AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### Hackeo a Polymarket expone a usuarios: robados 3 millones de dólares por compromiso de proveedor externo

admin

#### Introducción

El mercado descentralizado de predicciones Polymarket ha sido víctima de un sofisticado ataque que ha resultado en el robo de aproximadamente 3 millones de dólares en criptoactivos. El incidente, confirmado recientemente por la propia entidad, ha puesto en evidencia la importancia de la seguridad en la cadena de suministro y la gestión de riesgos asociados a proveedores externos, un vector de ataque cada vez más explotado por grupos de amenazas avanzadas.

#### Contexto del Incidente

Polymarket, basado en la blockchain de Ethereum, permite a los usuarios apostar sobre el resultado de eventos del mundo real mediante contratos inteligentes. Su arquitectura descentralizada y la naturaleza anónima de las transacciones en blockchain han sido tradicionalmente percibidas como fortalezas, pero también presentan desafíos específicos en términos de seguridad.

El ataque no comprometió directamente la infraestructura central de Polymarket, sino que se originó a través de la vulnerabilidad de un proveedor externo. Según fuentes internas, el vector de ataque se centró en la cadena de suministro, comprometiendo servicios de terceros integrados en la plataforma. Este tipo de ataques ha aumentado exponencialmente en los últimos años, representando en 2023 hasta el 19% de los incidentes críticos en el sector fintech, según informes de ENISA.

#### Detalles Técnicos

Aunque la información técnica detallada sigue bajo investigación, se ha confirmado que los atacantes explotaron credenciales comprometidas y acceso privilegiado a través del tercero afectado. No se ha publicado un CVE específico asociado al incidente, lo que sugiere una explotación personalizada de la infraestructura de integración.

Los TTP (Tactics, Techniques and Procedures) observados coinciden con técnicas catalogadas en MITRE ATT&CK como:

– **T1195 – Supply Chain Compromise**
– **T1086 – PowerShell**
– **T1003 – Credential Dumping**

Los indicadores de compromiso (IoC) incluyen direcciones de wallets específicas asociadas al drenaje de fondos y endpoints externos utilizados para exfiltrar información sensible. Se reporta que los fondos robados fueron convertidos rápidamente a monedas estables y movidos a través de mixers para dificultar su trazabilidad.

Herramientas como Metasploit y scripts personalizados han sido identificados en el análisis forense, aunque no se ha detectado el uso de frameworks avanzados como Cobalt Strike en la etapa de post-explotación.

#### Impacto y Riesgos

El impacto inmediato es financiero: 3 millones de dólares en criptoactivos han sido sustraídos de cuentas de usuarios afectados. Sin embargo, el daño reputacional y la potencial pérdida de confianza en la plataforma y en soluciones DeFi similares podrían tener consecuencias más duraderas.

A nivel de riesgos, el incidente evidencia la exposición inherente de los sistemas descentralizados a ataques indirectos mediante proveedores, un riesgo a menudo subestimado. Además, existe la posibilidad de que los atacantes hayan accedido a información personal vinculada a las wallets, incrementando el riesgo de ataques dirigidos a usuarios identificados.

#### Medidas de Mitigación y Recomendaciones

Polymarket ha procedido a suspender temporalmente las integraciones con el proveedor comprometido y ha iniciado auditorías externas de seguridad. Para el sector, se recomienda:

– Revisar y reforzar los controles de acceso y autenticación en todas las integraciones de terceros.
– Implementar políticas de gestión de secretos y rotación periódica de credenciales.
– Monitorizar en tiempo real las transferencias inusuales de activos y establecer alertas automáticas para grandes retiros.
– Realizar análisis de riesgo periódicos sobre la cadena de suministro digital.
– Cumplimiento estricto de normativas como GDPR y NIS2, especialmente en la gestión de datos personales y notificación de brechas.

#### Opinión de Expertos

Carlos Fernández, CISO de una firma líder en ciberseguridad financiera, señala: «Este incidente demuestra que la seguridad en DeFi no termina en el ‘smart contract’. Es fundamental evaluar la seguridad de todos los eslabones, especialmente los proveedores externos, cuyo compromiso puede abrir la puerta a ataques devastadores.»

Por su parte, la analista SOC Marta Ruiz indica: «La trazabilidad en blockchain ayuda en la investigación, pero la rapidez de los atacantes y el uso de mixers sigue siendo un reto para la recuperación de fondos y la identificación de los responsables.»

#### Implicaciones para Empresas y Usuarios

Para las empresas del ecosistema DeFi y fintech, el incidente refuerza la necesidad de auditorías de seguridad exhaustivas y gestión activa de terceros. Además, la obligación de notificar brechas bajo el marco GDPR y la inminente NIS2 podría acarrear consecuencias regulatorias, incluyendo sanciones económicas que se suman a las pérdidas directas.

Para los usuarios, se recomienda extremar precauciones al interactuar con plataformas DeFi, utilizar wallets con autenticación multifactor y limitar la exposición de fondos en servicios que dependan de integraciones de terceros sin auditorías recientes.

#### Conclusiones

El ataque a Polymarket subraya la importancia crítica de la seguridad en la cadena de suministro digital y la necesidad de mecanismos de defensa en profundidad en el ecosistema DeFi. Frente al auge de ataques sofisticados, la colaboración entre plataformas, proveedores y especialistas en ciberseguridad es esencial para proteger los activos y la confianza de los usuarios.

(Fuente: www.securityweek.com)