Miles de cuentas robadas en la mayor plataforma de trading de criptomonedas de Estados Unidos

La fiebre de las criptomonedas no hace sino crecer diariamente. Personas de todo el mundo ven este tipo activo digital como alternativa de inversión, cosa que los ciberdelincuentes perciben como una oportunidad para lucrarse. Coinbase, una de las plataformas de referencia cuando se habla del mercado de criptomonedas, ha informado recientemente que unos 6000 de sus usuarios han sido víctimas de un ataque, lo que se traduce en millones de dólares en pérdidas.

La plataforma cuenta con más de 60 millones de usuarios, por lo que el número de víctimas, si bien es elevado, no es lo que realmente sorprende (menos del 0,01% de usuarios), sino la brecha de seguridad existente en la misma.

¿Cómo se produjo el ataque?

Los ciberdelincuentes para realizar el ataque debían conocer el correo electrónico, contraseña y número de teléfono asociado a la cuenta de Coinbase, así como tener acceso a la bandeja de entrada del correo de la víctima. Estos datos se pueden conseguir mediante phishing y otras técnicas de ingeniería social.

Sin embargo, estos datos no son suficientes, debido a que la compañía implementa como medida de seguridad con respecto al acceso de sus usuarios la autenticación de doble factor (2FA). Esto quiere decir que una vez introducidas las credenciales de acceso, la plataforma pide una clave adicional enviada al teléfono de usuario mediante SMS. Ahí es donde existía una brecha de seguridad -cosa que reconoce Coinbase- que permitía a los atacantes obtener el código de autenticación SMS enviado al usuario legítimo.

En definitiva, los atacantes una vez obtenidas las credenciales de acceso a la cuenta de Coinbase, explotaban una vulnerabilidad en el sistema de recuperación de cuentas para obtener  el segundo código y, con ello, acceso y control sobre los fondos de las víctimas.

La CNBC compartió el caso de Molly y Eric Richardson, matrimonio que perdió una cuenta valorada en más de un millón de dólares. Eric, víctima del ataque, recibió un mensaje con un enlace que usó para hacer login en su cuenta. Tras ello, perdió el acceso a la misma. El matrimonio trató de ponerse en contacto con la plataforma, pero ésta carecía de asistencia telefónica inmediata, por lo que tuvieron que comunicarse vía mail. En el tiempo de espera -20 minutos-, 20 transacciones ocurrieron en su cuenta sin que pudieran hacer nada, perdiendo unos 700.000 dólares. Coinbase devolvió solamente 500$ a la pareja.

Tras el ataque -y duras críticas de sus usuarios-, la plataforma ha implantado un servicio de atención telefónica en caso de que ocurran sucesos similares y, tras detectar esta brecha de seguridad, se ha encaminado a corregirla. También recomendaron a sus usuarios cambiar de contraseña y emplear aplicaciones específicas para autenticarse, en lugar de hacerlo mediante SMS.

Cabe destacar que el acceso a las cuentas de los usuarios de la plataforma no sólo ha significado pérdidas económicas importantes para los clientes de Coinbase. Los ciberdelincuentes han tenido acceso a datos sensibles -dirección, contraseña, correo, número de teléfono, movimientos de cuentas…- que podrían ser empleados en futuros ataques

Desde el equipo de ciberinteligencia de Cyberdata Security hemos detectado en la Deep Web un mercado en donde se ofertan recovery phrases de billeteras (wallets). Se pueden encontrar ofertas tales como las de la imagen siguiente, donde por 800 dólares conseguiremos una wallet valorada en 10.000 $.

Los anunciantes afirman ser un grupo de hackers y “social engineers” originarios de Irán, que tienen acceso a Wallet Recovery Phrases, con las que acceder a cuentas con diferentes criptomonedas y, una vez dentro, operar con ellas. En este caso, los ciberdelincuentes reconocen ser inexpertos en lavado de dinero, por lo que han destinado una parte de las Wallet Recovery Phrases -una pequeña parte de todas las que poseen- para vender, quedándose ellos con el resto, es decir, la mayoría.

¿Qué es una Wallet Recovery Phrase?

Una recovery phrase es una forma legible para los humanos de las claves privadas de  carteras de criptomonedas, que normalmente se muestran como frases. Cada criptobilletera tiene una clave privada asociada -similar a la de cualquier aplicación de banca online- con la que se pueden acceder a los fondos de la misma.

Básicamente, el tener la recovery phrase de una cuenta permite el acceso a los activos de la misma.

Eite la posibilidad de que los atacantes hayan empleado este método o alguno similar para, una vez dentro de la cuenta de Coinbase de las víctimas, conseguir retirar los fondos.

Publicado
noviembre 10, 2021

Autor: Matias Ortega