Problemas graves para Coinbase: unos hackers consiguen robar criptomonedas a 6.000 usuarios tras saltarse todas las medidas de seguridad de la plataf

David Vázquez
2 oct. 2021 11:41h.


Reuters

• Un grupo de hackers ha robado criptomonedas a cerca de 6.000 usuarios de Coinbase, según ha reconocido la propia empresa en un comunicado emitido a sus usuarios.
• Los ladrones aprovecharon fallos en el sistema de seguridad de la plataforma para sustraer activos y acceder a datos como la dirección y el historial de movimientos de sus víctimas.
• El ataque se añade a las dudas que ha ofrecido Coinbase en las últimas semanas acerca de algunos de sus productos.
• Descubre más historias en Business Insider España.

Un grupo de hackers ha robado a Coinbase, la segunda bolsa de criptomonedas más grande del mundo, solo por detrás de Binance, según informa el diario económico Financial Times.
Aunque la empresa no ha revelado la cantidad sustraída, sí especifica que el ataque ha afectado a cerca de 6.000 clientes. Este ha despertado dudas sobre la seguridad y el funcionamiento de una plataforma que lleva semanas en el punto de mira después de haber sido una de las grandes salidas a bolsa de 2021.

Tanto es así que su debut bursátil el pasado mes de abril se saldó con una valoración de 100.000 millones de dólares, cerca de 85.000 millones de euros. Este viernes, sin embargo, la empresa tenía noticias mucho peores que dar.
De "conseguir la paz mundial" a la "mayor estafa hipercapitalista": parte de la vieja guardia del Bitcoin cuestiona ahora la utilidad de las criptomonedas
En una notificación enviada a los clientes afectados de la que se hizo eco en primer lugar el medio Bleeping Computer, Coinbase ha explicado que entre marzo y de mayo de este año la empresa ha sido víctima de un ataque informático.
Este, explica este medio, permitió que un grupo de hackers no solamente lograra tener acceso a las criptomonedas de los clientes de Coinbase, sino que también pudiera ver datos como sus credenciales, su cuenta de correo, su dirección y su historial de operaciones.
Aunque se desconoce el método exacto que les permitió llegar tan lejos, Coinbase cree que emplearon el phising.
Esto quiere decir los ladrones se hicieron pasar por la propia Coinbase para hacerse con el correo y la contraseña de los usuarios y poder acceder así a sus cuentas.
En teoría, contar solo estos datos no debería haber sido suficiente para que los hackers pudieran completar su ataque, pues, como medidas adicionales de seguridad, Coinbase contempla un sistema de defensa multifactorial.
Elon Musk quiere que los reguladores en EU dejen a las criptomonedas en paz —pero aclara que estos activos no son la «segunda llegada del Mesías»
En él, al igual que sucede con muchos bancos en España, una vez dadas contraseña y correo, la propia web puede pedir, por ejemplo, una clave adicional enviada al móvil del usuario.
Pero esta última línea de seguridad falló. En su escrito, Coinbase reconoce que existía una vulnerabilidad en el sistema de recuperación de cuentas por SMS.
"Una vez que los atacantes habían comprometido el buzón de correo electrónico del usuario y sus credenciales de Coinbase, en un pequeño número de casos pudieron utilizar esa información para hacerse pasar por el usuario, recibir un código de autenticación de dos factores por SMS y obtener acceso a la cuenta del cliente de Coinbase", ha dicho la empresa a Bleeping Computing.
Un criptomillonario de 26 años comparte las herramientas que usa para efectuar las mejores operaciones y explica cómo adelantarse a los 'tokens' que se pondrán de moda
Aunque para algunos de sus clientes ya era tarde, Coinbase explica que, una vez descubierta esa grieta en su sistema, se apresuraron a arreglar de inmediato el fallo de seguridad.
Coinbase ha facilitado un número, el (844) 613-1499, al que sus clientes pueden llamar para conocer el estado de sus cuentas y saber más sobre las medidas que están tomando y los pasos a seguir en caso de haber sido víctimas del ataque.
La empresa recomienda a sus clientes afectados en todo caso cambiar sus contraseñas de inmediato y pasar a métodos de autenticación más seguros como aplicaciones específicas para ello.
También les pide permanecer atentos a nuevos intentos de phising que puedan llegar a través de su correo electrónico.
No es, ni mucho menos, la primera vez en que Coinbase se convierte en objeto de deseo de ladrones informáticos.
En verano del año pasado, en mitad de la ola de hackeos masivos de la que fueron presa empresas como Twitter, Coinbase anunció que había evitado la sustracción de 30,4 bitcoins, el equivalente entonces a más de 240.000 euros.
Bit2Me capta 15 millones de euros en menos de 2 minutos: ¿qué hay detrás de la ICO más grande de España?
En las últimas semanas, Coinbase ha estado además en el centro de la polémica.
La Securities and Exchange Commission (SEC), el equivalente a lo que en España es la Comisión Nacional del Mercado de Valores (CNMV), advirtió a la empresa de que se enfrentaría a consecuencias legales si seguían adelante con su plan de lanzar al mercado Lend, tal y como recogió Europa Press.
Se trata de un producto financiero que permite a los usuarios de Coinbase prestar USD Coin, su stablecoin, a cambio de rentabilidades cercanas al 4%.
Son precisamente estas USD Coin las que en los últimos tiempos han ofrecido además alguna que otra duda entre los inversores.
Después de garantizar que estas criptomonedas estaban completamente respaldadas por el dólar, el pasado mes de agosto la propia Coinbase se descolgó aclarando que también lo están por activos "totalmente reservados", afirmó Cointelegraph.
La bolsa de criptomonedas se ha comprometido durante este mes de septiembre a pasar a una política de reserva de efectivo y bonos del Tesoro para su USD Coin, dice Finantial Times.

