Application

Cuando el insider está dentro de una organización: Lecciones del caso Coinbase y cómo blindarse ante la amenaza interna

Home / Application / Cuando el insider está dentro de una organización: Lecciones del caso Coinbase y cómo blindarse ante la amenaza interna
Seguridad digital ante amenazas internas

Cuando el insider está dentro de una organización: Lecciones del caso Coinbase y cómo blindarse ante la amenaza interna

CUANDO EL INSIDER ESTÁ DENTRO DE UNA ORGANIZACIÓN

(Lecciones del caso Coinbase y cómo blindarse ante la amenaza interna)

1. El enemigo interior: resumen del caso Coinbase

En mayo de 2025 Coinbase reveló que delincuentes sobornaron a dos agentes de su proveedor de soporte TaskUs en Indore (India). Los empleados fotografiaron pantallas con datos de clientes —nombres, correo, últimos 4 dígitos del SSN, imágenes KYC y extractos de cuenta— y luego intentaron extorsionar 20 M USD a la empresa. Coinbase rechazó el chantaje, ofreció la misma suma como recompensa y estimó un impacto económico potencial de 180‑400 M USD, entre costes legales, mitigación y reputación.

Cronología clave

  • Dic 2024: acceso no autorizado inicial.
  • Ene 2025: empleado sorprendido fotografiando datos.
  • Q1 2025: TaskUs cierra la operación india (226 despidos).
  • 15 May 2025: divulgación pública y notificación a clientes.
  • 20 Jun 2025: estimación de daños (hasta 400 M USD).

2. Anatomía técnica (MITRE ATT&CK)

Fase tácticaTécnicaEvidencia en el caso
Initial Access / PersistenceT1078 – Valid AccountsLos agentes ya poseían credenciales legítimas de soporte.
CollectionAcceso al CRM y paneles KYCExtrajeron PII y snapshots de saldo.
ExfiltrationT1052 – Exfiltration Over Physical MediumUso de smartphones personales para fotografiar la pantalla.
Command & Control / ImpactExtorsión y amenaza de filtradoSolicitud de rescate de 20 M USD; Coinbase no pagó.

3. ¿Qué factores lo hicieron posible?

El ataque fue posible por cuatro fallas clave: privilegios excesivos en personal junior, controles de sesión débiles sin alertas efectivas, ceguera analógica ante el uso de móviles no controlados y una cadena de suministro vulnerable con escasa supervisión a terceros.

4. Cinco líneas de defensa contra la amenaza interna

Las defensas efectivas se agrupan en cinco frentes: Personas, con formación ética y canales seguros de denuncia; Proceso, aplicando mínimo privilegio y accesos just-in-time; Tecnología, mediante analítica de comportamiento y control de dispositivos; Proveedores, bajo un enfoque Zero Trust y auditorías rigurosas; y Respuesta, con playbooks claros para actuar en menos de 24 horas.

5. Checklist rápido para CISOs

  • Mapee accesos de soporte vs. datos expuestos.
  • Exija gestión de dispositivos móviles en zonas sensibles.
  • Active alertas por acceso fuera de tickets asignados.
  • Revise contratos de BPO: SLA de seguridad y derecho de auditoría.
  • Pruebe escenarios de extorsión con tabletop exercises semestrales.

Conclusión

Los firewalls no detienen a quien ya posee un ID de empleado. El caso Coinbase muestra que un smartphone de 300 € y un soborno bastan para eludir controles millonarios. Blindarse implica combinar Zero Trust, vigilancia contextual y, sobre todo, recordar que la ciberseguridad es tan fuerte como la ética de la persona que mira la pantalla.