A diferencia de los hackers encriptación de Rusia y Corea del Norte, que generalmente solo persiguen el dinero, los miembros de la pandilla Comm a menudo buscan tanto llamar la atención como la emoción de las travesuras.
Escrito por: Ben Weiss, Jeff John Roberts
Compilado por: Luffy, Foresight News
El cofundador y CEO de Coinbase, Brian Armstrong, habló en un evento en Bangalore, India, en 2022
El 15 de mayo de 2025, Coinbase reveló que los datos personales de decenas de miles de sus clientes habían sido robados, lo que representa el mayor incidente de seguridad en la historia de la compañía, con pérdidas que se estiman en hasta 400 millones de dólares. Esta filtración de datos no solo es notable por su magnitud, sino también por los métodos de ataque de los hackers: sobornar a personal de servicio al cliente en el extranjero para obtener información confidencial de los clientes.
Coinbase ha declarado públicamente que pagará 20 millones de dólares a los informantes que proporcionen pistas y ayuden a capturar y condenar a los delincuentes, pero ha revelado muy poco sobre la identidad de los atacantes o los detalles del ataque.
Una reciente encuesta de la revista Fortune (que incluye la revisión de correos electrónicos entre Coinbase y un Hacker) reveló nuevos detalles sobre el evento, sugiriendo que una red suelta compuesta por jóvenes hackers de habla inglesa es parte de los responsables. Al mismo tiempo, los resultados de la investigación también destacan que las llamadas BPO (unidades de externalización de procesos de negocio) son un eslabón débil en la operación de seguridad de las empresas tecnológicas.
Traición interna: el servicio al cliente externalizado se convierte en el punto de quiebre
La historia comienza con una pequeña empresa que cotiza en bolsa, TaskUs, en New Braunfels, Texas. Al igual que otras BPO, la empresa proporciona servicios al cliente a grandes empresas tecnológicas a bajo costo mediante la contratación de empleados en el extranjero. Según un portavoz de la empresa, en enero de este año, TaskUs despidió a 226 empleados que trabajaban para Coinbase en su centro de servicios ubicado en Indore, India.
Según los documentos presentados a la Comisión de Bolsa y Valores de EE. UU., desde 2017, TaskUs ha estado proporcionando personal de servicio al cliente para Coinbase, una relación que ha ahorrado a este gigante estadounidense de encriptación una gran cantidad de costos laborales. Pero la pregunta es: cuando los clientes envían correos electrónicos preguntando sobre su cuenta o sobre nuevos productos de Coinbase, es muy probable que estén hablando con empleados de TaskUs en el extranjero. Debido a que los salarios de estos agentes son más bajos que los de los empleados en EE. UU., son más susceptibles a ser sobornados.
"A principios de este año, descubrimos que dos individuos accedieron ilegalmente a la información de uno de nuestros clientes," dijo un portavoz de TaskUs a la revista Fortune al referirse a Coinbase, "creemos que estas dos personas fueron contratadas por una actividad delictiva más amplia y organizada contra Coinbase, que también afectó a muchos otros proveedores que ofrecen servicios a Coinbase."
Según los documentos regulatorios de Coinbase, TaskUs despidió a empleados en enero, menos de un mes después de que Coinbase descubriera que los datos de los clientes habían sido robados (nota: Coinbase descubrió la violación de datos en diciembre de 2024). El martes, una demanda colectiva federal presentada en Nueva York en nombre de los clientes de Coinbase acusó a TaskUs de negligencia en la protección de los datos de los clientes. "Si bien no podemos comentar sobre la demanda, creemos que estas acusaciones son infundadas y nos defenderemos", dijo un portavoz de TaskUs, "Hacemos de la protección de los datos de los clientes nuestra máxima prioridad y continuaremos fortaleciendo nuestros protocolos de seguridad globales y programas de capacitación".
Una persona informada sobre el incidente de seguridad indicó que los hackers también atacaron con éxito a otras empresas de BPO, y que la naturaleza de los datos robados variaba en cada caso.
