Coinbase, una de las mayores plataformas de intercambio de criptomonedas de Estados Unidos, ha confirmado una nueva filtración de datos de clientes provocada por un proveedor externo. Según la compañía, el incidente afectó aproximadamente a 30 cuentas de usuario y se produjo en diciembre de 2025. Coinbase subraya que se trata de un caso acotado y que no está relacionado con la brecha masiva vinculada anteriormente al proveedor de soporte TaskUs.
Coinbase confirma una nueva filtración de datos a través de un proveedor externo
La investigación interna de Coinbase identificó que uno de sus contratistas obtuvo acceso no autorizado a información de un número reducido de clientes. La empresa califica el impacto como “muy limitado”, cifrándolo en torno a 30 usuarios. Tras detectar el incidente, Coinbase rescindió la relación con el proveedor implicado, notificó a los reguladores y activó protocolos de gestión de incidentes conforme a las exigencias del sector financiero y cripto.
Los clientes afectados han sido informados individualmente y se les han ofrecido servicios de protección frente al robo de identidad, una práctica ya consolidada en casos de exposición de datos personales. Coinbase no ha detallado públicamente qué campos de datos concretos se vieron comprometidos, pero insiste en que se trata de un incidente localizado y no de una exfiltración masiva.
Datos potencialmente expuestos y valor para los ciberdelincuentes
Aunque no se ha publicado un listado exhaustivo, en escenarios similares suelen verse comprometidos identificadores personales (nombre completo, fecha de nacimiento, correo electrónico, teléfono) y elementos de información KYC (“Know Your Customer”), como copias de documentos de identidad usados para verificar al cliente. Este tipo de información es especialmente valiosa para los atacantes porque facilita campañas de phishing dirigido, suplantaciones de identidad y fraudes financieros de alto impacto.
Antecedente clave: la gran brecha vinculada a TaskUs y 70 000 usuarios
Para entender la relevancia del nuevo incidente, conviene recordar la brecha masiva de principios de 2025, cuando ciberdelincuentes sobornaron a dos empleados de la empresa india TaskUs, encargada de servicios de soporte a clientes para Coinbase. En aquella ocasión se vieron comprometidos los datos de casi 70 000 usuarios de la plataforma.
Los atacantes accedieron a fechas de nacimiento, direcciones postales, teléfonos, emails y los últimos dígitos de números de la seguridad social. En algunos casos, también a escaneos de pasaportes y carnés de conducir utilizados en procesos KYC/AML. Tras la exfiltración, los delincuentes exigieron a Coinbase un rescate de 20 millones de dólares, que la empresa se negó a pagar. Este esquema ilustra un patrón habitual en el ecosistema cripto: robo de datos altamente sensibles seguido de chantaje o venta en mercados clandestinos.
Scattered Lapsus$ Hunters y el interés en las herramientas internas de soporte
La confirmación de la nueva filtración llegó poco después de que el grupo Scattered Lapsus$ Hunters publicara —y posteriormente eliminara— en Telegram capturas de pantalla de un panel interno de soporte de Coinbase. En esas imágenes se observaban accesos a datos de clientes como emails, nombres, fechas de nacimiento, teléfonos, información KYC, saldos de monederos y historial de transacciones.
Por el momento no existe una vinculación formal entre este grupo y el incidente de diciembre con el contratista. Es posible que las capturas procedan de terceros actores maliciosos. Sin embargo, el historial de Scattered Lapsus$ Hunters, asociado previamente al soborno de empleados de grandes compañías, incluidas firmas de ciberseguridad, refuerza la preocupación por el acceso privilegiado de personal interno y de proveedores.
Riesgos de ciberseguridad en la cadena de suministro de las criptobolsas
Por qué los proveedores externos son un eslabón crítico
Los incidentes de Coinbase ponen de relieve el clásico problema de los riesgos en la cadena de suministro (supply chain risk). Aunque la propia plataforma invierta de forma intensiva en ciberseguridad, cualquier proveedor con acceso a sistemas o datos —call centers externalizados, verificadores KYC, socios de pagos o proveedores cloud— puede convertirse en la puerta de entrada para una intrusión.
Informes de referencia del sector, como el Verizon Data Breach Investigations Report o el Cost of a Data Breach Report de IBM, apuntan de forma consistente a las terceras partes como uno de los vectores de riesgo más significativos, especialmente en finanzas. En el ámbito cripto, el incentivo económico es aún mayor: además de los fondos, los atacantes buscan bases de datos KYC completas que permiten sofisticadas operaciones de lavado de dinero y fraude a largo plazo.
Medidas de seguridad para empresas cripto y usuarios finales
Para mitigar estos riesgos, las empresas del ecosistema deben desplegar programas sólidos de gestión de riesgos de terceros (TPRM, Third-Party Risk Management). Esto incluye cláusulas contractuales estrictas de seguridad, controles técnicos de acceso granular, aplicación rigurosa del principio de mínimo privilegio, auditorías periódicas y monitorización continua de actividad anómala de cuentas externas.
Un componente clave es la adopción de un enfoque de Zero Trust: ningún proveedor, por “de confianza” que sea, debería disponer de acceso amplio y sin restricciones a sistemas críticos. Cada acción —de empleados internos o externos— debe quedar registrada, correlacionarse y analizarse con herramientas de detección de amenazas y comportamiento anómalo.
Los usuarios de criptobolsas también pueden reducir drásticamente su superficie de ataque. Algunas prácticas recomendadas incluyen usar autenticación multifactor (preferiblemente con llaves de seguridad físicas), emplear direcciones de correo exclusivas para cuentas de exchanges, revisar con atención los emails en busca de phishing personalizado, monitorizar movimientos inusuales en sus cuentas y, cuando proceda, activar servicios de vigilancia crediticia o congelación de informes de crédito para limitar el impacto de una posible suplantación.
La sucesión de incidentes vinculados a Coinbase demuestra que incluso las plataformas cripto más grandes y reguladas no son inmunes a filtraciones a través de proveedores externos. Asumir que cualquier información KYC compartida puede llegar a verse expuesta es un punto de partida realista. Construir una estrategia de ciberhigiene personal —desde la gestión separada de identidades y correos hasta el uso de soluciones de monitorización de identidad— y exigir a los proveedores transparencia y buenas prácticas de seguridad son pasos esenciales para operar con mayor seguridad en el ecosistema de criptomonedas.
