La plataforma de criptomonedas mexicana Bitso emitió un comunicado dirigido a Publimetro México en el que niega haber sufrido una filtración de datos en 2023 y atribuye la reciente exposición de información de sus clientes en foros de ciberdelincuencia —y en plataformas de mensajería cifrada— a ataques de phishing y malware dirigidos a los propios usuarios.
La empresa afirmó que no ha detectado vulneraciones en su infraestructura y que los ciberdelincuentes están obteniendo credenciales mediante técnicas de engaño, como anuncios falsos en redes sociales y sitios web fraudulentos.
Sin embargo, especialistas en ciberseguridad, como Víctor Ruiz, fundador de SILIKN, han puesto en duda esta versión y advierten que el phishing y el malware suelen recopilar datos individuales, pero no permiten obtener bases de datos completas con información detallada de múltiples usuarios, como la que se ha detectado en foros clandestinos.
“Es importante aclarar que no es posible obtener bases de datos completas atacando únicamente a los usuarios mediante phishing o malware. Estas técnicas, si bien efectivas a nivel individual, no permiten la recolección masiva de datos”
— Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad
Campaña de phishing con sorteo falso de Tesla Cybertruck
El posicionamiento de Bitso ocurre después de que la empresa empezó a alertar sobre una serie de campañas fraudulentas en las que ciberdelincuentes suplantan su identidad para engañar a los usuarios. La estrategia más utilizada ha sido la promesa de un sorteo falso de una Tesla Cybertruck, con la que los atacantes inducen a las víctimas a ingresar sus credenciales en sitios web falsificados.
Estos fraudes funcionan principalmente mediante anuncios pagados en redes sociales y correos electrónicos que redirigen a los usuarios a páginas fraudulentas que imitan el diseño de Bitso. Una vez que la víctima ingresa su información, los atacantes pueden intentar tomar el control de sus cuentas y robar sus fondos. Bitso ha reiterado que no realiza promociones de este tipo y que cualquier comunicación oficial debe verificarse a través de sus canales legítimos.
Filtraciones en foros y dudas sobre la versión de Bitso
El 20 de febrero de 2025, se detectó en foros de cibercriminales y en Telegram la recirculación de una base de datos que, según los atacantes, contiene información de usuarios de Bitso. Tras la revisión de una muestra, se constató la presencia de direcciones de correo electrónico, nombres completos, números telefónicos y códigos postales, lo que sugiere una filtración de datos más amplia que la obtenida solo mediante phishing.
Víctor Ruiz señaló que “una filtración de datos en una plataforma de criptomonedas y divisas digitales genera un impacto inmediato, así como también deja a los usuarios expuestos a ataques futuros”. Agregó que si bien el phishing es una técnica efectiva para obtener credenciales, no es un método viable para recolectar bases de datos masivas con información detallada, lo que podría indicar una vulneración a nivel de la plataforma.
El experto también destacó que las fintech y otras instituciones financieras están obligadas a reportar incidentes de seguridad a la Comisión Nacional Bancaria y de Valores (CNBV); sin embargo, cuando una empresa atribuye la fuga de datos a fallos de los usuarios, como en el caso de Bitso, la obligación de reportarlo puede volverse ambigua.
“No tengo certeza sobre cómo se procede cuando la empresa alega que la vulneración fue resultado de errores cometidos por los propios usuarios”
— Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad
El antecedente de 2016 y el debate sobre la seguridad en Bitso
En su comunicado, Bitso reconoció que sufrió una brecha de seguridad en 2016, cuyos datos fueron expuestos en 2020. La empresa afirma haber manejado el incidente con total transparencia y asegura que desde entonces ha reforzado sus medidas de seguridad. No obstante, la controversia actual radica en la filtración de 2023 que Bitso niega y en su postura de señalar a los usuarios por las recientes filtraciones detectadas.
“Existen múltiples publicaciones en foros y en Telegram en las que los delincuentes afirman estar vendiendo credenciales de clientes de Bitso. Sin embargo, esto no es consecuencia de una brecha de seguridad, sino de ataques de phishing o de infecciones de malware en los dispositivos de los usuarios, lo que les permite robar datos almacenados, incluidas las contraseñas”.
— Respuesta de Bitso a Publimetro México
Ruiz advirtió que “resulta complicado construir una base de datos con miles de registros solo a partir de infostealers”, ya que este tipo de malware tiende a recolectar credenciales de acceso y no información completa de clientes. La presencia de datos detallados en foros como XSS, detalló, sugiere que la exposición de información podría haber tenido otro origen.
“Las filtraciones masivas suelen incluir datos más detallados, como nombres completos, direcciones y números de teléfono, los cuales no suelen ser capturados por los infostealers”
— Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad
