Este jueves, Coinbase anunció en su sitio Web, que una banda de ciberdelincuentes sobornaron y reclutaron a un grupo de agentes de soporte extranjeros para robar datos de clientes del criptointercambio con los que se pudieran facilitar ataques de ingeniería social.
Según explicó Coinbase, el grupo de agentes de soporte infiltrados abusaron de su acceso a los sistemas de soporte para robar los datos de las cuentas de un pequeño grupo de clientes, aunque no aclaró que tan pequeño era el grupo de clientes.
Sin embargo, aclaró que en el procedimiento estos agentes de soporte infiltrados, no tuvieron acceso a contraseñas, claves privadas ni fondos, y las cuentas de Coinbase Prime permanecen intactas ya que ese grupo de ciberdelincuentes no tuvo acceso a ninguno de los datos de ese servicio.
Una vez que los agentes de soporte obtuvieron los datos, fueron contactado por una banda de ciberdelincuentes que intentaron extorsionar a Coinbase, para no revelar los datos y hacerlos públicos, pidiendo una suma de 20 millones de dólares en criptomonedas.
El comunicado del criptointercambio más grande de Estados Unidos, reveló los detalles de cómo esta banda de ciberdelincuentes atacaron a los agentes de atención al cliente en el extranjero, usando ofertas de dinero.
Estos ciberdelincuentes, convencieron “a un pequeño grupo de personas con información privilegiada de copiar datos” de las herramientas de atención al cliente de Coinbase, lo que les permitió hacerse con menos del 1% de los usuarios que realizan transacciones mensuales en dicha plataforma de criptomonedas estadounidense.
En concreto, los ciberdelincuentes tenían como objetivo “recopilar una lista de clientes con los que pudieran contactar haciéndose pasar por Coinbase, engañando a la gente para que les entregara sus criptomonedas. Luego intentaron extorsionar a Coinbase por 20 millones de dólares para encubrir el asunto”.
El comunicado afirma que los ciberdelincuentes consiguieron una serie de datos sensibles entre los que están: “Nombre, dirección, teléfono y correo electrónico, Seguridad Social enmascarada (solo los últimos 4 dígitos), Números de cuentas bancarias enmascarados y algunos identificadores de cuentas bancarias”.
Lo más grave es que consiguieron: “Imágenes de identificación oficial (por ejemplo, licencia de conducir, pasaporte), Datos de la cuenta (instantáneas de saldo e historial de transacciones), Datos corporativos limitados (incluidos documentos, material de capacitación y comunicaciones disponibles para los agentes de soporte)”.
Por razones obvias, la contundente respuesta de Coinbase a la extorsión, fue un rotundo “No” y en su lugar decidieron hacer público el incidente, para luego crear un fondo de recompensa de 20 millones de dólares para dar con los ciberdelincuentes, en lugar de pagar el rescate.
El objetivo de este fondo de recompensa de 20 millones dólares es para pagar recompensas a las personas que brinden información que conduzca “al arresto y condena de los atacantes”, la cual se procesará por correo electrónico en la dirección: [email protected] con la palabra “[BOUNTY]” en el asunto.
Por otro lado, Coinbase aclaró que no pudieron conseguir los ciberdelincuentes a través del método de ataque que utilizaron contra el criptointercambio estadounidense. El comunicado dice que no pudieron conseguir: “Credenciales de inicio de sesión o códigos 2FA, Claves privadas, Cualquier capacidad de mover o acceder a los fondos del cliente”.
Del mismo modo, estos ciberdelincuentes tampoco consiguieron: “Acceso a cuentas de Coinbase Prime ni acceso a cualquier billetera caliente o fría de Coinbase o de un cliente de Coinbase”. Asimismo, Coinbase prometió reembolsar a los clientes que fueron engañados para enviar fondos a los atacantes debido a ataques de ingeniería social.
De acuerdo con el comunicado, aquellos usuarios cuyos datos han sido vulnerados por este ataque perpetrado por ciberdelincuentes han sido notificados. A todos se les envió un correo electrónico desde [email protected] a las 7:20 a. m. ET indicándoles que están entre los clientes afectados del 15/5.
No obstante, Coinbase aclaró que las cuentas marcadas por ahora requerirán verificaciones de identidad adicionales para retiros grandes e incluyen avisos obligatorios de alerta contra estafas e informaron que debido a que se encontraban monitoreando las transacciones de alto riesgo, es posible que los usuarios experimenten retrasos.
De igual forma, Coinbase advierte que en colaboración con socios de la criptoindustria, habían decidido etiquetar las direcciones de los atacantes para que las autoridades puedan rastrearlos y trabajar para recuperar los activos.
Por otro lado, el criptointercambio estadounidense reveló que se encontraban colaborando estrechamente con las fuerzas del orden, tomando la acción de despedir a los agentes informantes de inmediato y remitidos a las fuerzas del orden estadounidenses e internacionales, ya que Coinbase presentará cargos penales contra todos ellos.
Si bien se han tomado medidas en Coinbase para mitigar que hechos así vuelvan a ocurrir, el criptointercambio señaló que los usuarios deben estar preparados para enfrentar a los impostores.
Esto se debe a que estafadores, relacionados o no con este incidente, pueden hacerse pasar por empleados de Coinbase e intentar presionarlo para que transfiera sus fondos. En ese sentido, Coinbase recuerda que ellos nunca le pedirán su contraseña, códigos de autenticación de dos factores (2FA) ni que transfiera activos a una dirección, cuenta, bóveda o billetera nueva o específica.
Además es clave entender que ni Coinbase ni sus empleados, llamarán a los clientes, ni le enviarán un mensaje para proporcionarle una nueva frase semilla o dirección de billetera a la que transferir sus fondos.
Esto jamás sucederá con ninguna plataforma de criptomonedas seria, ya que no es un procedimiento que se ajuste al estándar de seguridad de la industria. “Si recibe esta llamada, cuelgue, ya que Coinbase nunca le pedirá que se comunique con nosotros a un número desconocido”, dice el comunicado.
A pesar de esta noticia, que pone en el centro del ojo público a la plataforma, en Coinbase están ansiosos porque el próximo lunes dicha empresa pasará a convertirse en el primer criptointercambio en unirse al selecto grupo del S&P 500.
Aunque el pasado martes las acciones de Coinbase habían subido un 25% luego del anuncio de su inclusión en el índice bursátil estadounidense, tras conocerse la noticia de este jueves, sus acciones cayeron un 5,4% en Wall Street.
Con este ciberataque Coinbase pasa a formar parte de las criptoempresas que han sido atacadas en 2025, como sucedió con la plataforma Bybit, que fue pirateada para robarle unos 1.500 millones de dólares en activos digitales.
Sin embargo, la forma del ataque perpetrado contra Coinbase, se suma a una oleada de ciberataques a empresas de alto perfil en todo el mundo, tal y como ha sucedido recientemente con empresas de la talla de los grandes almacenes británicos Harrods y el minorista Marks and Spencer, e incluso la casa de moda francesa de lujo Dior.
Se estima que el reembolso a las víctimas de este ciberataque con sobornos y extorsión le costará a Coinbase, entre 180 y 400 millones de dólares.