Estos datos robados no son suficientes para que los hackers accedan a la bóveda de encriptación de Coinbase, pero sí proporcionan información valiosa que ayuda a los delincuentes a hacerse pasar por falsos agentes de atención al cliente de Coinbase, contactando a los clientes y convenciendo a estos de entregar sus activos encriptados. La compañía informó que los hackers robaron datos de más de 69,000 clientes, pero no especificó cuántos de ellos se convirtieron en víctimas de lo que se denomina "estafa de ingeniería social". En este caso, la estafa de ingeniería social implica que los delincuentes utilizan los datos robados para hacerse pasar por empleados de Coinbase y convencer a las víctimas de transferir sus activos encriptados.
Coinbase en una declaración dijo: "Como hemos revelado, recientemente descubrimos que un actor de amenazas había solicitado información de cuentas de clientes, que se puede rastrear hasta diciembre de 2024, a un servicio de atención al cliente en el extranjero. Hemos notificado a los usuarios afectados y a las autoridades reguladoras, hemos cortado la comunicación con el personal de TaskUs involucrado y otros servicios de atención al cliente en el extranjero, y hemos reforzado el control." La declaración también añadió que se está indemnizando a los clientes que han perdido fondos en el fraude.
Las estafas de ingeniería social que suplantan a representantes de empresas no son nuevas, pero la escala del ataque de los hackers contra las empresas de BPO es bastante rara. Aunque todavía no se ha identificado claramente a los delincuentes, algunas pistas apuntan fuertemente a una organización laxa compuesta por jóvenes hackers de habla inglesa.
Pandillas de hackers adolescentes: «Provienen de los videojuegos»
A mediados de mayo, unos días después de la divulgación del incidente de filtración de datos de Coinbase, la revista Fortune se comunicó en Telegram con un hombre que se hacía llamar "puffy party", quien afirmaba ser uno de los Hackers.
Otros dos investigadores de seguridad que hablaron con el hacker anónimo le dijeron a Fortune que creen que la persona es creíble. Uno de ellos dijo: "Basándome en lo que compartió conmigo, he examinado cuidadosamente su declaración y no he podido encontrar pruebas de que su declaración sea falsa". Ambos investigadores hablaron bajo condición de anonimato porque temían recibir una citación por hablar con los presuntos piratas informáticos.
Durante la comunicación, el hombre compartió muchas capturas de pantalla, afirmando que eran correos electrónicos intercambiados con el equipo de seguridad de Coinbase. El nombre que utilizó al comunicarse con Coinbase fue "Lennard Schroeder". También compartió una captura de pantalla de una cuenta perteneciente a un exejecutivo de Coinbase, que mostraba transacciones de encriptación y una gran cantidad de información personal.
Coinbase no ha negado la veracidad de estas capturas de pantalla.
El correo electrónico compartido por el autodenominado Hacker incluye una amenaza de extorsión por 20 millones de dólares en Bitcoin (Coinbase se negó a pagar), así como comentarios burlones sobre cómo la pandilla de hackers usaría parte del dinero robado para comprarle cabello al CEO calvo de la empresa, Brian Armstrong. "Estamos dispuestos a patrocinar una cirugía de trasplante de cabello, para que él pueda viajar por el mundo con estilo", escribió el hacker.
En un mensaje de Telegram, esta persona (de la que la revista Fortune se enteró a través de un investigador de seguridad) expresó su desprecio por Coinbase.
Muchos robos de criptomonedas son perpetrados por bandas criminales rusas o por el ejército norcoreano, pero se afirma que este hacker fue llevado a cabo por una alianza suelta compuesta por un grupo de adolescentes y jóvenes de más de 20 años conocido como "Comm" o "Com".
En los últimos dos años, han aparecido informes sobre la banda Comm en la cobertura mediática de otros incidentes de hackers, incluida una informe del New York Times a principios de este mes, donde un sospechoso de llevar a cabo una serie de robos de encriptación se declaró miembro de la organización. Según el Wall Street Journal, en 2023, los investigadores identificaron a hackers de la organización que atacaron varios casinos en línea en Las Vegas y trataron de extorsionar 30 millones de dólares a MGM Resorts.
