Por Canuto Un subdominio vinculado a Coinbase Commerce encendió las alarmas entre expertos en ciberseguridad luego de que una página de retiro aparentemente pidiera a los usuarios introducir sus frases semilla. El caso abrió un debate sobre malas prácticas de diseño que podrían normalizar conductas asociadas al phishing.
***
- Investigadores de seguridad cuestionaron una página vinculada a Coinbase Commerce que solicitaba frases de recuperación en texto plano.
- Yu Xian, fundador de SlowMist, y ZachXBT criticaron el flujo por considerar que puede facilitar ataques de ingeniería social.
- Coinbase dijo que investiga el caso, mientras otra guía de la empresa advierte no pegar nunca frases semilla en sitios web.
Una página alojada en un subdominio asociado a Coinbase Commerce provocó preocupación en la comunidad cripto, luego de que aparentemente solicitara a los usuarios ingresar sus frases semilla para retirar fondos.
En el ecosistema de autocustodia, ese tipo de dato representa el acceso total a una cartera, por lo que pedirlo dentro de una interfaz web suele considerarse una señal de alto riesgo de seguridad.
La controversia se expandió con rapidez en redes sociales después de que Yu Xian, fundador de SlowMist, señalara públicamente la existencia de esa página. El investigador, también conocido como Cos, dijo sentirse desconcertado por el hecho de que una plataforma del tamaño de Coinbase tuviera un flujo que pidiera frases mnemotécnicas en texto plano para la recuperación de activos.
Según expresó Yu Xian, una práctica de ese tipo resulta increíblemente insegura. Su crítica no se limitó al posible riesgo técnico inmediato, sino también al mensaje que transmite a los usuarios.
En seguridad digital, normalizar que una página oficial solicite una frase semilla puede abrir la puerta a estafas posteriores, ya que reduce la capacidad del usuario para distinguir entre un proceso legítimo y un intento de phishing.
Coinbase no había abordado el asunto públicamente al momento de la publicación original. La empresa indicó a Cointelegraph que estaba investigando lo ocurrido, pero no ofreció más detalles. Ese silencio parcial dejó abiertas preguntas importantes, entre ellas si se trató de un error técnico, de una decisión de diseño desafortunada o de otro problema interno relacionado con el producto Commerce.
Por qué la frase semilla es un dato crítico
Para lectores menos familiarizados con el tema, una frase semilla o frase de recuperación es una serie de palabras que permite restaurar una cartera de autocustodia. Quien tenga acceso a esa frase puede controlar completamente los fondos asociados. Por esa razón, la regla más repetida en el sector cripto es simple: nunca debe compartirse con terceros, personal de soporte, correos, llamadas ni páginas web.
En condiciones normales, la frase semilla solo se utiliza en entornos seguros para recuperar o importar una cartera. Eso puede ocurrir, por ejemplo, cuando un usuario cambia de dispositivo o necesita restaurar acceso a su wallet mediante una aplicación confiable. Justamente por ese contexto tan sensible, cualquier interfaz web que invite a pegar esa frase tiende a encender alertas automáticas entre especialistas.
El problema de fondo no es solo que una página la solicite. También importa cómo ese comportamiento educa a los usuarios. Si una plataforma reconocida presenta como normal introducir una frase semilla en un flujo de retiro, los atacantes pueden aprovechar esa costumbre en campañas de suplantación. Esa es la base del argumento expuesto por varios observadores de seguridad tras conocerse el caso.
Además, las carteras de autocustodia funcionan bajo un principio central: el proveedor no conserva las llaves del usuario. Eso significa que, si la frase se pierde, la empresa no puede restaurar los fondos. Pero también implica que los mecanismos de recuperación deben diseñarse con extremo cuidado para no empujar a los usuarios a cometer errores irreversibles.
Coinbase Commerce y la crítica de ZachXBT
De acuerdo con el investigador blockchain ZachXBT, la página cuestionada estaba referenciada en una guía de ayuda relacionada con Coinbase Commerce. Esa documentación, que posteriormente parecía haber sido eliminada, describía una opción para recuperar fondos mediante la importación de la frase semilla en una cartera compatible, como Coinbase Wallet o MetaMask.
La misma guía también dirigía a los usuarios a una herramienta de retiro alojada en el subdominio que quedó bajo escrutinio. Ese detalle fue clave para la polémica, ya que sugería que no se trataba de un enlace aislado o completamente ajeno a la documentación de soporte del producto. En otras palabras, el flujo parecía tener relación directa con materiales oficiales de ayuda.
