Coinbase, la plataforma de intercambio de criptomonedas con más de 100 millones de usuarios, ha revelado que un grupo de atacantes sobornó a empleados de soporte externos y obtuvo información personal de aproximadamente el 1 % de sus clientes. Los delincuentes intentaron extorsionar a la compañía exigiendo 20 millones de dólares a cambio de no publicar los datos, y el incidente podría costar a la empresa entre 180 y 400 millones en compensaciones y medidas de contención.
El vector de ataque no fue un exploit sofisticado, sino el clásico, y a menudo subestimado, riesgo interno. Los criminales localizaron a varios agentes de atención al cliente subcontratados en el extranjero (según las primeras pesquisas, en India) y les ofrecieron dinero a cambio de sus credenciales o de que realizasen consultas directas sobre la base de datos de Coinbase. Con ese acceso, los insiders copiaron registros alojados en las herramientas internas de soporte.
Los datos robados incluyen nombre, dirección, teléfono, correo electrónico, los últimos cuatro dígitos del SSN, números de cuenta bancarios parcialmente enmascarados, imágenes de documentos de identidad y un historial resumido de transacciones. No se vieron comprometidas las claves privadas, las contraseñas ni los monederos de los clientes, pero la información filtrada es suficiente para lanzar campañas de suplantación (phishing / vishing) extremadamente creíbles.
Tras detectar accesos anómalos, Coinbase despidió a los implicados, notificó a la SEC y rechazó pagar el rescate. La empresa prevé destinar hasta 400 millones de dólares para reembolsar a usuarios que puedan caer en futuras estafas y para reforzar la detección de amenazas internas. Entre las medidas anunciadas figuran la apertura de un nuevo centro de soporte en EE. UU., la implantación obligatoria de 2FA y la función de “withdrawal allow-list” para cuentas con mayor riesgo.
Recomendaciones
- Desconfía de cualquier llamada o correo que te pida mover fondos «a una cartera segura» o solicite códigos 2FA.
- Activa la lista de direcciones autorizadas de retirada y verifica cada transacción mediante un segundo canal.
- Las empresas deben recordar que el control de accesos y la monitorización de actividades privilegiadas son tan críticos como los parches de software; el factor humano sigue siendo la puerta trasera más barata.
Más información:
- Sergiu Gatlan, “Coinbase data breach exposes customer info and government IDs”, BleepingComputer. https://www.bleepingcomputer.com/news/security/coinbase-discloses-breach-faces-up-to-400-million-in-losses/
- Ravie Lakshmanan, “Coinbase Agents Bribed, Data of ~1% Users Leaked; $20M Extortion Attempt Fails”, The Hacker News. https://thehackernews.com/2025/05/coinbase-agents-bribed-data-of-1-users.html
