Plataforma de Tarjetas de Regalo Crypto Bitrefill Revela Robo, Acusa a Grupos Norcoreanos

Bitrefill, una plataforma que permite a los usuarios canjear criptomonedas por tarjetas de regalo y créditos para servicios telefónicos, anunció el martes que fue atacada cibernéticamente el 1 de marzo.

Según la empresa, el ataque comenzó con un portátil comprometido de un empleado y luego se amplió a una infraestructura más amplia tras la exfiltración de credenciales antiguas vinculadas a un perfil que contenía secretos de producción.

En un informe de incidente publicado en X, la empresa mencionó que los atacantes accedieron a partes de su base de datos y a ciertas billeteras de criptomonedas, además de explotar el inventario de tarjetas de regalo y las líneas de compra de proveedores. Bitrefill indicó que detectó la brecha tras observar patrones sospechosos en las compras de proveedores. Una vez confirmado, tomó todos los sistemas fuera de línea como parte de la contención.

La compañía había informado previamente el 1 de marzo que estaba lidiando con un “problema técnico” y posteriormente con un “problema de seguridad,” momento en el cual desactivó todos los servicios. El martes fue la primera vez que Bitrefill proporcionó detalles completos sobre el ataque y los posibles responsables.

Informe del incidente del 1 de marzo

El 1 de marzo de 2026, Bitrefill fue el objetivo de un ciberataque. Basándonos en los indicadores observados durante la investigación – incluyendo el modus operandi, el malware utilizado, la trazabilidad en la cadena y las direcciones IP + correos electrónicos reutilizados (!) – encontramos muchas similitudes…

— Bitrefill (@bitrefill) 17 de marzo de 2026

La empresa informó que su investigación reveló múltiples indicadores que describió como similares a ataques previos en la industria por parte de los grupos de hackers patrocinados por el estado norcoreano, Lazarus y Bluenoroff, incluyendo patrones de malware, trazabilidad en la cadena y reutilización de infraestructura. Bitrefill aseguró que ha estado colaborando con responders de incidentes, analistas en la cadena y fuerzas del orden mientras la investigación continúa.

En cuanto al impacto en los clientes, Bitrefill señaló que los registros no muestran evidencia de una exfiltración completa de la base de datos, pero sí se accedió a un subconjunto de registros. La compañía informó que aproximadamente 18,500 registros de compras se vieron afectados, incluyendo campos limitados como direcciones de correo electrónico, direcciones de pago en criptomonedas, y metadatos que incluyen direcciones IP.

Para alrededor de 1,000 compras que requieren nombres de clientes, Bitrefill mencionó que esos campos estaban cifrados, pero los está tratando como potencialmente accesados debido a que los atacantes podrían haber obtenido las claves relevantes. La compañía aseguró que los usuarios de ese subconjunto fueron notificados directamente por correo electrónico.

Bitrefill aclaró que no requiere KYC obligatorio y que almacena la información de verificación con un proveedor externo, en lugar de en copias de seguridad internas. Con base en los hallazgos actuales, la empresa considera que los clientes no necesitan tomar acciones específicas, aunque aconseja tener precaución ante comunicaciones inesperadas relacionadas con Bitrefill o criptomonedas.

La mayoría de las operaciones han vuelto a la normalidad, incluyendo pagos, inventario y cuentas, y las pérdidas serán absorbidas a través del capital operativo. Bitrefill también está realizando revisiones de seguridad externas y pruebas de penetración, endureciendo los controles de acceso internos, y actualizando la automatización de registros, monitoreo y respuesta ante incidentes.

Los grupos de hackers norcoreanos han sido relacionados por las autoridades con muchos de los robos más notorios en la industria de criptomonedas, incluido el robo de $1.4 mil millones de la plataforma Bybit el año pasado y el hackeo de $622 millones de la red de juegos Ronin, vinculada al juego de criptomonedas Axie Infinity. Según un informe de Chainalysis, el año pasado, hackers vinculados a Corea del Norte robaron más de $2 mil millones en criptomonedas.