Puntos Clave de la Noticia:
- Expertos de SlowMist y el investigador ZachXBT detectaron una página oficial que pide frases semilla en texto plano.
- La herramienta, vinculada a Coinbase Commerce, dejará de estar operativa definitivamente el próximo 31 de marzo de 2026.
- Coinbase ha confirmado que investiga el incidente, mientras la comunidad advierte sobre el riesgo de ingeniería social.
Este jueves las alarmas se encendieron en el mercado cripto, luego de que expertos en seguridad blockchain identificaran una página oficial de Coinbase que solicita a los usuarios introducir sus frases de recuperación de 12 palabras. Esta práctica, calificada como «increíblemente insegura» por el fundador de SlowMist, Yu Xian, podría normalizar comportamientos que los atacantes explotan habitualmente en campañas de phishing y robo de activos.
La polémica surge en un contexto donde la plataforma está migrando sus servicios de Commerce hacia Coinbase Business. Los reportes técnicos indican que, el flujo de retiro requiere que el usuario pegue su clave mnemónica en un formulario web para recuperar fondos de billeteras de autocustodia.
Es una metodología que va en contra de todas las recomendaciones de seguridad estándar, que prohíben compartir estas claves con terceros o sitios web, independientemente de su legitimidad aparente.
El riesgo de la ingeniería social en plataformas oficiales
La página en cuestión fue reportada en guías de ayuda oficiales que, según informes recientes, ya comenzaron a ser retiradas o modificadas. ZachXBT señaló que este tipo de herramientas proporcionan una infraestructura que puede ser replicada fácilmente por agentes maliciosos para timar a clientes de Coinbase a través de tácticas de ingeniería social, simulando procesos de recuperación «oficiales».
Por su parte, hasta ahora Coinbase no ha emitido declaraciones públicas al respecto, solo informaron que están analizando la situación. No obstante, la documentación de la compañía sigue enfatizando que las billeteras de Commerce son de autocustodia y que el usuario es el único responsable de la seguridad de sus fondos, lo que incrementa la confusión sobre por qué se implementó un sistema de entrada de frases en línea.
En resumen, es importante que los usuarios eviten el uso de cualquier herramienta que solicite frases semilla fuera de interfaces de billetera confiables, así lo recomienda la comunidad cripto. Ante el cierre de los servicios antiguos de Commerce a finales de este mes, la precaución extrema es vital para evitar el drenado de activos por métodos de recuperación poco ortodoxos.
