Cómo los investigadores en cadena descubrieron una red de fraude de suplantación de $2M Coinbase

En un esquema sofisticado que destaca las vulnerabilidades en la seguridad de las plataformas de criptomonedas, un estafador canadiense logró engañar a usuarios de Coinbase por más de 2 millones de dólares. Operando desde Abbotsford cerca de Vancouver, el atacante—conocido en línea como “Haby” o “Harvard”—se hizo pasar por personal de soporte oficial de Coinbase para obtener acceso no autorizado a las cuentas de las víctimas. A través de ataques de phishing cuidadosamente orquestados y tácticas de ingeniería social, comprometió sistemáticamente las credenciales de los usuarios y drenó sus fondos en criptomonedas.

La Huella Digital que Condujo a Haby

El desenlace de esta operación criminal comenzó con un meticuloso trabajo de detective en la cadena de bloques por ZachXBT, un reconocido analista de blockchain especializado en rastrear movimientos de fondos ilícitos. El avance llegó cuando el estafador cometió un error crítico: presumir sobre sus actividades en las redes sociales. En una publicación de finales de diciembre de 2024, Haby mencionó abiertamente haber robado 44,000 dólares en XRP a una de sus víctimas.

Esta declaración pública proporcionó el hilo que los investigadores necesitaban para tirar del ovillo. Al cruzar la dirección de la cartera de destino con datos históricos de transacciones, ZachXBT conectó sistemáticamente múltiples reportes de víctimas con el mismo perpetrador. El análisis reveló que Haby había dirigido sus ataques a numerosos titulares de cuentas de Coinbase, siguiendo un patrón similar en cada incidente. Como señaló ZachXBT en el resumen de la investigación, “La evidencia exhaustiva en este caso hace que sea una victoria inusualmente fácil para las fuerzas del orden”, sugiriendo que las huellas digitales dejadas eran lo suficientemente completas para respaldar una acusación.

De Pistas en Redes Sociales a Ubicación en el Mundo Real

Lo que hizo que este caso fuera particularmente revelador fue cuánto información personal compartió Haby de manera descuidada en varias plataformas. Sus cuentas de Telegram e Instagram contenían capturas de pantalla de saldos de billeteras, registros de nombres de usuario inusuales y patrones de gasto que parecían inconsistentes con ingresos legítimos. Estas migajas digitales pintaron el retrato de alguien que disfrutaba de una riqueza repentina e inexplicada.

Los investigadores juntaron estas pistas de las redes sociales junto con metadatos geográficos para reducir su ubicación física a Abbotsford, Columbia Británica. La combinación de publicaciones públicas, horarios de transacción y registros de actividad en plataformas creó un perfil geográfico que resultó difícil de ocultar. Los usuarios de Coinbase afectados por esta estafa representaban un grupo demográfico específico, lo que sugiere que el atacante investigó y priorizó cuentas de alto valor antes de lanzar su operación.

Cómo se Lavaron los Fondos Robados a Través de Criptomonedas

El análisis técnico del movimiento de fondos reveló un proceso sofisticado de lavado de dinero. Los tokens XRP robados se convirtieron rápidamente en Bitcoin mediante servicios de intercambio instantáneo, una táctica común para ocultar el origen ilícito de los fondos. Desde allí, el Bitcoin fue fragmentado en varias direcciones de billeteras, dificultando significativamente su rastreo tradicional.

Lo que resultó particularmente dañino fue que partes de estos fondos robados luego fluyeron a plataformas de juegos en línea—un patrón de comportamiento que dejó evidencia forense adicional. Cada transacción, marca de tiempo y billetera intermedia sirvió como otro punto de datos en la investigación. El análisis en la cadena de bloques dibujó un cuadro claro: segmentación sistemática de usuarios de Coinbase, conversión rápida de fondos, intentos de lavado de dinero y patrones de uso final sospechosos apuntaban al mismo actor criminal.

Amenazas de Seguridad en Crecimiento: La Batalla de Coinbase contra la Toma de Cuentas

La operación fraudulenta de 2 millones de dólares de Haby es solo una manifestación de una crisis más amplia que afecta a Coinbase y plataformas similares. La bolsa ha enfrentado un aumento en los intentos de suplantación de identidad a lo largo de 2025 y hasta 2026. Un catalizador importante fue una brecha de datos interna en 2025 que comprometió información sensible de aproximadamente 70,000 clientes de alto patrimonio, incluyendo nombres, direcciones de correo electrónico y números de teléfono—los datos precisos necesarios para ejecutar campañas de phishing convincentes.

En respuesta a esta falla de seguridad, Coinbase se movilizó de manera agresiva. La plataforma anunció un fondo de recompensa de 20 millones de dólares y se comprometió a reembolsar a todas las víctimas confirmadas. Más tarde ese año, las fuerzas del orden arrestaron con éxito a Ronald Spektor, quien había orquestado esquemas similares de toma de cuentas dirigidos a 100 usuarios de Coinbase y robado 16 millones de dólares. Spektor utilizó el mismo manual: aprovechar datos de clientes robados para hacerse pasar por soporte de Coinbase y convencer a las víctimas de autorizar transferencias no autorizadas de fondos.

Estas redes coordinadas de fraude demuestran que el panorama de amenazas para los usuarios de Coinbase sigue evolucionando. Mientras las plataformas fortalecen sus defensas técnicas, el elemento humano—phishing, ingeniería social y suplantación—sigue siendo el vector de ataque principal. Tanto los clientes como la plataforma deben adoptar enfoques de seguridad en múltiples capas, incluyendo el uso de billeteras hardware, métodos de autenticación avanzados y una mayor escepticismo ante cualquier comunicación no solicitada que afirme representar canales oficiales de soporte.