Introducción
Autor original: Christopher Rosa
Traducción original: AididiaoJP, Foresight News
Revelación de un Conjunto de Datos Masivo
Durante el fin de semana, se reveló que un conjunto de datos masivo que contiene 16 mil millones de identidades de usuarios, que incluye tanto violaciones pasadas como datos de inicio de sesión robados recientemente, comenzó a circular en línea. No está claro quién actualizó este conjunto de datos y lo volvió a publicar. Aunque gran parte de la base de datos es un reciclaje de violaciones anteriores, el hecho de que se haya actualizado nuevamente es preocupante. Este conjunto de datos se considera una de las colecciones individuales más grandes de cuentas comprometidas jamás registradas. Los hackers están utilizando estos datos para llevar a cabo varios ataques, y yo me convertí en uno de sus objetivos.
El Ataque de Phishing
El ataque de phishing que sufrí en mis dispositivos personales y cuentas el 19 de junio fue el más sofisticado que he encontrado en mi carrera de ciberseguridad de una década. Los atacantes primero crearon la ilusión de que mis cuentas estaban siendo atacadas en múltiples plataformas, luego se hicieron pasar por empleados de Coinbase y ofrecieron ayuda. Combinaban tácticas clásicas de ingeniería social con métodos coordinados a través de mensajes de texto, llamadas telefónicas y correos electrónicos falsos, todo diseñado para crear una falsa sensación de urgencia, credibilidad y escala. El alcance y la autoridad de este ataque falso fueron clave para su naturaleza engañosa.
Detalles del Proceso del Ataque
A continuación, detallaré el proceso del ataque, analizaré las señales de advertencia que noté durante el mismo y las medidas de protección que tomé. Al mismo tiempo, compartiré lecciones clave y sugerencias prácticas para ayudar a los inversores en criptomonedas a mantenerse seguros en un entorno de amenazas en constante escalada.
Los datos históricos y los datos filtrados recientemente pueden ser utilizados por los hackers para llevar a cabo ataques multicanal altamente dirigidos. Esto confirma una vez más la importancia de la protección de seguridad en capas, los mecanismos de comunicación claros para los usuarios y las estrategias de respuesta en tiempo real. Tanto las instituciones como los usuarios individuales pueden obtener herramientas prácticas de este caso, incluidos protocolos de verificación, hábitos de identificación de nombres de dominio y pasos de respuesta, que pueden ayudar a prevenir que la negligencia momentánea se convierta en vulnerabilidades de seguridad importantes.
Inicio del Ataque
El ataque comenzó alrededor de las 3:15 p.m. ET del jueves con un mensaje de texto anónimo que decía que alguien estaba tratando de engañar a las compañías de telefonía móvil para que le dieran mi número de teléfono a otra persona, una táctica conocida como intercambio de SIM. Tenga en cuenta que este mensaje no provino de un número SMS, sino de un número de teléfono regular de 10 dígitos. Las empresas legítimas utilizan códigos cortos para enviar mensajes SMS. Si recibe un mensaje de texto de un número de longitud estándar desconocido que dice ser de una empresa, es muy probable que sea un intento de estafa o phishing.
Los mensajes también contenían contradicciones: el primer mensaje de texto indicaba que la violación se originó en el área de la bahía de San Francisco, mientras que un mensaje posterior decía que ocurrió en Ámsterdam. El intercambio de SIM es extremadamente peligroso si tiene éxito, ya que los atacantes pueden obtener códigos de verificación de un solo uso que la mayoría de las empresas utilizan para restablecer contraseñas o acceder a cuentas. Sin embargo, este no fue un verdadero intercambio de SIM, y los hackers estaban sentando las bases para una estafa más sofisticada.
Escalación del Ataque
Luego, el ataque se intensificó, y comencé a recibir códigos de verificación de un solo uso supuestamente de Venmo y PayPal, enviados a través de SMS y WhatsApp. Esto me llevó a creer que alguien estaba tratando de iniciar sesión en mis cuentas en varias plataformas financieras. A diferencia de los mensajes SMS sospechosos de la compañía, estos códigos de verificación sí provenían de códigos cortos que parecían legítimos. Aproximadamente cinco minutos después de recibir el mensaje de texto, recibí una llamada de un número de California. La persona que se presentó como Mason hablaba con un acento estadounidense puro y afirmaba ser del equipo de investigación de Coinbase.
