-
La forma de actuar de los piratas informáticos tuvo similitudes a ataques previos a otras empresas.
-
Los atacantes accedieron a aproximadamente 18.500 registros de compra.
Tras una exhaustiva investigación técnica, la plataforma de recargas con bitcoin (BTC), Bitrefill, emitió un informe detallado sobre el incidente de seguridad ocurrido el pasado 1 de marzo de 2026.
Los hallazgos sugieren un ataque vinculado con el grupo norcoreano Lazarus/Bluenoroff, conocido por sus ofensivas contra el sector de los activos digitales.
«Basándonos en los indicadores observados durante la investigación, incluyendo el modus operandi, el malware utilizado, el rastreo en cadena y las direcciones IP y de correo electrónico reutilizadas, encontramos muchas similitudes entre este ataque y ciberataques anteriores perpetrados por el grupo norcoreano Lazarus/Bluenoroff contra otras empresas del sector de las criptomonedas», dijo la empresa en su informe publicado 16 días después del incidente.
De acuerdo con Bitrefill, el ataque se originó mediante el compromiso de un ordenador portátil de un empleado, lo que permitió a los perpetradores extraer una credencial antigua.
A través de este acceso inicial, los atacantes lograron infiltrarse en una instantánea de producción y escalar privilegios hacia la infraestructura general, afectando partes de la base de datos y ciertas wallets de la empresa.
Al detectar patrones de compra inusuales y el vaciado de carteras, el equipo de Bitrefill activó su protocolo de contención, procediendo a la desconexión total de sus sistemas, como fue informado por KriptoNoticias.
Bitrefill enfatizó que, debido a su arquitectura de privacidad por diseño, el impacto hacia los usuarios fue limitado. Al no requerir procesos de verificación de identidad obligatorios para la mayoría de sus servicios, la plataforma almacena una cantidad mínima de datos personales.
«Según nuestra investigación y nuestros registros, no tenemos motivos para creer que los datos de los clientes fueran el objetivo de esta brecha de seguridad. No hay evidencia de que hayan extraído toda nuestra base de datos; solo que los atacantes ejecutaron un número limitado de consultas, propias de un sondeo, para determinar qué información podían robar, incluyendo criptomonedas y el inventario de tarjetas de regalo de Bitrefill», indicaron.
No obstante, en un ejercicio de transparencia, la empresa confirmó que se accedió a aproximadamente 18.500 registros de compra. Estos datos incluyen direcciones de correo electrónico, direcciones de pago con criptomonedas y metadatos de conexión como las direcciones IP.
En aproximadamente 1.000 casos específicos donde el producto requería un nombre, dicha información estaba cifrada, asegura la plataforma. Y aseveran que, aunque existe la posibilidad de que los atacantes accedieran a las claves de cifrado, los clientes afectados ya han sido notificados de manera directa.
La evaluación técnica de Bitrefill indica que no es necesario que los usuarios realicen acciones adicionales por el momento, aunque se recomienda mantener la vigilancia ante posibles comunicaciones sospechosas que intenten suplantar la identidad de la marca.
A pesar de la sofisticación del ataque, Bitrefill confirmó que su salud financiera permanece sólida. Según indicaron, la empresa absorberá las pérdidas con su propio capital operativo y ha restablecido casi la totalidad de sus servicios, incluyendo pagos y existencias.
«Ya hemos mejorado significativamente nuestras prácticas de ciberseguridad, pero nos comprometemos a seguir aprendiendo de esta experiencia para garantizar que los saldos y datos de usuarios y empresas permanezcan lo más seguros posible», expresaron desde la compañía.
Para prevenir futuros incidentes, la plataforma ha reforzado sus controles de acceso interno y sistemas de monitoreo en colaboración con especialistas de seguridad externa como ZeroShadow y SEAL Org.
