bitfinanzas.com
El intercambio de criptomonedas más grande de Estados Unidos, Coinbase, reveló este 1º de octubre que una entidad atacante se aprovechó de vulnerabilidades en su mecanismo de autenticación multifactor de SMS para extraer criptomonedas de las cuentas de al menos 6.000 de sus clientes. Sin embargo, no develó el monto robado por los piratas informáticos.
La información fue compartida a través de una carta de notificación de infracción enviada por la empresa a los clientes afectados, en la cual Coinbase manifestó lo siguiente:
“La privacidad, la seguridad y la transparencia son fundamentales para el futuro de las finanzas que estamos construyendo en Coinbase, es por eso que le escribimos para informarle sobre un tercero no autorizado que obtuvo acceso a su cuenta de Coinbase y lo que estamos haciendo para ayudarlo a administrar esto”
Coinbase aseveró que los hechos se produjeron “entre marzo y el 20 de mayo” de este año, periodo en el cual los clientes presuntamente “fueron víctimas de una campaña de terceros para obtener acceso no autorizado”. Según contó Coinbase, lo piratas informáticos lograron ingresar “cuentas de Coinbase y mover los fondos” fuera del intercambio, afectando al menos 6.000 clientes.
La empresa afirmó que para acceder a una cuenta de Coinbase, la entidad atacante “necesitaba conocimiento previo” acerca “de la dirección de correo electrónico, contraseña y número de teléfono asociados con la cuenta de Coinbase” del cliente, además debía tener “acceso a la bandeja de entrada de correo electrónico personal” de la víctima.
En la notificación, Coinbase expuso que aun no han podido “determinar de manera concluyente cómo estos terceros obtuvieron acceso” a la información ya mencionada, pero la compañía supone que estos ataques fueron realizados a través de “campañas de phishing u otras técnicas de ingeniería”. Dichas campañas son creadas “para engañar a una víctima para que, sin saberlo, revele las credenciales de inicio de sesión a un mal actor”. La empresa recalcó que “no ha encontrado ninguna evidencia de que estos terceros obtuvieron esta información de la propia Coinbase”.
Coinbase admitió fallas en sus factores de autenticación
Coinbase expuso que, aun cuando la entidad atacante tuviera acceso a la información ya descrita, “se requiere autenticación adicional para acceder a una cuenta de Coinbase”, siempre y cuando el cliente tenga activada la función de autenticación multifactor o MFA (por sus siglas en inglés). Dicha autenticación puede realizarse mediante el uso de claves de seguridad, contraseñas únicas basadas en el tiempo con una aplicación de autenticación o también a través de mensajes de texto (SMS).
En su notificación, Coinbase admitió que existía una falla “en el proceso de recuperación de la cuenta por SMS de Coinbase”, la cual fue aprovechada por la entidad atacante “para recibir un token de autenticación de dos factores por SMS”, obteniendo de esta manera acceso a la cuenta de la víctima. Luego de esto, la entidad atacante “pudo transferir” los fondos de los clientes “a carteras criptográficas no asociadas con Coinbase”.
Datos personales de usuarios de Coinbase en manos de hackers
La notificación de Coinbase incluye que toda la información personal que los clientes afectados proporcionaron al intercambio fue expuesta a la entidad atacante, es decir que tuvo acceso al “nombre completo, dirección de correo electrónico, domicilio, fecha de nacimiento, direcciones IP para la actividad de la cuenta, historial de transacciones, tenencia de la cuenta y equilibrio” de los clientes afectados.
Además de ello, Coinbase indicó que posiblemente la entidad atacante pudo “haber cambiado el correo electrónico, el número de teléfono” o cualquier “otra información asociada” a la cuenta de cada uno de sus clientes por lo que el intercambio afirma que se encuentra trabajando “para restaurar cualquier correo electrónico o números de teléfono” que hayan sido “modificados”, regresándolos “a su estado original antes de la actividad no autorizada”.
Coinbase afirmó que “tan pronto como se enteró de este problema” se encargó de actualizar sus “protocolos de recuperación de cuentas por SMS” para “evitar cualquier otra omisión de ese proceso de autenticación”.
Además, la compañía dirigida por Brian Armstrong informó que depositará en la cuenta de los clientes afectados el “equivalente al valor de la moneda que se eliminó incorrectamente de la cuenta en el momento del incidente”, y compartió que se asegurarán de que “todos los clientes afectados reciban el valor total de lo que perdió” . Según Coinbase, hasta el momento “algunos clientes ya han sido reembolsados”, aseverando que todos los afectados “deberían ver” el reembolso “reflejado en su cuenta a más tardar hoy”.
En su notificación, Coinbase recomendó encarecidamente a los clientes “que actualmente utilizan la autenticación de dos factores basada en SMS” cambiarlo por otro “método más sólido para proteger sus cuentas de Coinbase”. Asimismo, el equipo de Coinbase sugirió cambiar las contraseñas de cuentas y correos electrónicos para evitar nuevos inconvenientes.
Coinbase aseveró que “ha estado trabajando en estrecha colaboración con las fuerzas del orden para respaldar su investigación sobre las personas detrás de este incidente”, e indicó que “la investigación interna sobre este incidente está en curso”.
La información del hackeo a Coinbase llegó casi un mes después de que el intercambio anunciara que la Comisión de Bolsa y Valores (SEC) de EE.UU. amenazó con demandar al intercambio de criptomonedas si lanzaba su nuevo producto Lend. Asimismo, desde Coinbase indicaron que el ente regulador no les dio explicaciones claras tras la intención de demandarlos.