Certora opina sobre cómo Coinbase podría haber evitado la filtración de datos de mayo

La filtración de datos de Coinbase en mayo de 2025 fue un duro recordatorio de que los exploits más aterradores de las criptomonedas no siempre ocurren en el código de una oscura aplicación DeFi.

A diferencia de los fríos y calculados hackeos en la lógica de programación, la ingeniería social explota nuestras vulnerabilidades más humanas.

A diferencia de los fríos y calculados hackeos en la lógica de programación, la ingeniería social explota nuestras vulnerabilidades más humanas, con nefastos actores que juegan con nuestro miedo y confusión para robar millones de dólares.

Certora, una empresa líder en seguridad de blockchain, sostiene que las bolsas centralizadas deben hacer más para proteger a sus usuarios. En un informe reciente, Certora subraya la importancia de las prácticas OpSec seguras y sugiere cómo Coinbase podría haber evitado que se produjera la filtración de datos de mayo.

La filtración de datos de mayo de Coinbase puso en peligro a 69.000 usuarios

En mayo de 2025, unos delincuentes sobornaron a un grupo de contratistas de Coinbase’s en el extranjero, adquiriendo datos muy sensibles de clientes como pasaportes, identificadores bancarios y números de la seguridad social enmascarados.

La filtración de datos de Coinbase en mayo puso en peligro a 69.000 usuarios.

La revelación inicial de Coinbase indicaba que la filtración afectaba a menos del 1% de sus usuarios con transacciones mensuales. Según la oficina del Fiscal General de Maine, los documentos reguladores reporting documents confirman que el incidente puso a 69.641 personas en riesgo de sufrir ataques de ingeniería social.

Coinbase ha filtrado sus datos bancarios.

Notablemente, los informes indican que ya en diciembre de 2024 se estaban filtrando datos sensibles. Es imposible saber el alcance del daño que se pudo haber causado antes de que se descubriera la filtración el 11 de mayo de 2025. Coinbase ha indemnizado desde entonces a los clientes afectados que fueron objetivo de los delincuentes y perdieron fondos.

Incluso si te consideras un veterano de las criptomonedas, no eres inmune a los daños que pueden causar las filtraciones de datos. El cofundador de Solana Labs, Raj Gokal, probablemente no fue engañado por una estafa de ingeniería social, pero ciertamente no le gustó que su información personal se compartiera en Internet.

Lo que Coinbase debería haber hecho

Certora, una firma líder en seguridad blockchain, postula que la ingeniería social es uno de los vectores de ataque más fáciles a disposición de los actores maliciosos. Los estafadores experimentados tienen fácil acceso a los sectores de la población que no son expertos en criptografía. ¿Por qué intentar encontrar fisuras en protocolos auditados y reforzados cuando puedes convencer a alguien de que eres un empleado de Coinbase y ayudarle a proteger su cuenta?

Mientras que los inversores son responsables de educarse a sí mismos hasta cierto nivel, Certora argumenta que las bolsas necesitan subir su juego y “tener en cuenta el hecho de que las personas internas vulnerables, ya sean maliciosas o no, son susceptibles de ser comprometidas”

.

Certora defiende el creciente impulso de un movimiento OpSec llamado Arquitectura de Confianza Cero, o ZTA. En pocas palabras, ZTA requiere que los equipos dejen de confiar en la “red de la empresa” como una burbuja segura. El trabajo remoto, las aplicaciones en la nube y el phishing deshonesto hacen que ese perímetro de seguridad sea poroso e inseguro.

Las bolsas tienen que darse cuenta de que sus empleados son vulnerables a los errores de OpSec, y bloquear cada recurso sensible con sus propias reglas de acceso y comprobaciones. Cada solicitud se verifica y se le da sólo la cantidad mínima absoluta de datos necesarios. De esta forma, una sola cuenta comprometida no puede vagar ni causar daños mayores.

Volviendo al ejemplo de Coinbase, Certora plantea un punto válido sobre las autoridades de acceso y la visibilidad de datos sensibles que se da a los contratistas extranjeros. No hay ninguna razón por la que un agente de atención al cliente deba tener acceso al pasaporte de un usuario, y mucho menos a sus números de la seguridad social enmascarados y al historial completo de su cuenta.

Cómo protegerse de los ataques de ingeniería social

Aunque Coinbase evidentemente dejó caer la pelota en este caso, todavía se recomienda encarecidamente a las personas que se eduquen sobre las prácticas de seguridad.

• Desconfía del contacto entrante - Ningún intercambio se pondrá nunca en contacto contigo para pedirte tu contraseña, códigos 2FA o frase semilla. Asuma que cualquiera que le pida esta información tiene intenciones maliciosas.

• Establezca una lista de retiradas permitidas: habilite únicamente las retiradas a direcciones seleccionadas que controle y bloquee todas las demás de forma predeterminada.

• Permitir la retirada de fondos.

• Utilice cuentas criptográficas designadas - Utilice un único correo electrónico y número de contacto para toda la actividad criptográfica. Esto reduce la superficie de los vectores de ataque, y los hackers no pueden juntar fácilmente suficientes datos para spear-phish o hacerse pasar por usted.

• Establezca límites de retirada - Si su cuenta se ve comprometida, esto ayudará a evitar que los hackers roben sus activos de un solo golpe. Incluso unas pocas horas pueden ser la diferencia entre perderlo todo y bloquear su cuenta a tiempo.

El prolífico crecimiento y la adopción del cripto en 2025 son enormemente beneficiosos para el sector. Desafortunadamente, la afluencia de millones de nuevos usuarios e inversores es una perspectiva apetitosa para los actores maliciosos. Las bolsas tienen que mejorar su juego para proteger a los usuarios, o la industria nunca superará el daño a la reputación causado por fugas de seguridad como la reciente metedura de pata de Coinbase.

Más información sobre SolanaFloor

Los AMMs de Prop están dominando Solana DeFi

HumidiFi se corona como la mayor DEX de Solana por volumen de negociación

Esenciales de cripto seguridad