Bitrefill ha informado de que el 1 de marzo sufrió un ciberataque vinculado a grupos de hackers norcoreanos, lo que provocó el desfalco de fondos de la empresa y una exposición limitada de los datos de los usuarios.
Bitrefill aborda un ataque vinculado a Corea del Norte y confirma una filtración limitada de datos
ESCRITO POR
COMPARTIR
Bitrefill afirma que la brecha de seguridad probablemente estuvo relacionada con el grupo Lazarus
La plataforma de pagos criptográficos y tarjetas regalo reveló el incidente en un informe detallado, citando similitudes con operaciones anteriores atribuidas a los grupos norcoreanos Lazarus y Bluenoroff, basadas en el malware, la reutilización de infraestructura y el rastreo en cadena.
Según la declaración de Bitrefill del martes, la brecha comenzó con el compromiso de un ordenador portátil de un empleado, lo que permitió a los atacantes extraer una credencial heredada vinculada a los sistemas de producción. Ese acceso permitió la escalada a una infraestructura más amplia, incluyendo partes de la base de datos de la empresa y ciertas carteras calientes de criptomonedas.
La empresa afirmó que detectó la intrusión tras identificar patrones de compra sospechosos e irregularidades en la actividad de los proveedores. Los investigadores confirmaron posteriormente que los atacantes explotaron los sistemas de inventario de tarjetas regalo mientras, simultáneamente, vaciaban fondos de las carteras calientes hacia direcciones bajo su control. Bitrefill desconectó sus sistemas inmediatamente después de confirmar la brecha, calificando el cierre como un paso necesario para contener el ataque en todas sus operaciones de comercio electrónico global, que abarcan múltiples proveedores, vías de pago y regiones.
La empresa indicó que se accedió a aproximadamente 18 500 registros de compra, incluyendo datos limitados de los usuarios, como direcciones de correo electrónico, direcciones de pago en criptomonedas y metadatos de IP. Alrededor de 1000 registros que incluían nombres de clientes —cifrados en la base de datos— se están tratando como potencialmente expuestos debido al posible acceso a las claves de cifrado, y se ha notificado a los usuarios afectados.
Bitrefill ha destacado que almacena datos personales mínimos y no exige una verificación obligatoria de «conozca a su cliente», señalando que cualquier dato de identidad es gestionado por proveedores externos en lugar de almacenarse internamente. La empresa ha añadido que no hay pruebas de que se haya filtrado toda su base de datos.
La empresa ha declarado que está colaborando con empresas de ciberseguridad, analistas de cadena y las fuerzas del orden, al tiempo que refuerza los controles internos, amplía los sistemas de supervisión y lleva a cabo auditorías de seguridad adicionales. Bitrefill ha afirmado que las operaciones han vuelto en gran medida a la normalidad y que las pérdidas se cubrirán con capital operativo.
Preguntas frecuentes 🔎
- ¿Qué ocurrió en el ataque a Bitrefill? Bitrefill sufrió un ciberataque el 1 de marzo que provocó la sustracción de fondos y el acceso limitado a los registros de compra de los clientes.
- ¿Se robaron datos de los clientes? Se accedió a unos 18 500 registros, incluidos correos electrónicos y direcciones de criptomonedas, pero no se confirmó la filtración completa de la base de datos.
- ¿Quién se sospecha que está detrás del ataque? Bitrefill ha indicado que hay indicios que apuntan a vínculos con los grupos de hackers norcoreanos Lazarus o Bluenoroff.
- ¿Qué deben hacer los usuarios ahora? La empresa aconseja permanecer alerta ante mensajes sospechosos, pero afirma que no es necesario tomar medidas inmediatas en este momento.
