Bloomberg — En la larga lista de empresas de criptomonedas que han sido hackeadas, abundan los ejemplos de pérdidas financieras mucho más dolorosas que las que parece afrontar Coinbase Global Inc. (COIN) por el ataque que reveló el jueves.
Sin embargo, éste destaca por su importancia mucho más allá de los US$400 millones que la empresa espera que le cueste: Esta vez, la víctima ha sido posiblemente la empresa estadounidense más influyente del sector.
Coinbase es la empresa que lideró la marcha de la industria de los activos digitales hacia el sistema financiero convencional como la primera bolsa de criptomonedas que cotiza en bolsa. Es la empresa que salvaguarda la parte del león de los US$122.000 millones en tokens que poseen los fondos cotizados en bolsa spot-Bitcoin. Y es la firma que hizo gran parte del trabajo pesado cuando se trató de la juerga de gastos de campaña de la industria para enviar un pelotón de legisladores pro cripto a Washington este año.
Ver más: ¿Cómo Coinbase pasó de no tener influencia a ocupar una posición de poder político?
De hecho, la revelación del pirateo se produce sólo tres días después de que la empresa coronara el logro de generalizar la clase de activos digitales con su incorporación al índice S&P 500, un acontecimiento que hará que sus acciones entren a formar parte de planes de jubilación por valor de billones de dólares y de otros productos de inversión que siguen el indicador de referencia. El pirateo, sumado a las noticias posteriores sobre una investigación persistente de la Comisión de Bolsa y Valores sobre la forma en que la empresa comunicó sus cifras de usuarios, hizo que las acciones cayeran más de un 7% el jueves.
Aunque la empresa afirma que el servicio Coinbase Prime, que custodia criptomonedas para emisores de ETF y presta servicios a otros inversores institucionales, no se vio afectado, los piratas informáticos sí tuvieron acceso casi constante a algunos de los datos de clientes más valiosos de Coinbase Global Inc. desde enero, según una persona familiarizada con el incidente que pidió no ser nombrada para hablar de asuntos de la empresa.
El plan de los piratas informáticos fue descarado, aunque no especialmente impresionante desde el punto de vista tecnológico: Sobornaron a los representantes de los clientes para robarles los datos y luego exigieron un rescate de US$20 millones para borrarlos. Coinbase empezó a notar una actividad inusual por parte de algunos de estos representantes ya en enero, según confirmó la empresa en una entrevista con Bloomberg News.
Los representantes sobornados obtuvieron acceso a nombres, fechas de nacimiento, direcciones, nacionalidades, números de identificación emitidos por el gobierno, algunos datos bancarios, así como detalles sobre cuándo se crearon las cuentas de los clientes y sus saldos, dijo la persona familiarizada con la situación. Esta información podría utilizarse para intentar suplantar la identidad de Coinbase y convencer a los clientes de que dejen entrar a los piratas informáticos en su cuenta. También podría utilizarse para suplantar a las víctimas ante otros proveedores de servicios e intentar convencerles de que dejen entrar a los piratas informáticos en otras cuentas financieras que mantengan.
Para algunos operadores con grandes saldos en la bolsa, el incidente fue alarmante por razones que van más allá de las posibles pérdidas financieras, teniendo en cuenta el secuestro y la mutilación del co-CEO de una startup de criptomonedas a principios de este año y los informes de otros incidentes similares.
“Es una brecha importante, la cantidad de información personal compartida es asombrosa”, dijo Mike Dudas, socio gerente de la firma web3 6MV, que dijo haber sido blanco de los hackers de Coinbase. “Hará que la gente tenga que considerar su seguridad física personal, especialmente con las cosas que están ocurriendo en Francia y en otros lugares”.
Los piratas informáticos habían sobornado a suficientes representantes del servicio de atención al cliente para lograr un acceso efectivo a la información de los clientes de Coinbase en los últimos cinco meses, dijo la persona. El director de seguridad de Coinbase, Philip Martin, rebatió la afirmación de un acceso casi constante, afirmando en una entrevista con Bloomberg News que la empresa retiró el acceso a los agentes en cuanto se descubrió que estaban compartiendo información de forma indebida. Por lo tanto, los piratas informáticos “no tuvieron un acceso persistente a lo largo de todo el periodo”, afirmó.
“Lo que estos atacantes estaban haciendo era encontrar a empleados y contratistas de Coinbase con sede en India que estuvieran asociados con nuestras operaciones de externalización de procesos empresariales o de soporte, ese tipo de cosas, y sobornarlos para obtener datos de clientes”, explicó Martin.
Coinbase detectó a los agentes, los puso en cuarentena y los despidió en cuanto la empresa se percató de la actividad.
“Así que hubo una serie de incidentes específicos de soborno que este ataque, que este actor de la amenaza está reclamando crédito por todo el curso de ese tiempo, pero no tenían acceso persistente en el curso de todo el período”, dijo.
