Un estafador que se hace pasar por soporte de Coinbase roba más de 2 millones de dólares en criptomonedas

Un estafador que se hizo pasar por personal de soporte de Coinbase defraudó más de $2 millones en criptomonedas durante 2025 al organizar ataques de ingeniería social.

El investigador de blockchain ZachXBT expuso al actor de amenazas canadiense, conocido como Haby o Havard, mediante análisis en cadena y evidencia en redes sociales. El estafador realizó llamadas a usuarios de Coinbase con números de teléfono que afirmaban ser de atención al cliente y luego les indicó que transfirieran fondos a billeteras controladas por los atacantes.

ZachXBT tracel robo a través del análisis de blockchain.

Las investigaciones comenzaron cuando Haby, el 30 de diciembre de 2024, publicó una captura de pantalla que mostraba el robo de 21.000 XRP por un valor de 44.000 dólares a un usuario de Coinbase. ZachXBT relacionó la dirección de la billetera con otros dos robos a usuarios de Coinbase por un valor aproximado de 500.000 dólares. El análisis demostró que Haby había intercambiado XRP por Bitcoin mediante intercambios instantáneos.

9/ Capturas de pantalla adicionales tomadas de su IG muestran más robos de ingeniería social.

Una publicación de la historia se filtró "Desde la MacBook Air de Harvi"

Una persona de su chat incluso le aconsejó que dejara de flexionarse tan seguido. pic.twitter.com/YJQlbxTfyK

— ZachXBT (@zachxbt) 29 de diciembre de 2025

Mediante un análisis de tiempo, ZachXBT tracla dirección Bitcoin de Haby. En febrero de 2025, Haby compartió capturas de pantalla en un chat grupal que mostraban una billetera con $237,000.

El Bitcoin para ladentcoincidió con las capturas de pantalla del 1 de febrero de 2025. Trachacia atrás desde esta dirección descubrió tres robos adicionales de suplantación por un total de más de $560,000.

El investigador vinculó las billeteras con Haby mediante información filtrada en publicaciones en redes sociales y grabaciones de pantalla. Un video filtrado mostró a Haby realizando una llamada de ingeniería social con un objetivo.

La grabación de pantalla expuso la dirección de correo electrónico y su cuenta de Telegram. Otras capturas de pantalla de Instagram mostraron publicaciones que presumían de robos mediante ingeniería social. Una publicación en una historia reveló "De la MacBook Air de Harvi" en la información del dispositivo.

El estafador operaba con poca seguridad operativa

Haby publicaba regularmente historias y selfies en redes sociales mostrando su estilo de vida financiado con criptomonedas robadas. Las publicaciones mostraban compras de nombres de usuario de Telegram caros, artículos de lujo, servicio de bebidas alcohólicas y gastos de juego. Un miembro de su grupo de chat le aconsejó que dejara de publicar sobre sus actividades con tanta frecuencia.

El estafador parecía no preocuparse demasiado por la seguridad operativa. El análisis de redes sociales reveló su ubicación en Abbotsford, cerca de Vancouver, Columbia Británica. La OSINT realizada en sus publicaciones confirmó la ubicación.

Haby compraba frecuentemente nombres de usuario costosos en Telegram y eliminó su cuenta más reciente dos días antes de que se publicara la investigación. Cuentas anteriores mostraban su alias en varios chats, lo que confirmaba la autenticidad de las capturas de pantalla filtradas.

Las estafas de suplantación de identidad del soporte de Coinbase se intensificaron en 2025

El año 2025 fue un periodo bastante complicado para los usuarios de Coinbase. Los atacantes pasaron del phishing tradicional a ataques dirigidos con precisión, utilizando datos robados de los sistemas de soporte de Coinbase. Una filtración de datos interna en mayo de 2025 permitió llevar a cabo estafas de suplantación de identidad muy efectivas durante todo el año.

Se trató de sobornos por parte de ciberdelincuentes que contrataron a agentes de atención al cliente en el extranjero, principalmente en Hyderabad, India, para robar datos internos. La información comprometida incluye nombres, correos electrónicos, números de teléfono, domicilios particulares, imágenes de documentos de identidad oficiales y saldos de cuentas en tiempo real.

Los atacantes no accedieron directamente a las claves privadas ni a las contraseñas. En total, cerca del 1% de los usuarios de Coinbase fueron atacados, lo que equivale a aproximadamente 70.000 clientes de alto valor.

Los atacantes exigieron un rescate de 20 millones de dólares a cambio de eliminar los datos robados. Coinbase declinó la petición, ofreció una recompensa de 20 millones de dólares por los atacantes y reembolsó el dinero a las víctimas afectadas.

Se produjeron múltiples arrestos en diciembre de 2025

La actividad policial alcanzó su punto máximo en diciembre de 2025 con varios arrestos relacionados con estafas de suplantación de identidad de Coinbase. Ronald Spektor, de Brooklyn, Nueva York, fue acusado de robar 16 millones de dólares a aproximadamente 100 usuarios.

Su metodología consistía en usar datos robados de clientes para hacerse pasar por el "Soporte Élite" de Coinbase y alertar a los usuarios sobre transacciones no autorizadas pendientes. Guiaba a las víctimas para que transfirieran fondos a una "bóveda segura" que, en realidad, era una billetera que él controlaba.

La policía india arrestó el 29 de diciembre de 2025 a un exempleado de soporte de Coinbase, vinculado al robo de datos ocurrido en mayo. El arresto confirmó la teoría del soborno a un empleado interno y constituyó la primera acción policial importante contra el origen de la filtración de datos.