • No sé si se escribió con IA, pero repite lo mismo una y otra vez. Se podría recortar a un tercio y diría exactamente lo mismo
    • A mí también me molestó ese “tono tipo LinkedIn” tan propio de la IA. La estructura de las oraciones mejoró, pero siguen apareciendo dramatizaciones exageradas, listas innecesarias y títulos artificiales como “The Call That Changed Everything”
      En particular, expresiones como “The Timeline That Doesn’t Make Sense” no encajan con el contenido real.
      Si una gran empresa está en medio de una investigación compleja, es normal que tarde en anunciar algo, pero la IA ignora el contexto y concluye de inmediato que “es raro”.
      Este tipo de juicios sin contexto me parece el mayor problema de los textos escritos con IA
    • Para hacer esa afirmación hace falta evidencia

  • Es difícil considerar esto como evidencia
    El autor solo recibió una llamada de phishing y la reportó a Coinbase. Coinbase recibe cientos de reportes de phishing así todos los días
    La información que conocía el atacante también pudo venir de otra filtración de datos. También es muy posible que el cliente haya expuesto por error la información de su cuenta

    • Al principio pensé que lo habían rastreado vinculando el historial de transacciones en blockchain con mi nombre.
      Pero el atacante conocía hasta mi saldo de ETH y BTC, y la fecha de apertura de la cuenta.
      La fecha de apertura quizá se pueda rastrear, pero conocer al mismo tiempo los saldos de ambas monedas parece imposible sin información interna de Coinbase

  • La línea de tiempo es interesante, pero este caso por sí solo no basta para decir que Coinbase sabía de la filtración
    El malware de screen scraping es común y, desde la perspectiva de un analista, es natural pensar primero en una infección del lado del cliente
    De hecho, muchas veces hackean al cliente y luego culpan a la empresa

    • Pero cuando envié la grabación de la llamada y hasta los encabezados del correo, el jefe de Trust & Safety de Coinbase me respondió directamente: “este reporte es muy sólido. Ahora mismo estamos investigando al estafador”

  • Yo también detecté señales de hackeo en Coinbase por fechas parecidas
    Hasta una API key de Discord se filtró y no la resetearon hasta abril o mayo.
    Eso parece indicar que incluso comprometieron el secrets manager central

  • Nuestra organización también usa Coinbase, y a inicios de febrero de 2025 recibimos un intento de ataque
    Por suerte, la persona encargada de la cuenta era muy desconfiada y verificó directamente con el contacto oficial de la otra organización, evitando así el daño