Coinbase Commerce solicita frases semilla, generando preocupaciones de seguridad

(MENAFN- Crypto Breaking) Los investigadores de seguridad están alertando sobre una página de Coinbase Commerce que parecía solicitar a los usuarios que ingresaran frases de recuperación de billetera. El episodio ha reavivado las preocupaciones de que un flujo que aprovecha las frases semilla podría normalizar comportamientos que habitualmente se explotan en intentos de phishing, especialmente cuando están asociados con una plataforma confiable.

La controversia comenzó después de que Yu Xian, fundador de la firma de seguridad blockchain SlowMist y una figura destacada en círculos de seguridad, llamó la atención sobre la página en X. Cuestionó por qué una página alojada por Coinbase solicitaría frases mnemónicas en texto plano para la recuperación de activos, describiendo la práctica como una grave falla de seguridad.

Coinbase no ha explicado públicamente el origen de la página, más allá de decir que está revisando el asunto. La compañía dijo a Cointelegraph que está investigando el problema, pero no ofreció más información en el momento de la publicación. Yu Xian no respondió hasta el cierre de esta edición, y Cointelegraph no ha recibido comentarios de su parte desde el primer contacto.

En la comunidad cripto, las frases semilla son consideradas las llaves de una billetera de autogestión. Los usuarios que las comparten corren el riesgo de entregar el control a atacantes, ya que las frases otorgan acceso completo a los activos almacenados en billeteras compatibles. La recomendación sigue siendo clara: nunca divulgar frases semilla a terceros, soporte técnico o sitios web no confiables.

Coinbase mencionó el subdominio como una “herramienta de retiro” de comercio.

Miembros de la comunidad de investigación en cripto, incluido ZachXBT, destacaron que la página fue referenciada en la documentación pública de ayuda de Coinbase relacionada con su producto Commerce. ZachXBT señaló que la guía parecía describir un método para que los usuarios recuperaran fondos importando frases semilla en billeteras compatibles como Coinbase Wallet o MetaMask, apuntando a una herramienta de retiro alojada en el mismo subdominio que ha sido objeto de escrutinio.

La narrativa fue reforzada por declaraciones en los propios materiales de ayuda de Coinbase, que describen billeteras de autogestión, lo que significa que Coinbase no tiene acceso a las frases semilla y no puede recuperar fondos si se pierden. La documentación ha generado preguntas sobre cómo se alinea esa orientación con la página que solicita la entrada de frases semilla.

Esa línea, compartida por ZachXBT en X, subraya el potencial de un vector de phishing que aprovecha una vía percibida como oficial para la recuperación de frases semilla, en caso de que la página sea legítima o esté mal configurada. El incidente sitúa en la intersección la educación del usuario, la confianza en la plataforma y la creciente complejidad de los flujos de autogestión.

Por qué esto importa para usuarios y desarrolladores

Las frases semilla son la pieza clave de la seguridad en la autogestión. Una página que solicita esas credenciales de manera casual, incluso en un contexto que suena oficial, va en contra de las mejores prácticas ampliamente enseñadas por proveedores de billeteras y expertos en seguridad. Para los usuarios, aumenta el riesgo de campañas de ingeniería social que combinan branding legítimo con solicitudes engañosas. Para los desarrolladores y exchanges, el episodio resalta un equilibrio delicado: ofrecer funciones de recuperación e interoperabilidad sin exponer a los usuarios a nuevas superficies de ataque.

Las billeteras de autogestión dan control directo sobre las claves privadas y las frases de recuperación, pero con esa responsabilidad. Si un portal confiable solicita inadvertidamente datos mnemónicos, los usuarios pueden sentirse tentados a cumplir, especialmente en momentos de riesgo o pérdida de activos. Por ello, el incidente alimenta debates más amplios sobre cómo diseñar flujos de recuperación que sean fáciles de usar y resistentes a manipulaciones.

Respuesta de Coinbase y el camino a seguir

Coinbase ha reconocido el asunto y dijo que está investigando, aunque no se han proporcionado detalles públicos. La compañía ha aconsejado previamente a los usuarios no pegar frases semilla en ningún sitio web y ha enfatizado que sus billeteras Commerce son de autogestión, lo que significa que Coinbase no puede acceder a las frases ni recuperar fondos si se pierden. El episodio actual plantea dudas sobre si la página representaba una función oficial, una mala configuración o una brecha de seguridad en la documentación de Commerce.

Por separado, Coinbase ha sido vocal en advertir sobre signos de phishing y ingeniería social, señalando que los estafadores pueden hacerse pasar por soporte técnico por teléfono o en línea para obtener datos de inicio de sesión y códigos de verificación. La firma ha instado a los usuarios a usar canales oficiales en X y Reddit para soporte. La situación en desarrollo deja varias incertidumbres:

• ¿Fue la página un error técnico, un subdominio mal configurado o un intento real de dirigir a los usuarios hacia la recuperación mediante frases semilla?
• ¿Refleja la guía de ayuda referenciada los flujos actuales del producto, o ha sido modificada o eliminada en respuesta a la atención recibida?
• ¿Qué pasos tomará Coinbase para evitar solicitudes similares en el futuro, y habrá actualizaciones en la documentación de Commerce para aclarar las mejores prácticas respecto a las frases semilla?

Contexto del panorama de seguridad más amplio

El phishing y la ingeniería social siguen siendo riesgos generalizados en el mundo cripto, con atacantes que adaptan continuamente sus engaños en torno a marcas y servicios conocidos. El episodio de OpenClaw, por ejemplo, ilustró cómo los atacantes combinan mensajes sobre “tokens gratis” con interfaces que parecen auténticas para atraer a las víctimas. En ese contexto, cualquier función del ecosistema que involucre frases semilla —ya sea como parte de un flujo de recuperación o una importación entre billeteras— requiere salvaguardas rigurosas y una educación clara para los usuarios. Cointelegraph ya ha cubierto cómo los investigadores de seguridad instan a la vigilancia contra la exposición de frases semilla, resaltando la importancia de mantener los datos de recuperación privados y offline siempre que sea posible.

Qué deben vigilar los lectores próximamente

Los próximos días y semanas probablemente revelarán cómo Coinbase resuelve las dudas sobre la página de Commerce y sus referencias al flujo de recuperación. Esté atento a:

• Declaraciones oficiales de Coinbase detallando los hallazgos de la investigación y cualquier cambio en la documentación o los flujos de usuario de Commerce.
• Clarificaciones sobre si la solicitud basada en el subdominio fue operativa, experimental o una mala configuración vinculada al ecosistema de ayuda más amplio.
• Orientación continua de proveedores de billeteras y expertos en seguridad sobre prácticas seguras de recuperación, especialmente para configuraciones de autogestión vinculadas a servicios respaldados por exchanges.

Mientras la industria evalúa este incidente, se refuerza un principio fundamental para usuarios y desarrolladores: las frases semilla siguen siendo un activo altamente sensible, y cualquier interfaz que parezca legítima debe ser tratada con escepticismo. El camino a seguir dependerá de mecanismos de recuperación más claros que preserven el control del usuario sin crear nuevas oportunidades para el phishing.

** Aviso de riesgo y afiliados:** Los activos cripto son volátiles y el capital está en riesgo. Este artículo puede contener enlaces de afiliados.