Críticas a la Página de Retiro de Frase Semilla de Coinbase Commerce
La página de retiro de frase semilla de Coinbase Commerce está recibiendo críticas severas de investigadores de seguridad, quienes advierten que normaliza la introducción de frases de recuperación de 12 palabras en un sitio web, justo días antes de la fecha límite de cierre del 31 de marzo.
Controversia y Advertencias
Un subdominio perteneciente a Coinbase Commerce —el producto de pagos para comerciantes de la compañía— ha sido objeto de fuertes críticas por parte de destacados investigadores de seguridad en blockchain. Se descubrió que instaba a los usuarios a ingresar sus frases semilla de 12 palabras, también conocidas como frases mnemotécnicas o de recuperación, directamente en un formulario web en texto plano.
«Esta práctica demuestra una increíble falta de conciencia de seguridad» – Yu Xian, fundador de SlowMist.
La controversia estalló el miércoles y se intensificó el jueves por la mañana, coincidiendo con un momento particularmente sensible: Coinbase está cerrando completamente Commerce el 31 de marzo de 2026, lo que significa que decenas de miles de comerciantes tienen una ventana estrecha para retirar sus fondos.
Problemas de Seguridad
La página en cuestión, alojada en withdraw.commerce.coinbase.com/seed-phrase, fue mencionada en un documento de ayuda de Coinbase Commerce que ahora ha sido eliminado. Este documento dirigía a los usuarios a recuperar fondos importando sus frases de recuperación en billeteras compatibles como Coinbase Wallet o MetaMask.
El investigador en cadena ZachXBT también señaló la existencia de la página, advirtiendo que su presencia crea una superficie de ataque directa para campañas de ingeniería social dirigidas a usuarios de Coinbase. Las preocupaciones van más allá de la página en sí.
El Director de Seguridad de la Información de SlowMist, conocido como 23pds, elevó la alarma al señalar que el mapa del sitio de la página contiene fallas estructurales que facilitan a los actores maliciosos replicarla. Usando herramientas como ResourcesSaver, los atacantes pueden descargar el código del front-end y desplegar sitios de phishing visualmente idénticos.
Normalización de Prácticas Inseguras
El problema fundamental es uno de normalización. Cada protocolo de seguridad legítimo en la industria de las criptomonedas se basa en un único principio no negociable: una frase semilla nunca debe ser ingresada en ningún sitio web, formulario o aplicación bajo ninguna circunstancia, ni siquiera en uno oficial.
Las frases semilla son las claves criptográficas maestras de una billetera; quien las posee, posee los fondos. Al construir un flujo de trabajo de recuperación que requiere que los usuarios escriban su frase en un navegador, Coinbase ha, ya sea intencionalmente o por descuido, entrenado a los usuarios para aceptar un comportamiento que los estafadores explotan rutinariamente.
«La herramienta incluso sugiere copiar frases desde Google Drive como un paso intermedio, lo que agrava el riesgo.»
La advertencia de ZachXBT tiene un peso particular dado su historial. En enero de 2026, expuso una estafa de suplantación de soporte de Coinbase que resultó en aproximadamente $2 millones en cripto robada, un esquema que dependía de que los usuarios estuvieran condicionados a confiar en interfaces de marca Coinbase.
Presión sobre Coinbase
La página de frase semilla de Commerce representa una plantilla lista para un ataque de seguimiento de potencialmente mucho mayor escala. Hasta el jueves, Coinbase no había respondido públicamente a las críticas, a pesar de múltiples solicitudes de comentarios.
La compañía ha ofrecido métodos de retiro alternativos, incluyendo una herramienta de retiro de comercio separada considerada más segura por los investigadores, pero no ha eliminado ni modificado la página de frase semilla. Con doce días restantes hasta que Commerce se desactive permanentemente, la presión sobre el intercambio para actuar está aumentando rápidamente.
Para la compañía más prominente de criptomonedas que cotiza en bolsa, las apuestas reputacionales de un evento masivo de phishing desencadenado por sus propias herramientas de migración no podrían ser más altas.
