La brecha en Coinbase está relacionada con la filtración de datos de clientes en India: Informe

Ideas clave:

• Al parecer, Coinbase conocía la filtración de datos de clientes en las instalaciones de TaskUs India desde enero de 2025.
• Un empleado indio fotografió el ordenador del trabajo para facilitar datos de clientes a piratas informáticos a cambio de sobornos.
• Más de 200 empleados de TaskUs despedidos en un despido masivo tras la investigación de la filtración de datos de Coinbase.

Una reciente investigación sobre la filtración de datos de Coinbase ha revelado que la empresa de intercambio ya tenía conocimiento de una filtración de datos de clientes en un centro de subcontratación indio en enero de 2025.

Esto ocurrió mucho antes de que se revelaran los detalles de la filtración en mayo . En el incidente estaban implicados empleados de TaskUs en India, que supuestamente proporcionaron información sobre clientes de Coinbase a piratas informáticos a cambio de sobornos.

Empleado de TaskUs pillado fotografiando datos de clientes en la India

Según cinco antiguos trabajadores de TaskUs que hablaron con Reuters , la brecha en la sede de la empresa en India se descubrió después de que se viera a una empleada de la ciudad de Indore utilizando su teléfono personal para hacer fotos de la pantalla de su ordenador de trabajo.

La mujer y un presunto cómplice estaban supuestamente proporcionando información de clientes de Coinbase a piratas informáticos externos a cambio de sobornos.

Los compañeros que presenciaron el suceso y los investigadores de la empresa informaron rápidamente a otros miembros del personal al respecto. Según el artículo, en cuanto TaskUs se enteró del incidente de Coinbase, informó a la bolsa.

Fuente: Noticias indias sobre el despido de TaskUs

El incidente se produjo en enero de 2025. Sin embargo, Coinbase sólo se dio cuenta del alcance total de la campaña de seguridad tras recibir una demanda de extorsión de 20 millones de dólares el 11 de mayo de 2025.

Tras el descubrimiento, TaskUs llevó a cabo un despido masivo que se saldó con el despido de más de 200 empleados. Esta acción también atrajo la atención de los medios de comunicación indios. La magnitud de los despidos sugiere que la empresa tomó amplias medidas para abordar los posibles riesgos de seguridad en sus operaciones.

TaskUs confirmó en un comunicado que dos empleados habían sido despedidos a principios de 2025 tras acceder ilegalmente a información de clientes. Sin embargo, la empresa no identificó inicialmente a Coinbase como el cliente afectado.

Según la empresa de subcontratación, informó inmediatamente al cliente de la conducta. Pensaron que ambos formaban parte de una conspiración delictiva mayor y planificada que afectaba a otros proveedores de servicios que trabajaban con el mismo cliente.

Coinbase retrasó la divulgación de la información a pesar de haber tenido pronto conocimiento de la filtración

La revelación de la cronología de la brecha ha suscitado preguntas sobre cuándo la empresa tuvo conocimiento por primera vez del incidente de seguridad y por qué tardó meses en informar al público.

Coinbase fue informada del problema de TaskUs en cuanto se detectó, en enero de 2025. Según fuentes de Reuters, pero la empresa no hizo pública la brecha hasta una presentación ante la SEC el 14 de mayo.

Fuente: Snap de la presentación de Coinbase ante la SEC del 14 de mayo

La bolsa de criptomonedas había culpado anteriormente a “agentes de soporte en el extranjero” de la brecha, sin proporcionar detalles específicos sobre la cronología o el alcance de su conocimiento.

En su presentación ante la SEC de mayo, Coinbase declaró que sabía que los contratistas habían accedido a datos de empleados “sin necesidad empresarial” en “meses anteriores”. Sin embargo, afirmaron que sólo se dieron cuenta de que el acceso formaba parte de una campaña más amplia cuando recibieron la demanda de extorsión el 11 de mayo.

La filtración afectó a 69.461 usuarios, aunque esto representa una pequeña fracción de la base total de clientes de Coinbase. Sin embargo, el alcance de los datos que se filtraron hizo que el incidente fuera muy preocupante para los usuarios afectados.

Coinbase no aceptó la petición de rescate de 20 millones de dólares. En lugar de ello, reveló públicamente la brecha y notificó a los usuarios afectados. También ofreció una recompensa de 20 millones de dólares por pistas que condujeran a la detención de los atacantes.

El coste total estimado oscila entre 180 y 400 millones de dólares, debido principalmente al coste de la reparación, los reembolsos a los clientes y las pérdidas por estafas de phishing posibilitadas por la información robada.

Múltiples agentes extranjeros implicados en la filtración coordinada de Coinbase

El pirateo de Coinbase fue más importante que el de TaskUs e incluyó lo que parece ser un ataque criminal coordinado contra múltiples proveedores de servicios.

Coinbase admitió en su carta a Reuters que “ha puesto fin a su relación con los empleados de TaskUs implicados y otros agentes extranjeros”.

TaskUs calificó el incidente como parte de una “actividad delictiva organizada mucho mayor” que afectó no sólo a su negocio, sino también a “varios otros proveedores que trabajaban para este cliente”.

Esto significa que los piratas informáticos habían establecido una red de contactos en diferentes empresas subcontratadas que se encargaban de las funciones de atención al cliente de Coinbase.

El alcance de la empresa delictiva sugiere un elaborado plan de robo de datos. Al parecer, los piratas informáticos utilizaron a trabajadores de distintas plantas extranjeras para acceder a los datos de los clientes.

Reuters no ha podido verificar si se ha detenido a alguien en relación con la filtración. La investigación está en curso, y los agentes de la ley trabajan contrarreloj para encontrar y procesar a los autores del ataque coordinado a la información de los clientes de Coinbase en varias instalaciones de todo el mundo.