Otros artículos interesantes:
8 expertos reflexionan sobre lo que significa para el dogecoin su entrada en Coinbase
De Coinbase a Robinhood: el gráfico que desvela quiénes son los grandes triunfadores en los mercados de las últimas salidas a bolsa en 2021
Este inversor dijo que las criptomonedas eran "ciencia ficción" cuando apostó por ellas en 2013: ahora tiene una fortuna de casi 4.000 millones tras el boom de Coinbase
Descubre más sobre David Vázquez. Conoce cómo trabajamosen Business Insider España.

• Etiquetas:
• Criptomonedas
• Ciberseguridad
• Bitcoin
• Dinero
• Empresa
• Negocios
• Bolsa

Te puede interesar:

Un juez de Bilbao investiga una estafa de 3 millones en 'trading' y criptomonedas

El caso, que afecta por ahora a 50 personas en toda España, se llevará desde la capital vizcaína e implica, al menos, a un 'chiringuito financiero'

Un juzgado de Bilbao investiga una supuesta estafa relacionada con el mundo del 'trading' y las criptomonedas. La presunta acción delictiva habría supuesto un perjuicio de tres millones de euros para los afectados, según las fuentes consultadas por este periódico. Al parecer, hay ya cerca de medio centenar de víctimas (entre ellas, al menos, cuatro vascos) que se han querellado contra tres mercantiles y dos particulares. Las mismas fuentes apuntan a que este número sería sólo «la punta del iceberg», porque muchas más personas han decidido no denunciar o aún no son conscientes de que han sufrido «un timo en toda regla».

Aunque el caso está diseminado por una decena de provincias españolas, la investigación se va a llevar desde Bilbao, tal y como acaba de decidir el Tribunal Supremo, porque fue aquí donde se dio, por primera vez, la voz de alarma. Un vecino de Galdakao puso una primera denuncia asegurando que una supuesta agencia de inversión había vaciado su cuenta de ahorros. Fue en octubre de 2020. Posteriormente ha ido aflorando una cascada de víctimas.

LAS CLAVES

'Trading' y criptomonedas. Los supuestos estafadores ofrecían servicios de inversión en valores altamente volátiles y especulativos. El 'trading' se basa en operaciones de riesgo realizadas por internet. También instaban a la compra de bitcoins. En España, ahora mismo, solo hay 7 empresas autorizadas por el Banco de España para operar con este tipo de bien.

Irlanda y los 'partners'. Una de las claves del caso será la de determinar si la empresa principal puede manejar inversiones. Está autorizada en Irlanda, según la CMNV. Los afectados dicen que está prohibida en países como Bélgica o Brasil. Uno de sus supuestos socios en España fue tildado de 'chiringuito finaciero' por la CNMV.


