Por Angel Di Matteo   @shadowargel

La violación de seguridad reportada por Coinbase tuvo lugar entre marzo y mayo de este año. Lo ocurrido reaviva el debate sobre si es pertinente mantener fondos cripto en un exchange centralizado.

***

El exchange internacional con sede en EE UU, Coinbase, confirmó que un hacker logró eludir sus mecanismos de autenticación y sustrajo ilegalmente fondos cripto alojados en las cuentas de más de 6.000 usuarios.

Coinbase fue víctima de un ataque

De acuerdo con diversos informes publicados el día de hoy, la violación de seguridad de la que fue víctima Coinbase tuvo lugar entre marzo y mayo de este año. El ataque que derivó en el robo a las cuentas de los usuarios consistió en la combinación varias técnicas, entre las cuales destacan Phishing (sustracción de datos a personas) y la detección de vulnerabilidades en las medidas de seguridad implementadas por el exchange.

Según aclara Coinbase, los atacantes obtuvieron los correos electrónicos, las contraseñas y los números telefónicos de los usuarios afectados, así como acceso a los emails de las víctimas. Los investigadores desconocen como los hackers accedieron a dicha información.

En relación al ataque, los investigadores señalaron en un correo enviado a los usuarios:

“En este incidente, para los clientes que utilizan mensajes SMS para la autenticación de dos factores, el atacante se aprovechó de una falla en el proceso de recuperación de la cuenta vía SMS de Coinbase para recibir un token de autenticación de dos factores… y así obtener acceso a las cuentas”.

No solo robaron fondos cripto

Otra cosa que comentaron los miembros del equipo de Coinbase es que los atacantes no solo robaron los fondos de las personas afectadas, sino que también expusieron la información privada de las víctimas, dejando estos datos a disposición de otros atacantes.

Entre los datos que quedaron expuestos están los nombres y apellidos de las víctimas, sus correos electrónicos, direcciones físicas, fechas de nacimiento, direcciones IP, historial de transacciones, así como sus saldos y movimientos a través de las cuentas de Coinbase.

Dado que el hackeo se produjo principalmente a través de mensajes SMS, la recomendación es que las personas no utilicen este mecanismo para hacer autenticación de dos factores. Este caso se suma a muchos otros en los que los atacantes roban o clonan las SIM Card de las personas para acceder a este tipo de códigos.

No son tus llaves, no son tus monedas

El anuncio nuevamente encendió el debate sobre la pertinencia de dejar fondos alojados en las cuentas de exchanges, y como esto no es garantía real de que dichos fondos estén a buen resguardo.

Un dicho muy popular en el espacio de las criptomonedas es el popular “Not your keys, not your coins”, o en español “No son tus llaves, no son tus monedas”, justamente para referirse a que la única forma de mantener seguras las monedas digitales es en un monedero del cual los usuarios dispongan las claves privadas. Aunque los exchanges reputados suelen implementar rigurosos mecanismos de seguridad para resguardar los fondos de los clientes o respaldarlos en caso de alguna eventualidad, al ser entidades centralizadas se convierten en blancos muy atractivos para hackers y delincuentes.

Críticos y personas con dominio del tema reaccionaron ante lo ocurrido y resaltaron que existen otro tipo de servicios que eliminan la necesidad de que un tercero custodie los activos. Ejemplo de ello son los exchanges descentralizados (DEX), en los cuales los usuarios comercializan directamente desde sus monederos privados, manteniendo en todo momento el control sobre las criptomonedas a comercializar.

Otra invitación es a mantener una buena higiene en los computadores y dispositivos utilizados para comercializar con criptomonedas. Existen gran cantidad de reportes en los que atacantes aprovechan para introducir malware en los equipos de las víctimas, los cuales ejecutan desde criptominería sin el consentimiento de las víctimas hasta ataques de tipo Ransomware, donde secuestran la información privada de las personas exigiendo pagos con monedas digitales.


Lecturas recomendadas


Fuente: BitcoinMagazine, Bleepingcomputer

Versión de Angel Di Matteo / DiarioBitcoin

Imagen de Unsplash