A diferencia de los hackers encriptación de Rusia y Corea del Norte que normalmente solo persiguen el dinero, los miembros de la banda Comm a menudo buscan llamar la atención y disfrutar de la emoción de las travesuras. A veces colaboran en ataques de hackers, pero también compiten entre sí para ver quién roba más.
"Ellos vienen de los videojuegos y luego llevan sus altas puntuaciones al mundo real," dijo Josh Cooper-Duckett, director de investigación de la empresa de investigación forense encriptación Cryptoforensic Investigators, "en este mundo, sus puntuaciones son cuánto han robado."
En un mensaje de Telegram, el llamado Hacker afirmó que los miembros de Comm se encargan de diferentes etapas del robo. Su equipo soborna a los servicios de atención al cliente y recopila datos de los clientes, luego entrega esos datos a otras personas fuera del equipo que son expertas en estafas de ingeniería social. Añadieron que diferentes grupos afiliados de Comm coordinan en plataformas sociales como Telegram y Discord cómo ejecutar las diferentes partes de la operación y distribuyen el botín.
El fundador de la empresa de encriptación Tracelon, Sergio Garcia, le dijo a la revista Fortune que la descripción del ataque de los hackers a Coinbase coincide con sus observaciones sobre el funcionamiento de la pandilla Comm y otros engaños de ingeniería social en el mundo de la encriptación. Fuentes informadas dicen que los atacantes que recientemente atacaron a los clientes en engaños de ingeniería social hablaban un inglés norteamericano fluido.
Según una fuente que conoce los salarios de los empleados de BPO, los empleados de TaskUs en la India ganan entre 500 y 700 dólares al mes. TaskUs declinó hacer comentarios. García le dijo a Fortune que aunque esta cifra es más alta que el PIB per cápita de la India, los bajos salarios del servicio al cliente tienden a hacerlos más propensos a aceptar sobornos. "Obviamente, este es el eslabón más débil de la cadena porque tienen un incentivo financiero para aceptar sobornos", agregó.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Detalles del incidente de filtración de datos de Coinbase: centro de atención al cliente en India y grupo de hackers adolescentes
Escrito por: Ben Weiss, Jeff John Roberts
Compilado por: Luffy, Foresight News
El cofundador y CEO de Coinbase, Brian Armstrong, habló en un evento en Bangalore, India, en 2022
El 15 de mayo de 2025, Coinbase reveló que los datos personales de decenas de miles de sus clientes habían sido robados, lo que representa el mayor incidente de seguridad en la historia de la compañía, con pérdidas que se estiman en hasta 400 millones de dólares. Esta filtración de datos no solo es notable por su magnitud, sino también por los métodos de ataque de los hackers: sobornar a personal de servicio al cliente en el extranjero para obtener información confidencial de los clientes.
Coinbase ha declarado públicamente que pagará 20 millones de dólares a los informantes que proporcionen pistas y ayuden a capturar y condenar a los delincuentes, pero ha revelado muy poco sobre la identidad de los atacantes o los detalles del ataque.
Una reciente encuesta de la revista Fortune (que incluye la revisión de correos electrónicos entre Coinbase y un Hacker) reveló nuevos detalles sobre el evento, sugiriendo que una red suelta compuesta por jóvenes hackers de habla inglesa es parte de los responsables. Al mismo tiempo, los resultados de la investigación también destacan que las llamadas BPO (unidades de externalización de procesos de negocio) son un eslabón débil en la operación de seguridad de las empresas tecnológicas.
Traición interna: el servicio al cliente externalizado se convierte en el punto de quiebre
La historia comienza con una pequeña empresa que cotiza en bolsa, TaskUs, en New Braunfels, Texas. Al igual que otras BPO, la empresa proporciona servicios al cliente a grandes empresas tecnológicas a bajo costo mediante la contratación de empleados en el extranjero. Según un portavoz de la empresa, en enero de este año, TaskUs despidió a 226 empleados que trabajaban para Coinbase en su centro de servicios ubicado en Indore, India.