Dijo que en los últimos 30 minutos, había habido más de 30 intentos de restablecer contraseñas y hackear cuentas a través de la ventana de chat de Coinbase. Según Mason, el supuesto atacante había pasado el primer nivel de verificación de seguridad para el restablecimiento de la contraseña, pero falló en el segundo nivel de autenticación. Me dijo que la otra parte podría proporcionar los últimos cuatro dígitos de mi documento de identidad, el número completo de mi licencia de conducir, la dirección de mi casa y el nombre completo, pero no pudo proporcionar el número completo del documento de identidad o los últimos cuatro dígitos de la tarjeta bancaria asociada con la cuenta de Coinbase. Mason explicó que fue esta contradicción la que activó la alarma del equipo de seguridad de Coinbase, lo que les llevó a contactarme para verificar la autenticidad.
Señales de Advertencia y Medidas de Protección
Los intercambios oficiales como Coinbase nunca llamarán proactivamente a los usuarios a menos que inicien una solicitud de servicio a través del sitio web oficial. Para obtener más información sobre las regulaciones del servicio al cliente del intercambio, lea este documento de Coinbase. Después de informarme de la mala noticia, Mason propuso proteger mi cuenta bloqueando canales de ataque adicionales. Comenzó con conexiones API y billeteras asociadas, afirmando que serían revocadas para reducir el riesgo. Enumeró múltiples conexiones, incluyendo Bitstamp, TradingView, MetaMask, etc., algunas de las cuales no reconocía, pero asumí que podría haberlas configurado y olvidado.
En este punto, mi guardia se había bajado, e incluso me sentí tranquilo por la protección activa de Coinbase. Hasta ahora, Mason no había pedido ninguna información personal, direcciones de billetera, códigos de verificación de dos factores o contraseñas de un solo uso, que son solicitudes comunes de los phishers. Todo el proceso de interacción parecía altamente seguro y preventivo.
Intentos de Presión y Estrategias de Manipulación
Luego vino el primer intento de presión, creando una sensación de urgencia y vulnerabilidad. Después de completar la llamada de verificación de seguridad, Mason afirmó que la protección de mi cuenta para el servicio de suscripción Coinbase One había sido cancelada porque mi cuenta había sido marcada como de alto riesgo. Esto significaba que los activos de mi billetera de Coinbase ya no estaban cubiertos por el seguro de la FDIC, y no podría recibir ninguna compensación si el atacante robaba con éxito los fondos. En retrospectiva, este argumento debería haber sido un defecto evidente. A diferencia de los depósitos bancarios, los activos criptográficos nunca están protegidos por el seguro de la FDIC, y aunque Coinbase puede mantener dólares de clientes en bancos asegurados por la FDIC, el intercambio en sí no es una institución asegurada.
Mason también advirtió que había comenzado la cuenta regresiva de 24 horas y que las cuentas vencidas serían bloqueadas. Desbloquear requeriría un proceso complicado y prolongado. Aún más aterrador, afirmó que si un atacante obtenía mi número completo de seguro social durante este período, incluso podrían robar fondos de la cuenta congelada. Más tarde, consulté al verdadero equipo de servicio al cliente de Coinbase y aprendí que bloquear la cuenta es la medida de seguridad que recomiendan. El proceso de desbloqueo es en realidad simple y seguro: proporcionar una foto de su documento de identidad y un selfie, y el intercambio verificará su identidad y restaurará rápidamente el acceso.
Correos Electrónicos Engañosos
Luego recibí dos correos electrónicos. El primero fue una carta de confirmación de suscripción a Coinbase Bytes, que fue solo un correo electrónico normal desencadenado por el atacante al enviar mi dirección de correo electrónico a través del formulario del sitio web oficial. Esto fue claramente un intento de confundir mi juicio con el correo electrónico oficial de Coinbase para mejorar la credibilidad de la estafa. El segundo, un correo electrónico más perturbador, provenía de no-reply afirmando que la protección de mi cuenta Coinbase One había sido eliminada. Este correo electrónico, que parecía provenir del dominio legítimo de Coinbase, era extremadamente engañoso; habría sido fácil de detectar si hubiera provenido de un dominio sospechoso, pero parecía auténtico porque parecía provenir de una dirección oficial.
