En Resumen
- Crypto.com confirmó que fue vulnerada por el grupo hacker Scattered Spider en 2023, aunque el CEO Kris Marszalek afirmó que el incidente fue reportado apropiadamente a reguladores.
- Noah Urban, miembro de Scattered Spider, se declaró culpable de liderar el ataque mediante técnicas de phishing y fue sentenciado a 10 años de prisión el mes pasado.
- Las autoridades confiscaron $4.8 millones en criptomonedas de Urban y ordenaron $13 millones en restitución, estimando pérdidas totales de hasta $25 millones.
Crypto.com, una importante plataforma de criptomonedas, fue aparentemente vulnerada por miembros de un colectivo de hackers llamado Scattered Spider.
Sin embargo, el incidente supuestamente "no había sido reportado anteriormente", según un informe de Bloomberg del domingo.
Lo que sucedió fue "un problema pequeño e internamente controlable", señaló Shān Zhang, director de seguridad informática de la empresa de seguridad blockchain Slowmist, que auditó los contratos inteligentes y módulos de la plataforma cripto en 2020, a Decrypt, agregando que "fue resuelto apropiadamente hace mucho tiempo", refiriéndose a la declaración del CEO de Crypto.com, Kris Marszalek, emitida el domingo por la noche.
"Cualquier sugerencia de que no reportamos o divulgamos un incidente de seguridad es completamente infundada", afirmó Marszalek en X. "Reportamos en un archivo de Aviso de Incidente de Seguridad de Datos NMLS y en reportes adicionales con los reguladores jurisdiccionales relevantes, detectamos una campaña de phishing que se dirigió a uno de nuestros empleados en 2023".
Respondiendo por separado a Decrypt, un portavoz de Crypto.com agregó por correo electrónico que el incidente "incluyó exposición de datos PII (Información de Identificación Personal) limitados que afectaron a un número muy pequeño de individuos", con la vulneración "contenida dentro de horas de la detección, y ningún fondo de clientes fue accedido o estuvo en riesgo".
La investigación del incidente rastreó la vulneración hasta Noah Urban, un adolescente de Florida que actuó como "llamador" dentro de Scattered Spider, persuadiendo a empleados para que entregaran credenciales que desbloquearon sistemas internos.
Urban y sus cómplices supuestamente obtuvieron acceso a Crypto.com haciéndose pasar por personal y aprovechando datos personales robados, incluyendo registros extraídos de una base de datos de United Parcel Service.
Una vez dentro, el grupo pudo recopilar información sensible de usuarios. El episodio fue parte de una serie más amplia que permitió a Scattered Spider infiltrarse en más de 200 empresas, con tácticas que van desde SIM-swapping hasta campañas de phishing que comprometieron proveedores de telecomunicaciones, estudios de videojuegos y minoristas.
Urban, ahora de 20 años, fue acusado formalmente junto con otros cuatro en noviembre del año pasado. Se declaró culpable en abril de este año de fraude electrónico y robo de identidad agravado, según confirman documentos judiciales.
Las autoridades posteriormente confiscaron unos $4,8 millones en criptomonedas de los dispositivos de Urban, con pérdidas estimadas de hasta $25 millones, y ordenaron la restitución de $13 millones a más de 30 de al menos 59 víctimas en Estados Unidos.
El mes pasado, un juez de Distrito de Estados Unidos sentenció a Urban a 10 años de prisión, con libertad supervisada adicional.