Según los documentos presentados a la Comisión de Bolsa y Valores de EE. UU., desde 2017, TaskUs ha estado proporcionando personal de servicio al cliente para Coinbase, una relación que ha ahorrado a este gigante estadounidense de encriptación una gran cantidad de costos laborales. Pero la pregunta es: cuando los clientes envían correos electrónicos preguntando sobre su cuenta o sobre nuevos productos de Coinbase, es muy probable que estén hablando con empleados de TaskUs en el extranjero. Debido a que los salarios de estos agentes son más bajos que los de los empleados en EE. UU., son más susceptibles a ser sobornados.
"A principios de este año, descubrimos que dos individuos accedieron ilegalmente a la información de uno de nuestros clientes," dijo un portavoz de TaskUs a la revista Fortune al referirse a Coinbase, "creemos que estas dos personas fueron contratadas por una actividad delictiva más amplia y organizada contra Coinbase, que también afectó a muchos otros proveedores que ofrecen servicios a Coinbase."
Según los documentos regulatorios de Coinbase, TaskUs despidió a empleados en enero, menos de un mes después de que Coinbase descubriera que los datos de los clientes habían sido robados (nota: Coinbase descubrió la violación de datos en diciembre de 2024). El martes, una demanda colectiva federal presentada en Nueva York en nombre de los clientes de Coinbase acusó a TaskUs de negligencia en la protección de los datos de los clientes. "Si bien no podemos comentar sobre la demanda, creemos que estas acusaciones son infundadas y nos defenderemos", dijo un portavoz de TaskUs, "Hacemos de la protección de los datos de los clientes nuestra máxima prioridad y continuaremos fortaleciendo nuestros protocolos de seguridad globales y programas de capacitación".
Una persona informada sobre el incidente de seguridad indicó que los hackers también atacaron con éxito a otras empresas de BPO, y que la naturaleza de los datos robados variaba en cada caso.
Estos datos robados no son suficientes para que los hackers accedan a la bóveda de encriptación de Coinbase, pero sí proporcionan información valiosa que ayuda a los delincuentes a hacerse pasar por falsos agentes de atención al cliente de Coinbase, contactando a los clientes y convenciendo a estos de entregar sus activos encriptados. La compañía informó que los hackers robaron datos de más de 69,000 clientes, pero no especificó cuántos de ellos se convirtieron en víctimas de lo que se denomina "estafa de ingeniería social". En este caso, la estafa de ingeniería social implica que los delincuentes utilizan los datos robados para hacerse pasar por empleados de Coinbase y convencer a las víctimas de transferir sus activos encriptados.
Coinbase en una declaración dijo: "Como hemos revelado, recientemente descubrimos que un actor de amenazas había solicitado información de cuentas de clientes, que se puede rastrear hasta diciembre de 2024, a un servicio de atención al cliente en el extranjero. Hemos notificado a los usuarios afectados y a las autoridades reguladoras, hemos cortado la comunicación con el personal de TaskUs involucrado y otros servicios de atención al cliente en el extranjero, y hemos reforzado el control." La declaración también añadió que se está indemnizando a los clientes que han perdido fondos en el fraude.
Las estafas de ingeniería social que suplantan a representantes de empresas no son nuevas, pero la escala del ataque de los hackers contra las empresas de BPO es bastante rara. Aunque todavía no se ha identificado claramente a los delincuentes, algunas pistas apuntan fuertemente a una organización laxa compuesta por jóvenes hackers de habla inglesa.
Pandillas de hackers adolescentes: «Provienen de los videojuegos»
A mediados de mayo, unos días después de la divulgación del incidente de filtración de datos de Coinbase, la revista Fortune se comunicó en Telegram con un hombre que se hacía llamar "puffy party", quien afirmaba ser uno de los Hackers.
Otros dos investigadores de seguridad que hablaron con el hacker anónimo le dijeron a Fortune que creen que la persona es creíble. Uno de ellos dijo: "Basándome en lo que compartió conmigo, he examinado cuidadosamente su declaración y no he podido encontrar pruebas de que su declaración sea falsa". Ambos investigadores hablaron bajo condición de anonimato porque temían recibir una citación por hablar con los presuntos piratas informáticos.