La Estrategia Final del Ataque
Mason luego sugirió transferir mis activos a una billetera de firma múltiple llamada Coinbase Vault por seguridad. Incluso me pidió que buscara «Coinbase Vault» en Google para verificar la documentación oficial y demostrar que este es un servicio legítimo que Coinbase ha proporcionado durante muchos años. Dije que era reacio a hacer un cambio tan importante sin investigar completamente. Él entendió y me animó a investigar cuidadosamente, y me apoyó para contactar primero a la compañía para prevenir el intercambio de SIM. Dijo que me llamaría de nuevo en 30 minutos para continuar con los siguientes pasos.
Después de colgar, inmediatamente recibí un mensaje de texto confirmando la llamada y la cita. Después de confirmar que no hubo intento de transferencia de SIM por parte de la compañía, cambié inmediatamente todas las contraseñas de las cuentas. Mason llamó de nuevo como estaba programado y comenzamos a discutir los siguientes pasos. En este punto, he verificado que Coinbase Vault es de hecho un servicio real proporcionado por Coinbase. Es una solución de custodia con seguridad mejorada a través de autorización de firma múltiple y retiros retrasados de 24 horas, pero no es una verdadera billetera fría de autocustodia.
Descubrimiento del Fraude
Mason luego me envió un enlace a vault-coinbase.com, afirmando que podía revisar la configuración de seguridad discutida en la primera llamada. Una vez que se completara la revisión, los activos podrían ser transferidos al Vault, y en ese momento, mi profesionalismo en seguridad de red finalmente emergió. Después de ingresar el número de caso que me proporcionó, la página que se abrió mostraba la supuesta conexión API eliminada y el botón Crear Coinbase Vault. Inmediatamente verifiqué el certificado SSL del sitio web y descubrí que este nombre de dominio, que solo había sido registrado durante un mes, no tenía nada que ver con Coinbase. Aunque los certificados SSL a menudo pueden crear una falsa sensación de legitimidad, los certificados corporativos formales tienen una propiedad clara, y este descubrimiento me hizo detener la operación de inmediato.
Coinbase ha dejado claro que nunca utilizará nombres de dominio no oficiales. Incluso si se utiliza un servicio de terceros, debería ser un subdominio como vault.coinbase.com. Cualquier operación que involucre cuentas de intercambio debe realizarse a través de la aplicación o el sitio web oficial. Expresé mis preocupaciones a Mason y enfatizé que solo operaría a través de la aplicación oficial. Él argumentó que la operación de la APP causaría un retraso de 48 horas, y la cuenta sería bloqueada después de 24 horas. Nuevamente me negué a tomar una decisión apresurada, así que dijo que el caso se escalaría al Equipo de Soporte de Nivel 3 para intentar restaurar mi protección de Coinbase One.
Conclusión y Lecciones Aprendidas
Después de colgar el teléfono, continué verificando la seguridad de otras cuentas, y mi sensación de inquietud creció más fuerte. Aproximadamente media hora después, el número de Texas llamó. Otra persona con acento estadounidense afirmó ser un investigador de nivel 3 y estaba procesando mi solicitud de recuperación de Coinbase One. Afirmó que se requería un período de revisión de 7 días, durante el cual la cuenta seguiría sin seguro. También sugirió amablemente abrir múltiples Vaults para activos en diferentes cadenas. Parecía profesional, pero de hecho nunca mencionó activos específicos, solo se refería vagamente a Ethereum, Bitcoin, etc. Mencionó que solicitaría al departamento legal que enviara los registros de chat, y luego comenzó a promover Coinbase Vault. Como alternativa, recomendó una billetera de terceros llamada SafePal. Aunque SafePal es de hecho una billetera de hardware regular, es claramente un preludio para engañar la confianza.
