Coinbase enfrenta fuertes críticas por solicitar frases-semente en texto plano: ¿Riesgo de phishing o error de seguridad?
- ¿Por qué la página de Coinbase genera tanta preocupación?
- ¿Cómo podrían los atacantes explotar esta vulnerabilidad?
- ¿Coinbase tiene antecedentes en problemas de seguridad?
- Preguntas frecuentes sobre el incidente
En un movimiento que ha generado indignación entre expertos en ciberseguridad, Coinbase publicó una página en un subdominio oficial que pedía a los usuarios ingresar sus frases mnemotécnicas (seed phrases) en texto plano para recuperar criptoactivos. La polémica surgió justo cuando la plataforma Commerce de la exchange se prepara para cerrar operaciones el 31 de marzo de 2026. Analistas del equipo de BTCC señalan que esta práctica contradice los principios básicos de seguridad en criptomonedas y podría ser explotada por atacantes para robar fondos mediante técnicas de phishing sofisticadas.
¿Por qué la página de Coinbase genera tanta preocupación?
El 19 de marzo de 2026, Yu Xian (conocido como Evilcos), fundador de la firma de seguridad blockchain SlowMist, alertó públicamente sobre esta página a través de redes sociales. "Es increíble que Coinbase tenga una página así, pidiendo directamente las frases mnemotécnicas en texto plano", expresó, compartiendo capturas que mostraban el cuestionable diseño. Según datos de CoinMarketCap, Coinbase es la segunda exchange centralizada por volumen de operaciones, lo que hace este incidente particularmente grave.
La página forma parte del proceso de cierre de Coinbase Commerce, servicio que permitía a comerciantes aceptar pagos en criptomonedas. Con la fecha límite del 31 de marzo aproximándose, miles de usuarios están bajo presión para recuperar sus fondos, situación que según 23pds, Director de Seguridad de SlowMist, los hace más vulnerables a caer en posibles estafas.
¿Cómo podrían los atacantes explotar esta vulnerabilidad?
Los expertos identificaron múltiples problemas de seguridad en el diseño de la página:
1. El sitemap defectuoso permitiría clonar fácilmente el front-end usando herramientas como ResourcesSaver
2. La simplicidad del formulario podría replicarse en sitios de phishing
3. La urgencia del cierre de Commerce crea condiciones ideales para ataques de ingeniería social
ZachXBT, investigador de blockchain conocido por exponer estafas multimillonarias, fue contundente: "¿Coinbase tiene una página oficial que básicamente enseña a los estafadores cómo robar frases-semente?". En febrero de 2025, ZachXBT había documentado pérdidas por $65 millones en solo dos meses por ataques similares.
¿Coinbase tiene antecedentes en problemas de seguridad?
Este no es el primer incidente de seguridad que afecta a la exchange:
- Mayo 2025: Violación de datos por soborno a agentes de soporte
- Febrero 2025: $300 millones estimados en pérdidas anuales por ingeniería social
- La empresa destinó $180-400 millones para compensaciones y ofreció $20 millones por información que lleve a arrestos
Curiosamente, la documentación oficial de Coinbase afirma que nunca solicitará frases de recuperación, contradiciendo directamente lo que hace esta página de Commerce. Como usuario frecuente de exchanges, me sorprende que una plataforma tan grande cometa este error básico de seguridad. ¿Fue un descuido o hay factores que desconocemos?
Preguntas frecuentes sobre el incidente
¿Qué debo hacer si usé Coinbase Commerce?
No ingreses tu frase-semente en ninguna página, incluso si parece oficial. Contacta directamente al soporte de Coinbase a través de canales verificados.
¿Cómo verifico si un sitio web es legítimo?
Revisa minuciosamente la URL, busca certificados SSL válidos y nunca hagas clic en enlaces de correos no solicitados. Cuando se trata de criptoactivos, mejor pecar de desconfiado.
¿Coinbase ha respondido a las críticas?
Al momento de publicación (20 de marzo de 2026), Coinbase no se ha pronunciado oficialmente ni ha retirado la página polémica.
