La brecha de 400 millones de dólares en Coinbase: un centro de llamadas indio y hackers adolescentes

El 15 de mayo, Coinbase reveló que delincuentes habían robado datos personales de decenas de miles de clientes, en lo que constituye el incidente de seguridad más grande en la historia de la empresa, con un posible costo de hasta 400 millones de dólares. La magnitud del ataque no es lo único llamativo, sino también el método: sobornar a agentes de atención al cliente en el extranjero para obtener registros confidenciales.

Coinbase respondió anunciando una recompensa de 20 millones de dólares por los responsables del robo, quienes intentaron extorsionar a la empresa para no divulgar el incidente. Sin embargo, ha dado pocos detalles sobre los atacantes o cómo lograron infiltrarse.

Una investigación de Fortune, que incluyó la revisión de correos electrónicos entre Coinbase y uno de los hackers, reveló nuevos detalles que sugieren que una red informal de jóvenes hackers de habla inglesa está al menos parcialmente involucrada. La investigación también destaca el rol de las BPO (unidades de subcontratación de procesos empresariales) como eslabón débil en la seguridad de las tecnológicas.

La historia comienza con TaskUs, una empresa que brinda servicios de atención al cliente desde el extranjero a empresas tecnológicas. En enero, despidió a 226 empleados asignados a Coinbase en India.

Desde 2017, TaskUs ha proporcionado personal de atención al cliente a Coinbase, generando importantes ahorros en costos laborales, pero también mayor exposición a riesgos. Estos agentes, con salarios bajos, son más vulnerables a sobornos.

“Identificamos a dos personas que accedieron ilegalmente a información”, dijo TaskUs a Fortune. Agregaron que estas personas habrían sido reclutadas por una campaña criminal más amplia.

Los despidos ocurrieron semanas después de que Coinbase detectara el robo de datos, y esta semana una demanda colectiva en Nueva York acusó a TaskUs de negligencia. TaskUs dijo que defenderá su actuación y que ha reforzado sus protocolos de seguridad.

Una fuente anónima confirmó que otros BPO también fueron atacados, y que la naturaleza de los datos robados varía en cada caso.

Los datos sustraídos no permitieron acceder a las criptomonedas directamente, pero sí sirvieron para suplantar la identidad de empleados de Coinbase y engañar a usuarios para que transfirieran sus fondos. La empresa reportó más de 69.000 clientes afectados, sin especificar cuántos cayeron en estafas.

Coinbase confirmó que los datos se obtenían desde diciembre de 2024. Indicó que rompió relaciones con el personal implicado, que notificó a usuarios y autoridades, y que reembolsará los fondos perdidos.

La estimación de daño financiero oscila entre 180 y 400 millones de dólares.

Aunque las estafas de suplantación no son nuevas, la escala de este ataque sí lo es, y las pistas apuntan a una red de jóvenes hackers.

Tras el anuncio público, Fortune se comunicó por Telegram con un individuo que afirmó ser uno de los hackers, bajo el alias “puffy party”.

Dos investigadores confirmaron que la información compartida era creíble, y que el hacker se identificó con el nombre “Lennard Schroeder”. Mostró capturas de pantalla con correos de Coinbase y datos de un exejecutivo.

Coinbase no negó la autenticidad del material.

En los correos aparecía una amenaza de extorsión por 20 millones de dólares en Bitcoin, rechazada por Coinbase, y comentarios burlones dirigidos al CEO Brian Armstrong.

El supuesto hacker expresó desprecio hacia Coinbase, y dijo que la operación fue llevada a cabo por una red informal llamada “the Comm” o “Com”.

Medios como The New York Times y Wall Street Journal ya habían mencionado al grupo “the Comm” en casos previos, como el ataque a casinos de Las Vegas y un intento de extorsión a MGM Resorts en 2023.

A diferencia de hackers rusos o norcoreanos, motivados por dinero, los miembros del Comm también buscan notoriedad o diversión. Colaboran y compiten entre sí, buscando ver quién logra robar más.

“Vienen del mundo de los videojuegos y llevan sus puntuaciones al mundo real”, dijo Josh Cooper-Duckett, de Cryptoforensic Investigators.

Según el hacker, su grupo sobornó a los agentes y compartió los datos con otros expertos en ingeniería social, coordinándose mediante Telegram y Discord.

Sergio García, de Tracelon, confirmó que el relato coincide con sus investigaciones. Además, dijo que los estafadores hablaban inglés norteamericano sin acento.

Los trabajadores de TaskUs en India ganan entre 500 y 700 dólares al mes, lo que, aunque supera el PIB per cápita, los hace susceptibles a sobornos.

“Es el punto más débil de la cadena”, concluyó García, “porque hay un incentivo económico claro”.

(c) 2025, Fortune