Coinbase está dirigiendo a algunos usuarios de Commerce a un flujo de recuperación de frase inicial antes de la fecha límite de migración del 31 de marzo.
El problema se encuentra dentro del plan de cierre de Coinbase para las billeteras Commerce heredadas. En su guía de transición, Coinbase dice que los usuarios con fondos en una billetera de Commerce deben retirarlos antes del 31 de marzo de 2026, cuando el portal de Commerce y la herramienta de retiro quedarán inaccesibles.
Para los usuarios que hicieron una copia de seguridad de su billetera en Google Drive, Coinbase dice que deben ir al panel de Comercio, abrir Configuración y Seguridad, revelar la frase inicial de 12 palabras y usar la herramienta de retiro en retiro.commerce.coinbase.com.
Coinbase dice que el proceso es especialmente importante para los comerciantes que recibieron Bitcoin u otros activos basados en UTXO porque, de lo contrario, los saldos pueden ser difíciles de encontrar en las billeteras estándar.
Una frase inicial es la clave maestra de recuperación para una billetera de autocustodia. La propia documentación de la billetera de Coinbase lo describe como una frase de recuperación de 12 palabras a la que solo el usuario tiene acceso.
Quien controle esa frase controla el acceso a la billetera y sus fondos. Si se pierde, se puede perder el acceso a los fondos. Expóngalo y los fondos en la billetera pueden agotarse.
Ahí es donde resulta difícil pasar por alto la contradicción. La billetera de Coinbase guía les dice a los usuarios que nunca compartan una frase de recuperación, dice que la empresa nunca la solicitará y agrega una advertencia por separado: “Nunca la pegue en ningún sitio web”.
Sin embargo, la guía de transición de Commerce les dice a algunos usuarios que revelen la misma frase como parte de una ruta de recuperación oficial alojada en Coinbase.
La explicación de la compañía es que las billeteras de Commerce tienen autocustodia y Coinbase no tiene acceso a la frase ni a los fondos, lo que deja a los usuarios responsables de la recuperación antes del cierre.
Los investigadores de seguridad ven una plantilla de phishing
Sin embargo, esta demanda de Coinbase ha hecho sonar las alarmas de muchos expertos en seguridad, quienes critican a la plataforma por el comportamiento que su página enseña a los usuarios a aceptar.
Yu Xian, fundador de la empresa de seguridad Blockchain SlowMist dicho Le sorprendió que Coinbase alojara una página pidiendo a los usuarios que ingresaran una frase mnemotécnica en texto plano para la recuperación de activos y dijo que la práctica era tan insegura que primero se preguntó si el subdominio había sido pirateado.
La advertencia agudizó las críticas centrales en torno a la página: una marca oficial, una fecha límite urgente y un flujo de trabajo de frase inicial se combinan en un formato que los atacantes imitan regularmente.
Mientras tanto, el director de seguridad de la información de SlowMist, 23pds, escribió en X que había “dos problemas” con el flujo. Primero, el dicho:
“Si bien el enlace proviene del sitio web oficial de Coinbase, pedir directamente a los usuarios que transmitan su frase mnemotécnica para verificar los activos es extremadamente tonto”.
En segundo lugar, señaló que el sitio tenía un mapa del sitio defectuoso que podía permitir a los atacantes copiar la interfaz e implementar un casi clon en un dominio similar, creando un fuerte señuelo de phishing para los usuarios que ya estaban preparados para confiar en la versión de Coinbase.
Además, el investigador de blockchain ZachXBT continúa apretado sobre este punto aún más directamente. En una publicación en X, escribió:
“Entonces, básicamente, Coinbase tiene una página oficial que los actores de amenazas en vivo pueden usar para atacar a los usuarios de Coinbase mediante ingeniería social de frases iniciales si así lo desean”.
Sus preocupaciones no son sorprendentes, considerando que las estafas de phishing y de ingeniería social siguen siendo uno de los vectores de ataque más potentes contra la industria de la criptografía.
El año pasado, ZachXBT reveló que los usuarios de Coinbase pierden más de 300 millones de dólares al año debido a estafas de ingeniería social.
Esto capta por qué el flujo del Comercio ha provocado una reacción tan fuerte. Los equipos de seguridad han pasado años enseñando a los usuarios que cualquier solicitud que involucre una frase inicial es el comienzo de una estafa.
Sin embargo, una página propiedad de Coinbase que maneje la misma frase podría cambiar las señales visuales y de comportamiento en las que se les ha enseñado a confiar a los usuarios.
El historial de violaciones de Coinbase se cierne sobre el debate
Mientras tanto, el debate sobre la seguridad adquiere mayor intensidad porque Coinbase ya está lidiando con las secuelas de incidentes pasados de ingeniería social.
En mayo de 2025, Coinbase informó que los ciberdelincuentes sobornaron a un grupo de agentes de soporte en el extranjero para robar datos de clientes para ataques de ingeniería social.
El intercambio liderado por Brian Armstrong dijo que los atacantes obtuvieron datos de cuentas de menos del 1% de los usuarios que realizan transacciones mensuales y los usaron para compilar listas de clientes con los que podían contactar, haciéndose pasar por la plataforma.
La compañía dijo que no se expusieron claves privadas y se comprometió a reembolsar a los clientes que fueron engañados para que enviaran fondos a los atacantes.
Aparte de eso, la empresa también tiene un historial de infracciones anterior.
Coinbase dijo en su informe anual de 2024 informe que en 2021, terceros obtuvieron credenciales de inicio de sesión e información personal de al menos 6.000 clientes y utilizaron esos detalles para explotar una vulnerabilidad en el proceso de recuperación de la cuenta. La firma dijo que reembolsó a los clientes afectados alrededor de $25,1 millones.
Esa historia aumenta las apuestas en torno a cualquier flujo de trabajo oficial que pida a los usuarios que manejen una frase inicial en una página web en vivo.
Los investigadores de seguridad advierten que una interfaz de marca que normalice la entrada de frases iniciales impulsará aún más los ataques de phishing y suplantación de identidad, que siguen estando entre los métodos de ataque más eficaces de la industria.