El gigante de las criptomonedas Coinbase ha revelado que "al menos 6.000 clientes de Coinbase han visto cómo se les retiraban los fondos de sus cuentas" como resultado de una reciente campaña de phishing en la que unos hackers sortearon una función de autenticación basada en SMS que la empresa utilizaba para proteger muchas cuentas.
La noticia de la campaña de phishing se dio a conocer en agosto, pero el alcance de la misma sólo quedó claro después de que empezara a circular una carta que la empresa envió a los clientes afectados.
En la carta, Coinbase dice que los hackers obtuvieron acceso a las cuentas de correo electrónico de las víctimas, y luego utilizaron esas cuentas comprometidas para drenar las criptomonedas de esos usuarios. A pesar de que Coinbase requiere una característica de seguridad ampliamente utilizada llamada "autenticación de dos factores", la versión de SMS de esto - en el que los usuarios reciben un mensaje de texto para confirmar una transacción - se rompió.
"Sin embargo, en este incidente, para los clientes que utilizan los textos SMS para la autenticación de dos factores, el tercero se aprovechó de una falla en el proceso de recuperación de la cuenta de SMS de Coinbase con el fin de recibir un token de autenticación de dos factores de SMS y obtener acceso a su cuenta", dice la carta.
Coinbase también dice que reembolsará a aquellos que perdieron fondos como resultado del ataque de phishing, y que ya ha comenzado a compensar a los clientes. La empresa no reveló la cantidad total que los hackers robaron.
Este incidente no equivale, como algunos han informado, a un hackeo de Coinbase, ya que los piratas informáticos no parecen haber vulnerado los sistemas internos de la empresa. En su lugar, los robos se produjeron porque los clientes cayeron en ataques de phishing dirigidos a su correo electrónico personal, algo muy común.
No está claro, sin embargo, por qué Coinbase tomó tanto tiempo para reconocer los incidentes, que tuvieron lugar en un período de marzo a mayo. Aunque la empresa publicó una entrada en su blog a principios de esta semana describiendo una sofisticada campaña de phishing, no reveló que los hackers la habían utilizado para robar con éxito a miles de clientes. Tampoco parece que Coinbase haya hecho nada para advertir a su base de clientes en el momento en que se produjeron los ataques, ni siquiera en los meses siguientes.
Según un portavoz de Coinbase, la empresa no quiso interferir con las fuerzas del orden que investigaban el incidente.
"Debido al tamaño, el alcance y la sofisticación de la campaña, hemos estado trabajando con una serie de socios, agencias policiales y otras partes interesadas para entender el ataque y desarrollar técnicas de mitigación. No nos sentíamos cómodos revelando el ataque públicamente hasta que se tomaran las medidas correctas para garantizar que no pudiera repetirse con éxito, y que no comprometiera la integridad de las investigaciones de las fuerzas del orden", dijo el portavoz.
Los ataques parecen haber sido de naturaleza global, ya que la carta de Coinbase dice que proporcionará servicios de monitoreo de crédito en "su país de residencia."
Coinbase también instó a los clientes a cambiar a una forma más segura de autenticación de dos factores, como un dispositivo de hardware externo o una aplicación de autenticación.