我很疑惑 Coinbase 为什么会有这样的页面,直接让用户输入明文助记词做资产恢复?如此不安全的行为,匪夷所思…@coinbase 我都差点以为子域名被黑了…cc @im23pds https://t.co/NsBd223xWY pic.twitter.com/oBrp5UGQ8U
— Cos(余弦)😶🌫️ (@evilcos) March 19, 2026
ZachXBT planteó la inquietud de forma frontal. En su publicación, preguntó si eso significaba que Coinbase tenía activa una página oficial que actores maliciosos podrían utilizar para dirigir ataques de ingeniería social orientados a obtener frases semilla de usuarios de Coinbase. La observación apunta a un riesgo reputacional y operativo más amplio que el incidente en sí.
La documentación de ayuda, según se reportó, también subrayaba que las carteras de Commerce son de autocustodia. Eso implica que Coinbase no tiene acceso a las frases semilla de los usuarios y no puede recuperar fondos si esas credenciales se pierden. Ese punto es técnicamente coherente con el modelo de autocustodia, pero no disipó las críticas sobre la conveniencia del flujo presentado.
Una contradicción con otras advertencias de la propia empresa
Otro elemento que intensificó las dudas fue la aparente contradicción entre esa página y otras recomendaciones de seguridad publicadas por la propia Coinbase. En otra guía, la empresa aconseja de forma clara no pegar frases semilla en ningún sitio web. Ese mensaje coincide con el estándar más extendido dentro del sector y con las mejores prácticas de autocustodia.
La distancia entre esa advertencia general y el flujo señalado en Coinbase Commerce fue uno de los puntos más sensibles del debate. Cuando una misma compañía transmite dos señales distintas sobre un dato tan crítico, puede generar confusión entre usuarios novatos. En seguridad, esa confusión es un terreno fértil para los estafadores.
El contexto reciente ayuda a entender la reacción rápida de la comunidad. Apenas un día antes, Coinbase había advertido que estafadores se hacían pasar por personal de soporte al cliente, tanto por teléfono como por internet, para robar credenciales de acceso y códigos de verificación. La empresa aseguró que nunca contactará directamente a los usuarios y los remitió a sus canales oficiales en X y Reddit.
Ese antecedente hace que cualquier flujo relacionado con frases semilla sea evaluado con más severidad. Si una plataforma está alertando sobre campañas activas de suplantación, la tolerancia del mercado frente a posibles malas prácticas de interfaz o diseño disminuye de manera drástica. Más aún cuando esas prácticas pueden parecer similares a las usadas por atacantes.
Qué se sabe y qué sigue pendiente
Por ahora, no está claro si la página cuestionada fue producto de un error técnico o de otro problema del lado de Coinbase. Tampoco se conocían detalles públicos sobre cambios inmediatos, una retirada formal del flujo o una explicación completa de la empresa. La falta de una postura pública más extensa impide determinar con precisión el origen del incidente.
Lo que sí parece claro es que el episodio reavivó una discusión relevante para toda la industria cripto. La seguridad no depende solo de la custodia técnica de los fondos, sino también del diseño de las interfaces, del lenguaje de soporte y de los hábitos que las plataformas incentivan. Una instrucción confusa puede ser tan peligrosa como una vulnerabilidad mal corregida.
Para los usuarios, la lección vuelve a ser la misma. Las frases de recuperación no deben compartirse con nadie ni ingresarse en páginas web, salvo en procesos de restauración dentro de aplicaciones de wallet verificadas y comprendidas por el propio titular. Cualquier solicitud inesperada de esa información debe tratarse como una señal de alerta extrema.
La noticia publicada por Cointelegraph refleja precisamente esa tensión entre usabilidad y seguridad que hoy atraviesa al sector. Mientras Coinbase investiga lo ocurrido, el caso ya funciona como advertencia para exchanges, proveedores de billeteras y servicios Web3: en autocustodia, la confianza no solo se construye con promesas, sino con flujos que no enseñen a los usuarios a asumir riesgos innecesarios.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Carta de la CFTC a Phantom aclara poco sobre DeFi, advierten abogados
Corea del Sur
Corea del Sur debate eliminar impuesto cripto antes de su entrada en vigencia en 2027
Bitcoin
Galaxy: la amenaza cuántica para Bitcoin es real, pero no una crisis existencial
Criptomonedas