-
Tras el robo de datos a Coinbase, ocurrieron ataques de ingeniería social a los clientes.
-
Múltiples usuarios recomiendan utilizar intercambios P2P sin KYC.
En las últimas horas, el robo de datos a Coinbase ha generado intensos debates en distintos círculos de Internet. Empleados del área de atención al cliente fueron sobornados para filtrar información de una pequeña fracción de usuarios, incluyendo nombres, direcciones, identificaciones y correos electrónicos. Tras obtener los datos, los hackers exigieron USD 20 millones a cambio de no divulgar el incidente, pero el exchange se negó a pagar.
El detalle radica en que los atacantes, haciéndose pasar por Coinbase, contactaron a varios usuarios afectados y les solicitaron enviar criptomonedas a direcciones fraudulentas. Aunque la empresa se comprometió a reembolsar a las víctimas y anunció medidas para prevenir futuros incidentes, el daño ya está hecho. Esto ha reavivado el debate sobre la incapacidad de cualquier firma para garantizar por completo que estos ataques no ocurran o se repitan, y también respecto a las políticas de KYC («Know Your Customer»).
Para comprender el alcance de este incidente, es crucial entender que los exchanges centralizados exigen que los usuarios proporcionen información personal detallada, como nombres completos, direcciones físicas, selfies, números de identificación oficial, correos electrónicos y, en algunos casos, comprobantes de ingresos. Estos datos, destinados a prevenir el lavado de dinero y garantizar la trazabilidad de las transacciones, son almacenados por la plataforma, convirtiéndose en un objetivo atractivo para los hackers.
El caso llamo la atención de profesionales del sector, entre ellos Changpeng Zhao (CZ), ex CEO de Binance, quien compartió en su cuenta de X una serie de recomendaciones para prevenir ataques de phishing. CZ destacó la importancia de no compartir contraseñas con supuestos agentes de soporte, evitar hacer clic en enlaces recibidos por correo electrónico y utilizar gestores de contraseñas para garantizar credenciales seguras en cada plataforma.
Por su parte, Pablo Sabbatella, reconocido experto argentino en seguridad informática, respondió a CZ con una serie de recomendaciones clave para reforzar la protección de los usuarios. Subrayó la importancia de activar la autenticación de dos factores (2FA) para acceder a los gestores de contraseñas, pero advirtió que nunca se deben almacenar en ellos los códigos 2FA, copias de seguridad o frases semilla; también recomendó usar antivirus —especialmente en sistemas macOS— y verificar siempre la identidad de los interlocutores, adoptando una postura inicial de desconfianza. «Todo es una estafa hasta que se demuestre lo contrario», afirmó.
La discusión también llegó a oídos de Jameson Lopp, cofundador y director de seguridad de CasaHODL. En un mensaje publicado en su cuenta de X, Lopp afirmó que las políticas de KYC representan «el delito raíz que habilita todo lo demás». Según el especialista, exigir la entrega obligatoria de datos personales no solo facilita delitos de ingeniería social —como los ocurridos en este caso—, sino que también podría aumentar el riesgo de ataques físicos para obtener acceso a criptoactivos.
El incidente también fue descrito por Francisco Calderón, ingeniero de software, quien expresó una postura contundente. Calderón señaló que este tipo de filtraciones son la consecuencia directa de compartir datos personales con terceros, afirmando que «el KYC debe ser erradicado». Además, cuestionó la capacidad de Coinbase, una empresa consolidada y no una startup, para proteger la información de sus usuarios, planteando la siguiente preocupación: «Si una plataforma de este calibre no puede garantizar la seguridad de los datos, ¿qué se puede esperar de otras?». El comentario refuerza el creciente escepticismo hacia los sistemas centralizados, sumándose a las voces que abogan por soluciones que prioricen la privacidad y la autonomía del usuario. Por ejemplo, desde la cuenta oficial de la plataforma Mostro llamaron a usar exchanges P2P sin KYC.
Lo ocurrido con Coinbase demuestra, una vez más, que en este ecosistema la seguridad no depende únicamente de las plataformas, sino también del conocimiento de los usuarios. Por más que una empresa prometa altos estándares de protección, siempre existirán vulnerabilidades cuando se manejan grandes volúmenes de datos personales.
Ante este panorama, educarse es el primer paso para protegerse: entender cómo funciona el sistema, investigar antes de confiar en cualquier plataforma y adoptar una actitud crítica ante comunicaciones sospechosas. La educación es gratuita, está al alcance de todos y sigue siendo la defensa más poderosa frente a los delitos en línea. Por ello te invitamos a consultar nuestra criptopedia sobre cómo prevenir estafas con criptomonedas.
