Hechos clave:
-
Terceros no autorizados aprovecharon una falla en el sistema de verificación de doble factor.
-
La compañía asegura que repuso los fondos sustraídos de las cuentas atacadas.
Al explotar una falla en el sistema de autenticación de múltiples factores, un hacker o grupo de ellos logró infiltrarse en las cuentas y robar criptomonedas de alrededor de 6.000 clientes de Coinbase.
Un sofisticado ataque masivo de ingeniería social se dirigió a los usuarios del exchange entre marzo y mayo de este año, como quedó revelado en una carta de notificación de incumplimiento enviada días atrás por Coinbase a sus clientes afectados. Una copia de la carta está publicada en el sitio web del Fiscal General de California.
Terceros no autorizados aprovecharon una falla en el sistema de verificación de cuentas por SMS o autenticación de dos factores de la compañía. Así fue como los piratas informáticos habrían accedido a las cuentas de los clientes para transferir fondos a monederos controlados por ellos, dijo la empresa.
Sin embargo, para alcanzar sus objetivos, los atacantes debían tener la dirección de correo electrónico, la contraseña y el número de teléfono del cliente, algo que hasta ahora no queda del todo claro como sucedió.
En todo caso, Coinbase cree que los hackers previamente habrían dirigido ataques masivos de phishing para robar las credenciales de las cuentas de sus clientes. «Entre finales de abril y principios de mayo de 2021, el equipo de seguridad de Coinbase observó una campaña de phishing a gran escala que fue particularmente exitosa en eludir los filtros de spam de ciertos servicios de correo electrónico más antiguos», señala la empresa en la carta.
El phishing es un método usado por actores malintencionados para engañar a los usuarios y hacer que compartan contraseñas, números de tarjeta de crédito, y otra información confidencial. En el caso del ataque a los usuarios de Coinbase, los hackers enviaron correos para que los clientes del exchange pensaran que eran enviados por la propia empresa.
hagan clic en el enlace sin tomarse el tiempo para verificar. Fuente: blog Coinbase.
Coinbase repone los fondos robados a sus clientes
La autenticación de doble factor generalmente crea una defensa en capas que dificulta que, una persona no autorizada, acceda a un objetivo. Sin embargo, Coinbase reconoce que existía una vulnerabilidad en su sistema de recuperación de cuentas a través de SMS. Por esa razón los piratas informáticos pudieron obtener el código de autenticación de dos factores necesario para acceder a una cuenta segura.
En una publicación en su blog oficial, la empresa advierte que los ataques de suplantación de identidad han aumentado entre sus clientes alcanzando «un mayor grado de éxito al evitar los filtros de spam de ciertos servicios de correo electrónico más antiguos», apunta.
La compañía informa que los atacantes han venido utilizando una amplia variedad de asuntos, remitentes y contenido diferentes. «A veces enviaba múltiples variaciones a las mismas víctimas. Dependiendo de la variante de correo electrónico recibido, también se utilizaron diferentes técnicas para robar credenciales», agrega.
En la guía de Coinbase sobre la protección de cuentas, se recomienda habilitar la autenticación de múltiples factores (MFA) utilizando claves de seguridad, contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto SMS.
La compañía agrega que atendió los «protocolos de recuperación de cuentas de SMS» para evitar que se eluda la autenticación multifactor de SMS por parte de terceros no autorizados.
Como el error de Coinbase permitió que los atacantes accedieran a lo que se creía que eran cuentas seguras, el exchange dijo que está reponiendo los fondos de las cuentas afectadas en igual proporción a la cantidad robada.
«Depositaremos fondos en su cuenta equivalentes al valor de la moneda que se eliminó incorrectamente de su cuenta en el momento del incidente. Algunos clientes ya han sido reembolsados. Nos aseguraremos de que todos los clientes afectados reciban el valor total de lo que perdieron. Deberían ver esto reflejado en su cuenta a más tardar hoy», prometió Coinbase en la carta enviada a cada cliente afectado.
No es la primera vez que el exchange de criptomonedas es objetivo de los hackers, pues hace dos años los piratas utilizaron una combinación de métodos para intentar engañar a los miembros del personal y acceder a los sistemas vitales. Sin embargo, como lo informó CriptoNoticias, en ese momento la compañía logró frustrar este ataque.
Se presume que el objetivo de aquel ataque a Coinbase era obtener algunos de los miles de millones que posee la casa de cambio en criptomonedas.