El 'trading' es la compra de valores, divisas, criptomonedas y mercados de futuro altamente volátiles. Son operaciones bursátiles y digitales especulativas y de alto riesgo. En este caso, muchos de los afectados sospechan incluso que su dinero nunca se llegó a invertir. Las pesquisas se van a centrar ahora en determinar si Ava Trade EU Ltd, Ava Trade Ltd e International Basic Soul urdieron una trama para apropiarse de forma indebida del dinero de estos pequeños ahorradores y si hubo tanto una estafa ordinaria como una estafa informática, tal y como se asegura en la querella.

Se da la circunstancia de que International Basic Soul fue declarada y señalada por la Comisión Nacional del Mercado de Varlores (CNMV), que la calificó de 'chiringuito financiero'. La advertencia fue hecha pública el 4 de mayo de 2021. Esto significa que es «una entidad no autorizada para operar» y con la que existe un riesgo evidente de perder el dinero entregado, han confirmado a EL CORREO fuentes de la CNMV.

Respecto a Ava Trade EU Ltd, el organismo de control finaciero señala que es «una empresa de servicios de inversión (ESI) del Espacio Económico Europeo en Libre Prestación». Tendría su sede en Irlanda, aunque los querellantes aseguran que «está prohibida en países como Bélgica o Brasil», donde intentó operar posiblemente con otros nombres similares.

El 'modus operandi' con el que habrían sido estafados los afectados es el siguiente. Aseguran que fueron captados a partir de un anuncio en internet. Ava Trade y sus asociados habrían hecho una fuerte inversión en campañas y posicionamiento a través de redes sociales. También habrían construido toda una red de webs que elogian su labor y respaldarían una supuesta buena reputación en el mundo de las inversiones.

La rentabilidad como gancho

En estos anuncios habrían suplantado, incluso, a un conocido presentador de televisión. Tras conseguir sus datos personales, varios miembros de Ava Trade les habrían contactado de forma insistente para ofrecerles supuestas ganancias mediante inversiones, 'trading' o bitcoins. En un primer momento, les ofrecen la posibilidad de invertir sin aportar fondos.

Esto sería un gancho para acabar de convencerles. Incluso se les permite retirar pequeñas supuestas ganancias para acabar de captarles. Tras «una fuerte labor de persuasión», los afectados entran en el juego y comienzan a entregar pequeñas cantidades. Pero un supuesto asesor les va pidiendo cada vez más dinero. Hasta que ya no pueden aportar más. Sería en ese momento cuando la compañía decide «llevar a cero» estas inversiones y saquear, según los querellantes, las cuentas abiertas.

Ava Trade ha declinado hacer declaraciones a este diario. Los afectados desean que la Justicia investigue y confían que, al centralizarse el caso en un único juzgado, en Bilbao, las pesquisas echen a andar, porque en dos años «no se ha hecho prácticamente nada».




«Muchas víctimas no denuncian por vergüenza»

F. C. G. es un maestro jubilado residente en la Comunidad Valenciana que se ha querellado contra las tres empresas que están implicadas en la supuesta estafa que se ha comenzado a investigar desde Bilbao. «Tenía un dinerillo de un terreno que me expropiaron y algunos ahorros», cuenta. «Pero ahora lo he perdido todo. Tanto es así que hasta pedí un crédito personal al banco de 40.000 euros. Imagínate lo que estoy pagando con el único ingreso de mi pensión».

F. C. G. asegura que las empresas a las que han denunciado le han arruinado, no solo en lo económico, sino también en lo emocional. «Esto es un sufrimiento terrible. Te afecta al humor, a la salud, a tus relaciones con la familia...», dice. «Y lo peor es que este peso lo voy a tener que cargar durante muchos años porque esto no ha hecho nada más que empezar.

Hasta este momento hay casi medio centenar de querellas trasladadas al Juzgado de Instrucción número 6 de Bilbao. La mayoría las lleva el abogado Mauro Jordán de la Peña, que no descarta que aumente el número de casos en las próximas semanas. «Esto es solo la punta del iceberg», explica. «Porque hay bastante gente que no denuncia por una cuestión de vergüenza. Cuando te estafan o te timan hay un sentimiento de culpa muy grande. Y muchos afectados se callan también porque quieren ocultárselo a sus familiares».

El letrado añade que hay víctimas que tampoco se personan en el proceso por otro motivo: «Si te han quitado poco dinero, digamos menos de 5.000 euros, pues hay quien lo da por perdido y renuncia a reclamar por todo el desgaste que supone una situación así».