Cuando cuestioné nuevamente el dominio vault-coinbase.com, la otra parte aún intentó disipar mis dudas. En este punto, el atacante puede haber realizado que era difícil tener éxito y finalmente abandonó este ataque de phishing. Después de terminar mi segunda llamada con el falso representante de servicio al cliente, inmediatamente presenté mi solicitud a través de Coinbase.com. El verdadero representante de servicio al cliente confirmó rápidamente que no había inicios de sesión inusuales ni solicitudes de restablecimiento de contraseña en mi cuenta. Sugerió bloquear la cuenta de inmediato y recopilar los detalles del ataque y enviarlos al equipo de investigación. Proporcioné todos los nombres de dominio fraudulentos, números de teléfono y vectores de ataque, y pregunté específicamente sobre los permisos de envío de no-reply. El servicio al cliente reconoció que esto era muy serio y prometió que el equipo de seguridad llevaría a cabo una investigación exhaustiva.
Recomendaciones para Inversores en Criptomonedas
He resumido las siguientes señales de peligro y sugerencias de protección, con la esperanza de ayudar a los inversores en criptomonedas a garantizar la seguridad de sus fondos en el actual entorno de red.
Alarmas falsas coordinadas para crear confusión y urgencia: Los atacantes primero crearon la ilusión de un ataque simultáneo en múltiples plataformas a través de una serie de alertas de intercambio de SIM y solicitudes de códigos de verificación de un solo uso de servicios como Venmo y PayPal (enviados tanto por SMS como por WhatsApp). Estos mensajes probablemente se activaron solo con mi número de teléfono y dirección de correo electrónico, que son fácilmente accesibles. En esta etapa, no creo que los atacantes tuvieran acceso a datos de cuenta más profundos.
Mezcla de códigos cortos con números de teléfono regulares: Los mensajes de phishing se envían utilizando una combinación de códigos cortos de SMS y números de teléfono regulares. Si bien las empresas a menudo utilizan códigos cortos para comunicaciones oficiales, los atacantes pueden falsificar o reciclar estos códigos cortos. Pero es importante tener en cuenta que los servicios legítimos nunca utilizarán números de teléfono regulares para enviar alertas de seguridad. Los mensajes de números de longitud estándar siempre deben ser tratados con escepticismo.
Solicitudes para operar a través de nombres de dominio no oficiales o desconocidos: El atacante me pidió que visitara un sitio de phishing alojado en vault-coinbase.com, un dominio que parece legítimo a primera vista, pero que en realidad no está afiliado a Coinbase. Siempre verifique dos veces los nombres de dominio y los certificados SSL antes de ingresar cualquier información. Las operaciones que involucran cuentas sensibles solo deben realizarse en dominios o aplicaciones oficiales de la empresa.
Llamadas no solicitadas y comunicaciones de seguimiento: Coinbase y la mayoría de las otras instituciones financieras nunca te llamarán sin iniciar una solicitud de soporte. Recibir una llamada de alguien que dice ser del «Equipo de Investigaciones de Nivel 3» es una gran señal de advertencia, especialmente cuando se combina con tácticas de miedo e instrucciones complicadas para proteger su cuenta.
Advertencias de emergencia y consecuencias no solicitadas: Los atacantes de phishing a menudo utilizan el miedo y la urgencia para obligar a las víctimas a actuar sin pensar. En este caso, las amenazas de bloqueo de cuentas, activos robados y cancelación de cobertura de seguros son tácticas típicas de ingeniería social.
Solicitud para eludir canales oficiales: Cualquier consejo para evitar usar la aplicación o el sitio web oficial de una empresa, especialmente cuando afirma ofrecer una alternativa «más rápida» o «más segura», debería levantar inmediatamente banderas rojas. Los atacantes pueden proporcionar enlaces que parecen legítimos pero que en realidad apuntan a dominios maliciosos.
Números de caso o tickets de soporte no verificados: Proporcionar un número de caso para introducir un portal de phishing personalizado crea una falsa sensación de legitimidad. Ningún servicio legítimo pediría a los usuarios que verificaran su identidad o tomaran medidas a través de un enlace externo personalizado con un número de caso.
Mezcla de información verdadera y falsa: Los atacantes a menudo mezclan información personal real (como una dirección de correo electrónico o un número de seguro social parcial) con información vaga o inexacta para aumentar la credibilidad. Cualquier inconsistencia o referencia vaga a cadena, billetera o revisión de seguridad debe ser vista con sospecha.