Durante la comunicación, el hombre compartió muchas capturas de pantalla, afirmando que eran correos electrónicos intercambiados con el equipo de seguridad de Coinbase. El nombre que utilizó al comunicarse con Coinbase fue "Lennard Schroeder". También compartió una captura de pantalla de una cuenta perteneciente a un exejecutivo de Coinbase, que mostraba transacciones de encriptación y una gran cantidad de información personal.
Coinbase no ha negado la veracidad de estas capturas de pantalla.
El correo electrónico compartido por el autodenominado Hacker incluye una amenaza de extorsión por 20 millones de dólares en Bitcoin (Coinbase se negó a pagar), así como comentarios burlones sobre cómo la pandilla de hackers usaría parte del dinero robado para comprarle cabello al CEO calvo de la empresa, Brian Armstrong. "Estamos dispuestos a patrocinar una cirugía de trasplante de cabello, para que él pueda viajar por el mundo con estilo", escribió el hacker.
En un mensaje de Telegram, esta persona (de la que la revista Fortune se enteró a través de un investigador de seguridad) expresó su desprecio por Coinbase.
Muchos robos de criptomonedas son perpetrados por bandas criminales rusas o por el ejército norcoreano, pero se afirma que este hacker fue llevado a cabo por una alianza suelta compuesta por un grupo de adolescentes y jóvenes de más de 20 años conocido como "Comm" o "Com".
En los últimos dos años, han aparecido informes sobre la banda Comm en la cobertura mediática de otros incidentes de hackers, incluida una informe del New York Times a principios de este mes, donde un sospechoso de llevar a cabo una serie de robos de encriptación se declaró miembro de la organización. Según el Wall Street Journal, en 2023, los investigadores identificaron a hackers de la organización que atacaron varios casinos en línea en Las Vegas y trataron de extorsionar 30 millones de dólares a MGM Resorts.
A diferencia de los hackers encriptación de Rusia y Corea del Norte que normalmente solo persiguen el dinero, los miembros de la banda Comm a menudo buscan llamar la atención y disfrutar de la emoción de las travesuras. A veces colaboran en ataques de hackers, pero también compiten entre sí para ver quién roba más.
"Ellos vienen de los videojuegos y luego llevan sus altas puntuaciones al mundo real," dijo Josh Cooper-Duckett, director de investigación de la empresa de investigación forense encriptación Cryptoforensic Investigators, "en este mundo, sus puntuaciones son cuánto han robado."
En un mensaje de Telegram, el llamado Hacker afirmó que los miembros de Comm se encargan de diferentes etapas del robo. Su equipo soborna a los servicios de atención al cliente y recopila datos de los clientes, luego entrega esos datos a otras personas fuera del equipo que son expertas en estafas de ingeniería social. Añadieron que diferentes grupos afiliados de Comm coordinan en plataformas sociales como Telegram y Discord cómo ejecutar las diferentes partes de la operación y distribuyen el botín.
El fundador de la empresa de encriptación Tracelon, Sergio Garcia, le dijo a la revista Fortune que la descripción del ataque de los hackers a Coinbase coincide con sus observaciones sobre el funcionamiento de la pandilla Comm y otros engaños de ingeniería social en el mundo de la encriptación. Fuentes informadas dicen que los atacantes que recientemente atacaron a los clientes en engaños de ingeniería social hablaban un inglés norteamericano fluido.
Según una fuente que conoce los salarios de los empleados de BPO, los empleados de TaskUs en la India ganan entre 500 y 700 dólares al mes. TaskUs declinó hacer comentarios. García le dijo a Fortune que aunque esta cifra es más alta que el PIB per cápita de la India, los bajos salarios del servicio al cliente tienden a hacerlos más propensos a aceptar sobornos. "Obviamente, este es el eslabón más débil de la cadena porque tienen un incentivo financiero para aceptar sobornos", agregó.