Coinbase, la mayor plataforma de intercambio de criptomonedas en EE.UU., ha revelado nuevos detalles sobre el ciberataque que sufrió recientemente, el cual podría costarle entre 180 y 400 millones de dólares en medidas de compensación y reembolsos a clientes afectados.
Según la empresa, el ataque fue perpetrado mediante tácticas de ingeniería social, incluyendo el soborno a contratistas externos de atención al cliente para obtener acceso a datos sensibles de usuarios.
Los cibermalos se hicieron con detalles como nombres, correos electrónicos, imágenes de identificaciones gubernamentales y los últimos dígitos de números de seguridad social.
Los atacantes intentaron suplantar a Coinbase para engañar a los clientes y que transfirieran criptomonedas a sus cuentas. No obstante, menos del 1% de los usuarios activos mensuales (unos 10 millones al mes) se vieron afectados y no se comprometieron contraseñas ni fondos.
Las cuentas Prime y las billeteras calientes o frías de Coinbase también quedaron fuera del robo de información.
"Los ciberdelincuentes sobornaron y reclutaron a un grupo de agentes de soporte corruptos en el extranjero para robar datos de clientes de Coinbase y facilitar ataques de ingeniería social", ha explicado la plataforma de intercambio de criptomonedas en un post.
"Estos infiltrados abusaron de su acceso a los sistemas de atención al cliente para robar los datos de las cuentas de un pequeño subconjunto de clientes", ha añadido la empresa.
No hubo rescate, pero sí hay recompensa
El pasado 11 de mayo Coinbase recibió una demanda de extorsión por 20 millones de dólares por parte de los atacantes, quienes amenazaron con exponer los datos robados. La empresa se negó a pagar el rescate.
En su lugar la compañía de criptoactivos ha ofrecido una recompensa por la misma cuantía, 20 millones de dólares, a cualquiera que aporte información que conduzca a la captura de los responsables del ataque.
Este incidente se suma a una serie de ataques dirigidos a empleados de Coinbase mediante técnicas de smishing (phishing por SMS) y llamadas telefónicas fraudulentas, en las que los atacantes se hicieron pasar por personal de TI para obtener credenciales de acceso. Aunque la autenticación multifactor evitó accesos no autorizados en algunos casos, se logró obtener información limitada de empleados, como nombres y direcciones de correo electrónico.
Coinbase asegura haber tomado medidas para reforzar su seguridad, incluyendo los despidos fulminantes de aquellos empleados involucrados, la mejora de las protecciones contra fraudes y la colaboración con las autoridades para investigar el incidente.
Esta incursión ocurre poco antes de la inclusión de Coinbase en el índice S&P 500, prevista para el 19 de mayo, y en un contexto de creciente preocupación por la seguridad en el sector de las criptomonedas, que ha registrado pérdidas significativas debido a ciberataques recurrentes.