Ciberdelincuentes robaron miles de dólares de clientes de Coinbase aprovechando una vulnerabilidad
El exchange de criptomonedas Coinbase reveló que un ciberdelincuente robó criptomonedas a 6,000 clientes. El atacante logró su objetivo después de usar una vulnerabilidad para evadirla función de seguridad de autenticación multifactor de SMS de la compañía.
Coinbase es el segundo exchange de criptomonedas más grande del mundo, con aproximadamente 68 millones de usuarios de más de 100 países.
En una notificación enviada a los clientes afectados esta semana, Coinbase explica que el incidente ocurrió entre marzo y el 20 de mayo de 2021. En ese periodo, el ciberdelincuente llevó a cabo una campaña de hacking para vulnerar las cuentas de los clientes de Coinbase y robar criptomonedas.
Para llevar a cabo el ataque, Coinbase dice que los atacantes necesitaban conocer la dirección de correo electrónico, la contraseña y el número de teléfono del cliente asociados con su cuenta de Coinbase. Asimismo, debían tener acceso a la cuenta de correo electrónico de la víctima.
Si bien desconocemos como los ciberdelincuentes obtuvieron acceso a esta información, las campañas de phishing dirigidas a los clientes de Coinbase para robar las credenciales de las cuentas se han vuelto comunes. Además, también sabemos que los troyanos bancarios utilizados tradicionalmente para robar cuentas bancarias en línea roban cuentas de Coinbase.
Vulnerabilidad de MFA permitió el acceso a las cuentas
Incluso si un ciberdelincuente tiene acceso a las credenciales y la cuenta de correo electrónico de un cliente de Coinbase, normalmente se le impide iniciar sesión en una cuenta si un cliente tiene habilitada la autenticación multifactor.
En la guía de Coinbase sobre la protección de cuentas, recomiendan habilitar la autenticación multifactor (MFA) utilizando claves de seguridad. Asimismo, pueden usar contraseñas únicas basadas en el tiempo (TOTP) con una aplicación de autenticación o, como último recurso, mensajes de texto SMS.
Sin embargo, Coinbase afirma que existía una vulnerabilidad en el proceso de recuperación de la cuenta mediante SMS. Esta vulnerabilidad permitió a los atacantes obtener el token de autenticación de dos factores de SMS necesario para acceder a una cuenta segura.
“Incluso con la información descrita anteriormente, se requiere autenticación adicional para acceder a su cuenta de Coinbase.
Sin embargo, en este incidente, para los clientes que utilizan mensajes de texto SMS para la autenticación de dos factores, el atacante se aprovechó de una vulnerabilidad en el proceso de recuperación de la cuenta por SMS de Coinbase. El atacante pudo recibir un token de autenticación de dos factores por SMS y obtener acceso a la cuenta”.
Como el ciberdelincuente también tenía acceso completo a una cuenta, la información personal de los clientes también estaba expuesta. Esto incluía su nombre completo, dirección de correo electrónico, domicilio, fecha de nacimiento, historial de transacciones, tenencias de cuentas y saldos.
Como la vulnerabilidad de Coinbase permitió a los atacantes acceder a lo que se creía que eran cuentas seguras, el exchange está reintegrando los montos robados a las cuentas.
No está claro si Coinbase acreditará a los clientes afectados la criptomoneda que fue robada o la moneda fiduciaria. Si es moneda fiduciaria, podría conducir a un evento imponible para las víctimas si tuvieran un aumento en las ganancias.
Lo que deben hacer las víctimas de Coinbase
Dado que el ataque requirió la contraseña tanto de Coinbase como de la cuenta de correo electrónico del cliente, recomendamos encarecidamente que las víctimas cambien sus contraseñas de inmediato.
Coinbase también recomienda a los usuarios cambiar a un método MFA más seguro. Por ejemplo, una clave de seguridad de hardware o una aplicación de autenticación.
Finalmente, las víctimas deben estar atentas a futuros correos electrónicos de phishing o mensajes de texto SMS que intenten robar credenciales utilizando información expuesta en la infracción.
Esta no es la primera vez que una vulnerabilidad en el sistema MFA de Coinbase causa problemas a sus clientes.
En agosto, Coinbase alertó accidentalmente a 125,000 clientes que su configuración de 2FA había sido cambiada, causando pánico entre quienes recibieron la alerta.