Uno de los mayores exchanges de criptomonedas, Kraken, ha denunciado un intento de extorsión por parte de ciberdelincuentes que aseguran disponer de grabaciones de sus sistemas internos con posibles datos de clientes. El incidente no responde al patrón clásico de un ataque externo a la infraestructura, sino a una amenaza interna (insider threat): el uso indebido de accesos legítimos por parte de empleados.
Intento de extorsión a Kraken: qué se sabe realmente
Según el director de seguridad de la información de Kraken, Nick Percoco, un grupo criminal contactó a la compañía exigiendo un pago a cambio de no publicar vídeos que mostrarían interfaces de sistemas internos de soporte y, potencialmente, información de usuarios. La empresa ha recalcado que su infraestructura de negociación y los fondos de los clientes no se han visto comprometidos. El acceso se habría limitado a herramientas de atención al cliente.
Kraken ha adoptado una postura firme: no pagar el rescate ni negociar con los extorsionadores. Este enfoque está alineado con las mejores prácticas en ciberseguridad, ya que el pago rara vez garantiza el borrado de los datos robados y suele incentivar nuevos ataques, tanto contra la misma organización como contra otras del sector.
Amenazas internas en exchanges de criptomonedas: el caso Kraken
Las primeras señales del problema surgieron en febrero de 2025, cuando una fuente confiable alertó a Kraken sobre un vídeo que circulaba en foros criminales y mostraba acceso a los sistemas de soporte al cliente. La investigación interna reveló que un empleado de atención al cliente había sido reclutado por ciberdelincuentes y utilizó de forma ilegítima sus privilegios para recopilar información interna.
Tiempo después se detectó un segundo episodio, más reciente, con un patrón similar. En ambos casos, Kraken bloqueó de inmediato las cuentas de los empleados implicados, inició auditorías técnicas internas y reforzó la supervisión de las cuentas con accesos privilegiados. La compañía subraya que se trata de incidentes puntuales de tipo interno, no de un compromiso sistémico de la infraestructura.
Alcance de la filtración de datos y riesgos para los clientes
De acuerdo con la información oficial disponible, el incidente podría haber afectado a unos 2000 cuentas de clientes, aproximadamente el 0,02 % de la base de usuarios de Kraken. Los datos potencialmente expuestos se limitarían a lo accesible desde las herramientas de soporte: información de identificación, datos de contacto y detalles de los tickets de ayuda. No se habría obtenido acceso directo a criptomonedas ni monederos.
Los usuarios posiblemente afectados han sido notificados. Aunque no exista evidencia de robo de fondos, la exposición de datos personales incrementa el riesgo de phishing dirigido, ataques de ingeniería social, suplantación de identidad, intentos de toma de control de cuentas en otros servicios e, incluso, ataques de cambio de SIM (SIM swapping) en combinación con otros vectores.
Colaboración con fuerzas de seguridad y responsabilidad legal
Kraken afirma haber recopilado artefactos técnicos y pruebas suficientes para identificar a los implicados y está colaborando con autoridades federales en varias jurisdicciones. Esta coordinación transnacional es esencial en la lucha contra el ciberdelito, dado que las bandas operan con frecuencia desde múltiples países y se apoyan en una infraestructura distribuida para dificultar su rastreo.
Coinbase, call centers externos y una tendencia preocupante
El caso de Kraken se inserta en un patrón más amplio: las amenazas internas en la industria cripto van en aumento. Informes como el Verizon Data Breach Investigations Report indican que una parte significativa de los incidentes de seguridad implican a empleados o contratistas, ya sea por mala praxis, negligencia o colaboración activa con atacantes.
En 2025, otro gran exchange, Coinbase, informó de una fuga de datos que afectó aproximadamente a 70 000 usuarios. Las investigaciones apuntaron al soborno de personal de un call center externalizado que prestaba servicios a un cliente de la plataforma. El perjuicio total derivado de la operación fraudulenta se estimó en torno a 400 millones de dólares, y varios empleados fueron detenidos.
Ambos casos evidencian una debilidad recurrente: cuantos más niveles de subcontratación y soporte se incorporan, más difícil es controlar el perímetro de acceso a los datos. Para un atacante, suele ser más rentable pagar a un único empleado con privilegios que intentar vulnerar una infraestructura técnica bien protegida desde el exterior.
Lecciones de ciberseguridad para exchanges y usuarios de criptomonedas
Para los exchanges de criptomonedas, estos incidentes refuerzan la necesidad de un enfoque riguroso de gestión de accesos y amenazas internas. Entre las medidas clave destacan el principio de mínimo privilegio (cada empleado solo accede a lo estrictamente necesario), el uso obligatorio de autenticación multifactor, el registro y monitorización exhaustivos de la actividad en sistemas de soporte, la segmentación de redes, las revisiones periódicas de proveedores y las verificaciones de antecedentes para puestos sensibles.
Para los usuarios, resulta fundamental evaluar cómo comunica la plataforma los temas de seguridad: si publica informes, detalla sus procedimientos de respuesta ante incidentes y aborda de forma transparente los problemas reales. Además, conviene reforzar la higiene digital propia: contraseñas únicas y robustas apoyadas en gestores de contraseñas, doble factor de autenticación en todas las cuentas críticas, desconfianza ante correos o mensajes inesperados que soliciten datos y revisión cuidadosa de URLs y remitentes.
La situación de Kraken ilustra que, en ciberseguridad, el factor humano sigue siendo uno de los eslabones más frágiles, incluso en organizaciones con infraestructuras técnicas sólidas. Reducir el impacto de las amenazas internas exige invertir en controles de acceso, formación continua, evaluación de riesgos de terceros y comunicación clara con los clientes. Para quienes invierten o operan en criptomonedas, mantenerse informado, adoptar buenas prácticas de seguridad y elegir plataformas con políticas transparentes se convierte en una parte esencial de la protección de sus activos y de su identidad digital.
