Esta semana, un representante de la plataforma de intercambio de criptomoneda Coinbase confirmó que un hacker (o grupo de hackers) logró comprometer la seguridad de la plataforma y robar activos virtuales a cerca de 6,000 clientes, todo mediante la explotación de una vulnerabilidad para evadir la autenticación SMS.
En la alerta de seguridad enviada a sus clientes, Coinbase menciona que el incidente ocurrió entre marzo y mayo de 2021, periodo durante el cual tuvo lugar esta campaña de hacking para comprometer a los clientes de la compañía. Completar el ataque solo requería que los actores de amenazas conocieran algunos datos como dirección email, números telefónicos y contraseñas del usuario afectado.
La compañía dice desconocer cómo es que los atacantes accedieron a esta información, aunque todo apunta a que esta recolección de datos fue producto de una campaña de phishing muy bien planeada. Además, se menciona que una conocida variante de troyano bancario fue empleada para vaciar las cuentas afectadas.
Cabe recordar que, incluso en los casos en que un actor de amenazas tiene acceso a las credenciales de una cuenta en Coinbase, la plataforma le pedirá cumplir con un mecanismo de autenticación de doble factor (2FA), incluyendo autenticación por código SMS. No obstante, la vulnerabilidad en la plataforma permitió a los hackers obtener el token de autenticación SMS enviado al usuario legítimo, brindando acceso total a las cuentas de usuarios comprometidos.
Al detectar la actividad maliciosa, Coinbase corrigió sus protocolos de recuperación de cuentas de SMS, lo que eliminó esta falla por completo. Ya que los hackers tenían acceso completo a las cuentas afectadas, se expusieron múltiples detalles confidenciales como nombres completos, direcciones email, fechas de nacimiento, direcciones IP, registros de actividad y otros datos.
Debido a que el incidente permitió a los actores de amenazas acceder a lo que se creía que eran cuentas seguras, Coinbase estará depositando fondos en las cuentas afectadas iguales a la cantidad robada. Más información al respecto está disponible en las plataformas oficiales de la plataforma de intercambio.
Como se menciona anteriormente, este incidente involucró una gran cantidad de detalles confidenciales, por lo que se recomienda a los usuarios de la plataforma restablecer sus contraseñas para Coinbase y otros servicios en línea de inmediato. Otro consejo a tomar en cuenta es cambiar de método de autenticación multifactor, ya que se considera que el uso de tokens SMS se ha visto irremediablemente comprometido.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad