Violación de Coinbase: los atacantes exigen un rescate de USD 20 millones

Coinbase ha revelado un ciberataque dirigido que involucra a contratistas extranjeros sobornados, lo que resultó en una importante violación de datos que afectó a menos del 1% de sus usuarios activos mensuales.

Si bien no se expusieron fondos, contraseñas ni claves privadas, los atacantes accedieron a los sistemas internos y extrajeron información confidencial de los clientes.

El incidente pone de manifiesto la creciente preocupación por las amenazas internas en las plataformas de criptomonedas centralizadas y llega en un momento crucial, con Coinbase preparándose para su inclusión en el índice S&P 500.

La compañía ha lanzado nuevas protecciones para los usuarios y espera hasta 400 millones de dólares en gastos relacionados.

Los contratistas sobornados permitieron el acceso

La violación se produjo a través de un esfuerzo coordinado de ingeniería social en el que se sobornó a un grupo de contratistas extranjeros para que otorgaran a los atacantes acceso a herramientas internas.

Aunque Coinbase no especificó el país involucrado, confirmó que las cuentas de Coinbase Prime utilizadas por las instituciones no se vieron afectadas.

Los atacantes obtuvieron información bancaria parcial, direcciones, números de teléfono y dígitos de la Seguridad Social enmascarados, con el objetivo de hacerse pasar por la plataforma y extraer más activos a través del phishing.

Coinbase advirtió que la información estaba destinada a dirigirse a los usuarios en estafas de seguimiento haciéndose pasar por agentes de soporte legítimos.

Rechazan rescate de 20 millones de dólares

Después de que se descubrió la violación, los atacantes exigieron un pago de 20 millones de dólares para permanecer en silencio.

Coinbase rechazó la demanda y, en cambio, desvió la cantidad a un fondo de recompensas para ayudar a localizar a los responsables.

La compañía ahora ofrece hasta 20 millones de dólares por información que conduzca al arresto y condena de los atacantes.

Coinbase también ha contratado a empresas de análisis de blockchain para marcar las direcciones conectadas a los atacantes, congelar los posibles activos robados y supervisar el flujo de fondos.

Las agencias de aplicación de la ley en los EE. UU. y en el extranjero han sido alertadas para presentar cargos penales.

Nuevas protecciones implementadas

Para limitar futuros ataques y mitigar los riesgos de la violación, Coinbase ha implementado varios protocolos de seguridad nuevos.

Estos incluyen verificación de identidad adicional durante los retiros, alertas de estafas en tiempo real y un escrutinio mejorado para las cuentas marcadas como de alto riesgo.

Se ha puesto en marcha un nuevo centro de atención al cliente en Estados Unidos para reducir la externalización de terceros.

Internamente, Coinbase ha fortalecido su detección de amenazas internas y ahora realiza pruebas continuas de equipo rojo.

Se ha comprometido a hacer que los clientes afectados sean “completos” si otras estafas tienen éxito utilizando los datos robados, y está revisando posibles reclamaciones de indemnización.

La cotización del S&P 500 en el punto de mira

La divulgación se produce pocos días antes de la entrada de Coinbase en el S&P 500, lo que la convierte en la primera empresa nativa de criptomonedas en lograr la distinción.

Con costos estimados de la violación que oscilan entre USD 180 millones y USD 400 millones, los analistas esperan que aumente el escrutinio sobre la infraestructura de seguridad y la resistencia operativa del exchange.

Coinbase dijo que se está llevando a cabo una evaluación completa de las pérdidas, las reclamaciones legales y las posibles recuperaciones, pero el incidente subraya los desafíos que enfrentan los exchanges centralizados para proteger los datos de los usuarios contra amenazas externas e internas.