Bitrefill, un proveedor de tarjetas de gasto en crypto y soluciones de comercio electrónico, ha publicado un informe detallado describiendo el extenso ciberataque que sufrió el 1 de marzo de 2026. La compañía reveló que los hackers accedieron a unos 18,500 registros de transacciones y lograron apoderarse de activos de múltiples billeteras calientes. Los detalles de la violación y sus repercusiones, ahora hechos públicos por la empresa, destacan los riesgos de seguridad persistentes que enfrenta el sector de criptomonedas.
La Fuga Revela Datos de Transacciones y Usuarios
El conjunto de datos filtrados por la violación incluyó direcciones de correo electrónico, direcciones de phace en criptomonedas, ciertos datos de IP, y, para alrededor de 1,000 registros, nombres completos. Aunque Bitrefill enfatizó que estos detalles se almacenaron en forma encriptada, reconoció la posibilidad de que los atacantes pudieran haber obtenido claves de desencriptación, tratando todos los datos comprometidos como potencialmente en riesgo. Crucialmente, la compañía aclaró que los datos de Conozca a Su Cliente (KYC) de los clientes no se vieron afectados, ya que son gestionados externamente por un proveedor de terceros y no se almacenan dentro de los propios sistemas de Bitrefill. Para la mayoría de los usuarios, solo los historiales de transacciones y la información técnica específica fueron expuestos.
Bitrefill confirmó que el ataque tuvo lugar el 1 de marzo, detallando que la investigación descubrió trazas de software malicioso e identificó la reutilización de direcciones IP y de correo electrónico previamente vinculadas a ciberataques respaldados por Corea del Norte.
Según más detalles de Bitrefill, los atacantes no lograron acceder a cuentas de usuarios ni obtener documentos de verificación financiera de manera directa. La empresa reiteró su fuerte énfasis en salvaguardar la privacidad del cliente, señalando que mantener la información de KYC fuera de su plataforma principal fue una medida de seguridad deliberada.
Cómo se Desarrolló el Ataque
El ciberataque se originó con la vulneración del portátil de un empleado. Los intrusos aprovecharon credenciales de inicio de sesión heredadas y claves de acceso antiguas que deberían haber sido retiradas, para adentrarse más en la infraestructura de Bitrefill. Con este acceso no autorizado, los atacantes trasladaron activos de las billeteras calientes de la compañía y realizaron pedidos sospechosos a través de proveedores de tarjetas de regalo dentro de la plataforma. La investigación del incidente reveló similitudes entre el malware utilizado, las direcciones IP y de correo electrónico rastreadas repetidamente, y el rastreo de transacciones que coincidían con patrones del notorio Grupo Lazarus, vinculando el hackeo con el grupo respaldado por Corea del Norte.
Bitrefill identificó posteriormente que una vulnerabilidad crítica provino de mantener una credencial de acceso no utilizada en el sistema. Los atacantes capturaron una instantánea del sistema, junto con la credencial desactualizada, lo que permitió que la violación se extendiera por toda la red de la compañía.
Respuesta y Esfuerzos de Remediación
Una vez detectada la violación, Bitrefill desconectó prontamente todos los sistemas. Tras una revisión interna de dos semanas y una revisión de seguridad, la empresa restauró casi todos los servicios para el 17 de marzo. Las operaciones de phace, cuentas de usuarios e inventarios de productos volvieron a ser accesibles. Bitrefill anunció que reembolsaría completamente las pérdidas financieras de sus propios recursos, asegurando a los usuarios que los saldos de los clientes permanecieron intactos y seguros durante el ataque.
A raíz del incidente, Bitrefill inició asociaciones con las firmas de ciberseguridad zeroShadow y SEAL911 y comenzó a fortalecer los controles de acceso internos para protegerse contra futuras amenazas.
Amenaza Persistente del Grupo Lazarus a Plataformas de Criptomonedas
El Grupo Lazarus, una empresa de ciberdelincuencia vinculada al régimen de Corea del Norte, ha orquestado numerosos ataques contra la industria de cripto a lo largo de los años. Culpado por robos que involucran miles de millones de dólares en activos digitales, se cree que el grupo canaliza estos fondos en los programas de armas de Corea del Norte. El reciente caso de Bitrefill subraya la estrategia de Lazarus de atacar no solo grandes intercambios, sino también plataformas medianas que operan dentro del ecosistema cripto en evolución.
En la situación de Bitrefill, almacenar los datos de verificación de identidad fuera de la plataforma principal ayudó a contener el daño. Sin embargo, la violación se basó en última instancia en una sola credencial de cuenta descuidada, que se convirtió en la puerta de entrada de los atacantes a toda la infraestructura de la empresa, un recordatorio contundente del impacto desproporcionado que pueden tener pequeños descuidos en la ciberseguridad.