Los piratas informáticos tuvieron acceso a estos datos tan recientemente como el miércoles, dijo la persona familiarizada con el incidente. Martin dijo que “no tenemos ninguna razón para creer que eso sea cierto en absoluto” pero que no podía “probar una negativa”.
Bloomberg News tiene conocimiento de que se ha accedido a los datos de una persona notable con un elevado patrimonio, a la que Bloomberg no revela por razones de privacidad.
David Jeong, un CEO de criptomonedas en Nueva York, dijo que recibió un mensaje de texto de un número no identificado el 3 de abril, en el que se le pedía que verificara el inicio de sesión de su cuenta personal. Después recibió otro mensaje de un número diferente el 4 de mayo. Jeong dijo que no ha utilizado una contraseña de un solo uso de Coinbase desde hace dos años.
Coinbase dijo en una presentación regulatoria que recibió un correo electrónico anónimo de los piratas informáticos haciendo su demanda de rescate el 11 de mayo. Añadió que en los meses previos a ese correo electrónico había detectado casos de agentes de atención al cliente fuera de EE.UU. que recopilaban datos de sistemas internos. El pasado fin de semana, algunos clientes premium recibieron correos electrónicos que sugerían que se había accedido a su información.
“En Coinbase, supervisamos activamente nuestros sistemas para garantizar que sólo se accede a la información de los clientes cuando es necesario y de acuerdo con nuestras estrictas normas de seguridad. Queríamos hacerle saber que hemos detectado actividad que sugiere que se puede haber accedido a información relacionada con su cuenta de una forma que no se ajusta a nuestras políticas internas”, dijo la empresa en un correo electrónico a clientes revisado por Bloomberg. “La información no implicaba su contraseña, frase semilla o cualquier otra información que hubiera permitido a alguien acceder directamente a su cuenta o a sus fondos”.
En el correo electrónico, Coinbase recomendó a los clientes que se aseguraran de “supervisar regularmente su cuenta, utilizando una contraseña fuerte y única.”
Menos del 1% de los usuarios que realizan transacciones mensuales en la bolsa se vieron afectados, dijo Coinbase el jueves. Además de reforzar los controles de seguridad para los afectados, Coinbase dijo que reembolsaría íntegramente a quienes hubieran perdido dinero. En lugar de pagar el rescate, la bolsa está ofreciendo una recompensa de US$20 millones a quien tenga información que conduzca a la detención y condena de los atacantes.
Los ataques informáticos han asolado durante mucho tiempo la industria de las criptomonedas, gracias a su fuerte dependencia del anonimato de los usuarios y del complejo software digital. Alrededor de US$2.200 millones se perdieron por este tipo de incidentes en 2024, según el investigador Chainalysis. Operar bajo la amenaza de ataques ha sido especialmente doloroso para las bolsas de criptomonedas, que suelen ser objetivos importantes y afrontan elevados costes continuos para mantener una seguridad estricta.
Este tipo de ataque denominado de ingeniería social, en el que los delincuentes utilizan a las personas para obtener acceso no autorizado a los datos, en lugar de explotar fallos en el código informático, es un tipo de amenaza que se ha hecho cada vez más popular en el cripto, dando lugar a recientes incidentes importantes como el hackeo de US$1.500 millones de la bolsa de criptomonedas Bybit en febrero. Con un precio de US$400 millones para cubrir el coste de reembolsar a los usuarios, entre otros cargos, el incidente se sitúa como el octavo mayor hackeo de criptomonedas de la historia, según datos de Elliptic.
“Lamentablemente, a medida que nuestra incipiente industria crece con rapidez, atrae la atención de los malos actores, que cada vez son más sofisticados en el alcance de sus ataques y aprovechan las nuevas herramientas y técnicas de IA para eludir las medidas de prevención del fraude”, afirmó Nick Jones, CEO de la plataforma de tecnología criptográfica Zumo. “Esto es comprensiblemente un gran golpe para una empresa que ha tenido unas semanas cruciales”.
Ver más: Coinbase sustituirá a Discover Financial en el S&P 500 y sus acciones suben
Mientras tanto, el New York Times informó de que la Comisión de Bolsa y Valores ha estado investigando si Coinbase falseó sus cifras de usuarios en divulgaciones pasadas como parte de una investigación que comenzó durante el gobierno de Biden.
“Esta es una investigación remanente de la administración anterior sobre una métrica que dejamos de reportar hace dos años y medio, la cual fue completamente revelada al público”, dijo Paul Grewal, director jurídico de Coinbase, en un comunicado. “Aunque creemos firmemente que esta investigación no debería continuar, seguimos comprometidos a trabajar con la SEC para llevar este asunto a su fin.”
Con la colaboración de Muyao Shen y Olga Kharif.
Lea más en Bloomberg.com
