AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Detenido en Saint Martin el presunto autor del robo de 46 millones de dólares en criptomonedas al Servicio de Alguaciles de EE.UU.**

admin

### 1. Introducción

En una operación internacional de alto perfil, las autoridades arrestaron en Saint Martin al hijo de un contratista del gobierno estadounidense, acusado de orquestar el robo de más de 46 millones de dólares en criptomonedas pertenecientes al Servicio de Alguaciles de Estados Unidos (U.S. Marshals Service, USMS). El incidente, que pone de manifiesto los riesgos asociados a la gestión y custodia de activos digitales por parte de organismos públicos, ha suscitado preocupación en la comunidad de ciberseguridad por la sofisticación de las técnicas empleadas y las posibles brechas en los procedimientos de seguridad.

### 2. Contexto del Incidente

El Servicio de Alguaciles de EE.UU. es responsable, entre otras funciones, de la custodia y liquidación de activos incautados en operaciones federales, incluyendo grandes volúmenes de criptomonedas confiscadas en causas criminales. El incidente se remonta al año pasado, cuando el USMS detectó una transferencia no autorizada de fondos digitales desde una de sus wallets, administrada por un tercero. El principal sospechoso, hijo de un proveedor externo de servicios tecnológicos, habría aprovechado su acceso privilegiado para sustraer los fondos valiéndose de sofisticadas técnicas de ingeniería social y explotación de vulnerabilidades en los sistemas de seguridad de la infraestructura de custodia.

### 3. Detalles Técnicos

El ataque, según fuentes forenses, implicó la obtención ilícita de credenciales de acceso a wallets custodiadas por el USMS. Si bien no se ha hecho público el listado exacto de los CVEs explotados, los investigadores apuntan a una combinación de vectores de ataque, entre los que destacan:

– **Compromiso de cuentas privilegiadas** a través de spear phishing dirigido a empleados de la empresa contratista.
– **Explotación de vulnerabilidades en software de gestión de wallets**, posiblemente relacionadas con sistemas de almacenamiento en frío (“cold wallets”) conectados temporalmente a sistemas en línea para operaciones de mantenimiento o liquidación de activos.
– **Uso de herramientas de post-explotación** como Cobalt Strike para el movimiento lateral y la escalada de privilegios dentro de la red corporativa.
– **Tácticas, técnicas y procedimientos (TTPs) alineados con MITRE ATT&CK** en las categorías TA0001 (Initial Access), TA0002 (Execution), TA0005 (Defense Evasion) y TA0008 (Lateral Movement).
– **Indicadores de Compromiso (IoC):** hashes de archivos maliciosos, direcciones IP utilizadas para conexiones remotas y wallets receptoras de los fondos robados, varias de ellas ya identificadas en listas negras de exchanges regulados.

Se sospecha que parte del ataque implicó la manipulación de autenticadores multifactor (MFA), ya sea mediante phishing de tokens OTP o ataques de SIM swapping, permitiendo la validación fraudulenta de operaciones críticas.

### 4. Impacto y Riesgos

El impacto inmediato se traduce en la pérdida de más de 46 millones de dólares en criptoactivos, cifra que representa uno de los mayores robos de criptomonedas a una agencia federal estadounidense. Además del perjuicio económico, el incidente expone una serie de riesgos sistémicos:

– **Pérdida de confianza** en los mecanismos de custodia de activos digitales por parte de organismos públicos.
– **Riesgo de exposición de procedimientos internos** sobre manejo y liquidación de activos digitales incautados.
– **Potencial efecto dominó** en otras agencias federales con esquemas de custodia similares.
– **Dificultad para la recuperación de activos**, dada la naturaleza pseudónima e irreversible de las transacciones en blockchain.

### 5. Medidas de Mitigación y Recomendaciones

A raíz del incidente, se han emitido varias recomendaciones técnicas y organizativas:

– **Segmentación de redes** para separar los sistemas de custodia de wallets de las redes corporativas y de gestión.
– **Revisión y endurecimiento de políticas de acceso privilegiado**, aplicando el principio de mínimo privilegio y auditoría continua de cuentas.
– **Implementación de MFA robusto**, preferiblemente basado en hardware (YubiKey, FIDO2) y no solo en OTPs o SMS.
– **Monitorización continua de logs y anomalías** mediante SIEM avanzados, con reglas específicas para detección de movimientos laterales y transferencias anómalas de criptoactivos.
– **Simulacros de respuesta a incidentes** y formación específica para empleados sobre ingeniería social y phishing dirigido.
– **Colaboración con exchanges y plataformas de análisis blockchain** para rastreo y congelación de fondos robados.

### 6. Opinión de Expertos

Analistas de ciberseguridad consultados por BleepingComputer advierten que este ataque ilustra la creciente convergencia entre amenazas internas (“insider threats”) y técnicas de hacking avanzado. “No se trata solo de proteger la tecnología, sino de auditar a fondo los procesos y a las personas con acceso privilegiado”, señala un CISO de una entidad financiera americana. Por su parte, expertos en forense blockchain subrayan la importancia de la trazabilidad, aunque reconocen que “la rapidez en la reacción es clave, ya que la cadena de transferencias puede complicar la recuperación de los activos en cuestión de horas”.

### 7. Implicaciones para Empresas y Usuarios

El incidente refuerza la necesidad de extremar las precauciones en la custodia de activos digitales, tanto en el sector público como privado. Las empresas proveedoras de servicios de custodia y los administradores de sistemas deben revisar urgentemente sus políticas de acceso, segmentación de redes y procedimientos de respuesta ante incidentes. Además, para entidades europeas, la exposición de datos personales o fallos en la custodia podrían acarrear sanciones bajo el Reglamento General de Protección de Datos (GDPR) y, a partir de 2024, bajo la Directiva NIS2, que impone obligaciones de ciberresiliencia también en la gestión de criptoactivos.

### 8. Conclusiones

El robo de 46 millones de dólares en criptomonedas al USMS marca un precedente en la gestión de riesgos asociados a la custodia de activos digitales en organismos públicos. La combinación de vulnerabilidades técnicas, acceso privilegiado y técnicas de ingeniería social subraya la urgencia de adoptar estrategias holísticas de defensa y auditoría continua. Las lecciones aprendidas de este incidente deberían servir de guía para la actualización de marcos normativos, la mejora de controles técnicos y el refuerzo de la cultura de ciberseguridad en organizaciones con exposición a criptoactivos.

(Fuente: www.bleepingcomputer.com)