Uso de nombres de empresas reales en propuestas alternativas: Introducir nombres de confianza como SafePal (incluso si estas empresas son legítimas) podría ser una táctica de distracción que proporciona la apariencia de elección y legitimidad mientras dirige a las víctimas a operaciones maliciosas.
Excesiva sin verificación: El atacante fue paciente, me animó a investigar por mi cuenta y no pidió inicialmente información sensible. Este comportamiento imitaba a un verdadero agente de servicio al cliente, haciendo que la estafa pareciera profesional. Cualquier ayuda no solicitada que parezca demasiado buena para ser verdad debe ser vista con sospecha.
Habilitar verificación a nivel de transacción en intercambios: Habilite la autenticación de dos factores y la verificación basada en captcha en la configuración de su intercambio. Esto asegura que cualquier intento de enviar o transferir fondos necesite ser enviado a un dispositivo de confianza para confirmación en tiempo real, previniendo transacciones no autorizadas.
Siempre contacte a los proveedores de servicios a través de canales legítimos y verificados: En este caso, contacté a mi proveedor de servicios móviles y a Coinbase iniciando sesión directamente en la plataforma oficial y presentando un ticket de soporte. Esta es la forma más segura y apropiada de interactuar con el servicio al cliente cuando la seguridad de su cuenta está comprometida.
El soporte del intercambio nunca le pedirá que mueva, acceda o proteja sus fondos: No le pedirán ni proporcionarán su frase mnemotécnica de billetera, pedirán su código de verificación de dos factores, o intentarán acceder o instalar software de forma remota en su dispositivo.
Considere usar una billetera de firma múltiple o una solución de almacenamiento en frío: Las billeteras de firma múltiple requieren que múltiples partes aprueben una transacción, mientras que las billeteras frías mantienen sus claves privadas completamente fuera de línea. Ambos métodos son efectivos para proteger las tenencias a largo plazo de ataques de phishing o malware remotos.
Marque sitios web oficiales y evite hacer clic en enlaces de mensajes no solicitados: Ingresar manualmente la URL o usar un marcador de confianza es la mejor manera de evitar el suplantación de dominio. Use un administrador de contraseñas para identificar sitios sospechosos y mantener contraseñas fuertes. Los administradores de contraseñas ayudan a prevenir intentos de phishing al negar autocompletar en dominios falsos o desconocidos. Cambie sus contraseñas regularmente e inmediatamente si sospecha un ataque malicioso.
Revise regularmente las aplicaciones vinculadas, claves API e integraciones de terceros: Revocar el acceso a cualquier aplicación o servicio que ya no use o no reconozca. Habilite alertas de cuenta en tiempo real donde sea posible. Las notificaciones de inicios de sesión, retiros o cambios en la configuración de seguridad pueden proporcionar una advertencia temprana crítica de actividad no autorizada. Informe todas las actividades sospechosas al equipo de soporte oficial del proveedor de servicios. Informar temprano ayuda a prevenir ataques más amplios y contribuye a la seguridad general de la plataforma.
Para instituciones financieras, equipos de seguridad de TI y ejecutivos, el ataque destaca cómo los datos históricos, cuando se reutilizan y combinan con ingeniería social en tiempo real, pueden permitir a los hackers eludir incluso las defensas de seguridad más sofisticadas. Los actores de amenazas ya no dependen únicamente de ataques de fuerza bruta, sino que ejecutan estrategias coordinadas a través de múltiples canales para ganar confianza y engañar a los usuarios imitando flujos de trabajo legítimos. No solo debemos proteger la seguridad del sistema y la red, sino también identificar amenazas y tomar medidas para protegernos. Ya sea trabajando en una agencia de criptomonedas o gestionando activos criptográficos en casa, todos deben entender cómo las vulnerabilidades de seguridad personal pueden evolucionar en riesgos sistémicos. Para protegerse contra estas amenazas, las organizaciones deben superponer defensas como monitoreo de nombres de dominio, autenticación adaptativa, autenticación multifactor para prevenir phishing y protocolos de comunicación claros. También es importante que las empresas cultiven una cultura de alfabetización en ciberseguridad para que cada empleado, desde ingenieros hasta ejecutivos, entienda su papel en la protección de la empresa. En el entorno actual, la seguridad no solo es una función técnica, sino también una responsabilidad que debe ser compartida por individuos y toda la organización.
