La plataforma de pagos con criptomonedas y tarjetas de regalo, Bitrefill, ha señalado al grupo de hackers vinculado con Corea del Norte, Lazarus, como responsable de un ciberataque ocurrido el 1 de marzo de 2026, que puso en jaque partes de su infraestructura y billeteras de criptomonedas.

Los atacantes lograron acceder a claves de producción, transferir fondos desde billeteras calientes y expusieron 18,500 registros de compras que incluían correos electrónicos, direcciones de pago y direcciones IP.

Aproximadamente 1,000 de estos registros contenían nombres de usuario encriptados. La empresa ha notificado a los usuarios afectados y ha reanudado sus operaciones, asegurando que cubrirá las pérdidas con capital operativo. Este incidente resalta la importancia de mantener una vigilancia activa en materia de seguridad de criptomonedas y en la cadena de bloques.

El modus operandi utilizado incluyó malware, trazabilidad en la cadena de bloques y el uso de direcciones IP y correos electrónicos reutilizados, lo que se asemeja a ataques previos atribuibles al grupo Lazarus, también conocido como Bluenoroff, según un informe detallado publicado por la compañía en X.

El grupo Lazarus ha dirigido sus ataques anteriormente contra proyectos de criptomonedas como Ronin Network, Horizon Bridge de Harmony, WazirX y Atomic Wallet.

Desarrollo del ataque

Todo comenzó con un portátil de un empleado comprometido, lo que permitió a los atacantes acceder a credenciales antiguas y a la infraestructura más amplia de Bitrefill, incluyendo partes de su base de datos y billeteras de criptomonedas.

La brecha se hizo evidente rápidamente cuando la empresa notó patrones de compra inusuales entre ciertos proveedores, lo que indicó que los atacantes estaban aprovechando su inventario de tarjetas de regalo y cadenas de suministro. La empresa también observó que los atacantes drenaban algunas billeteras calientes y transferían fondos a sus propias direcciones, lo que llevó a desconectar el sistema para contener los daños.

“Bitrefill opera un negocio de comercio electrónico global con docenas de proveedores, miles de productos y múltiples métodos de pago en muchos países. Desconectar y volver a poner en línea todos estos elementos de manera segura no es trivial”, declaró la compañía.

Desde el incidente, Bitrefill ha estado trabajando con investigadores de seguridad, equipos de respuesta a incidentes, analistas de la cadena de bloques y fuerzas del orden para investigar la brecha.

Impacto en los datos de los clientes

Los hackers tuvieron acceso a un pequeño conjunto de registros de compras, aproximadamente 18,500, aunque la compañía asegura que no hay evidencia de que los datos de los clientes fueran un objetivo primario. Los registros indican que los atacantes realizaron un número limitado de consultas enfocadas en las tenencias de criptomonedas y el inventario de tarjetas de regalo en lugar de extraer toda la base de datos.

La plataforma almacena datos personales mínimos y no requiere un proceso de verificación KYC obligatorio. Un pequeño subconjunto de registros de compras, aproximadamente 18,500, fue accedido, conteniendo información como direcciones de correo electrónico, direcciones de pago en criptomonedas y metadatos, incluidas direcciones IP. Aproximadamente 1,000 registros contenían nombres encriptados para productos específicos; la compañía está tratando estos datos como potencialmente comprometidos y ha notificado a los clientes afectados directamente por correo electrónico.

Actualmente, Bitrefill no considera necesario que los clientes tomen medidas adicionales, aunque recomienda prudencia ante comunicaciones inesperadas relacionadas con la empresa o con criptomonedas.

Pasos para fortalecer la seguridad

En respuesta a la brecha de seguridad, Bitrefill ha fortalecido sus prácticas de ciberseguridad y está trabajando para aprender de este incidente.

La empresa delineó varias medidas, que incluyen la realización de pruebas de penetración exhaustivas con expertos externos, el endurecimiento de controles de acceso internos, la mejora en el registro y la monitorización para una detección más rápida de amenazas, y la refinación de los procedimientos de respuesta a incidentes y protocolos de apagado automatizado.

Mirando hacia el futuro

Bitrefill reconoció que este fue su primer ataque importante en más de una década de operación, pero subrayó que sigue bien financiada y rentable, capaz de absorber pérdidas operativas. La mayoría de los sistemas, incluidos pagos, inventario y cuentas, han vuelto a estar en línea, con volúmenes de ventas regresando a la normalidad.

“Sufrir un ataque sofisticado es muy difícil”, afirmó la compañía. “Pero sobrevivimos. Continuaremos haciendo todo lo posible para merecer la confianza de nuestros clientes”.

Fuente: www.coindesk.com