Incidente de Seguridad de Coinbase Filtra Datos de Usuarios e Identificaciones Gubernamentales

En un incidente significativo de ciberseguridad, Coinbase ha confirmado que los cibercriminales, ayudados por un grupo de agentes de soporte en el extranjero sobornados, robaron datos sensibles de clientes en un intento de extorsionar a la empresa por 20 millones de dólares.

El incidente salió a la luz después de que los atacantes contactaran a Coinbase por correo electrónico el 11 de mayo de 2025, exigiendo un rescate de 20 millones de dólares a cambio de los datos robados.

Sin embargo, el mayor intercambio de criptomonedas con sede en EE. UU. se negó a pagar el rescate y, en su lugar, optó por establecer un fondo de recompensa de 20 millones de dólares por información que condujera a la arresto y condena de los criminales responsables del ataque.

Qué Sucedió

Según la publicación oficial del blog de Coinbase con fecha del 15 de mayo de 2025, la violación ocurrió cuando un pequeño grupo de contratistas de soporte al cliente, con sede en el extranjero, fueron reclutados por cibercriminales a través de sobornos en efectivo para exfiltrar datos de menos del 1% de los usuarios transaccionando mensualmente de Coinbase.

Su objetivo era compilar una lista de clientes que pudieran ser objetivo al hacerse pasar por Coinbase, para engañar a los usuarios y hacer que entregaran su criptomoneda. Posteriormente, intentaron chantajear a Coinbase, exigiendo 20 millones de dólares para mantener oculta la violación. Sin embargo, Coinbase rechazó la oferta.

Qué Fue Robado

La información robada incluye:

• Nombre, dirección, teléfono y dirección de correo electrónico;

• Números de Seguro Social enmascarados (solo los últimos 4 dígitos);

• Números de cuentas bancarias enmascarados y algunos identificadores de cuentas bancarias;

• Imágenes de identificaciones gubernamentales como licencias de conducir y pasaportes;

• Instantáneas de saldo de datos de cuentas e historial de transacciones; y

• Datos corporativos limitados, incluidos documentos, material de capacitación y comunicaciones disponibles para los agentes de soporte

“Los cibercriminales sobornaron y reclutaron a un grupo de agentes de soporte en el extranjero para robar datos de clientes de Coinbase para facilitar ataques de ingeniería social. Estos internos abusaron de su acceso a los sistemas de soporte al cliente para robar los datos de la cuenta de un pequeño subconjunto de clientes,” escribió Coinbase en una publicación de blog el jueves.

“No se expusieron contraseñas, claves privadas ni fondos, y las cuentas de Coinbase Prime no se vieron afectadas.”

Medidas de Seguridad Tomadas por Coinbase **

Coinbase ha dicho que está asumiendo toda la responsabilidad por proteger a los usuarios afectados. Los clientes impactados, que fueron notificados por correo electrónico el 15 de mayo, serán reembolsados si fueron engañados para transferir fondos a estafadores debido a ataques de ingeniería social.

Además, la empresa también está implementando controles de retiro más estrictos, ya que las cuentas marcadas ahora requerirán verificación adicional de identidad para transacciones grandes, junto con nuevos avisos de concienciación sobre estafas. Está abriendo un nuevo centro de soporte en EE. UU. y añadiendo controles de seguridad más fuertes y monitoreo en todas las ubicaciones.

Adicionalmente, para prevenir futuras violaciones, la empresa ha aumentado las inversiones en detección de amenazas internas, simulación de amenazas de seguridad y respuesta automatizada para identificar amenazas de seguridad similares en su infraestructura.

Enfrentando la Extorsión

En lugar de pagar el rescate, Coinbase está ofreciendo una recompensa de 20 millones de dólares a cualquiera que pueda ayudar a llevar a los perpetradores ante la justicia. La empresa también está trabajando con las fuerzas del orden de EE. UU. e internacionales y ya ha despedido al personal del intercambio involucrado en la violación. Presentará cargos criminales.

“Trabajando con socios de la industria, hemos etiquetado las direcciones de los atacantes para que las autoridades puedan rastrear y trabajar para recuperar activos,” agregó la empresa.

Recomendación a los Usuarios

Coinbase está instando a los clientes a mantenerse vigilantes, ya que los impostores pueden intentar aprovechar la situación haciéndose pasar por empleados de Coinbase. La empresa reiteró que nunca pedirá contraseñas o códigos de 2FA, ni pedirá a los usuarios que muevan fondos a activos a una dirección, cuenta, bóveda o billetera específica o nueva, o que llamen o envíen mensajes de texto a los usuarios para mover fondos a una billetera “segura”.

Si esto sucede, el intercambio de criptomonedas sugiere que los usuarios cuelguen a los impostores, bloqueen inmediatamente su cuenta en la aplicación y envíen un correo electrónico a [email protected] para reportar actividad sospechosa.

Para protegerse contra cualquier posible violación de datos, Coinbase recomienda que sus usuarios habiliten la autenticación de dos factores (2FA) y activen la lista de permitidos de retiros para transferencias seguras.

“Para los clientes afectados, lamentamos la preocupación y los inconvenientes que este incidente causó. Seguiremos asumiendo problemas cuando surjan e invirtiendo en defensas de clase mundial, porque así es como protegemos a nuestros clientes y mantenemos la economía de criptomonedas segura para todos,” concluyó Coinbase.