Los investigadores de seguridad están alertando sobre una página de Coinbase Commerce que parecía solicitar a los usuarios que ingresaran frases de recuperación de billetera. El episodio ha reavivado las preocupaciones de que un flujo que aprovecha las frases semilla podría normalizar comportamientos que habitualmente son explotados en intentos de phishing, especialmente cuando están asociados con una plataforma confiable.
La controversia comenzó después de que Yu Xian, fundador de la firma de seguridad blockchain SlowMist y figura destacada en círculos de seguridad, llamó la atención sobre la página en X. Cuestionó por qué una página alojada por Coinbase solicitaría frases mnemónicas en texto plano para la recuperación de activos, describiendo la práctica como una grave falla de seguridad.
Coinbase no ha explicado públicamente el origen de la página, más allá de decir que está revisando el asunto. La compañía dijo a Cointelegraph que está investigando el problema, pero no ofreció más información en el momento de la publicación. Yu Xian no respondió hasta el cierre de esta edición, y Cointelegraph no ha recibido comentarios de su parte desde el primer contacto.
En la comunidad cripto, las frases semilla son consideradas las llaves de una billetera de autocustodia. Los usuarios que las comparten corren el riesgo de entregar el control a atacantes, ya que las frases otorgan acceso completo a los activos almacenados en billeteras compatibles. La recomendación sigue siendo clara: nunca divulgar frases semilla a terceros, soporte técnico o sitios web no confiables.
Fuente: Yu Xian (Cos)
Coinbase mencionó el subdominio como una “herramienta de retiro” para comercio
Miembros de la comunidad de investigadores en cripto, incluido ZachXBT, destacaron que la página fue referenciada en la documentación pública de ayuda de Coinbase relacionada con su producto Commerce. ZachXBT señaló que la guía parecía describir un método para que los usuarios recuperaran fondos importando frases semilla en billeteras compatibles como Coinbase Wallet o MetaMask, señalando una herramienta de retiro alojada en el mismo subdominio que ha sido objeto de escrutinio.
La narrativa fue reforzada por declaraciones en los propios materiales de ayuda de Coinbase, que describen billeteras de autocustodia, lo que significa que Coinbase no tiene acceso a las frases semilla y no puede recuperar fondos si se pierden. La documentación ha generado preguntas sobre cómo se alinea esa orientación con la página que solicita ingresar la frase semilla.
“¿Entonces, básicamente Coinbase tiene una página oficial activa que los actores maliciosos pueden usar para atacar a los usuarios de Coinbase mediante ingeniería social con frases semilla si quisieran?”
Esa línea, compartida por ZachXBT en X, subraya el potencial de un vector de phishing que aprovecha una vía oficial percibida para la recuperación de frases semilla, en caso de que la página sea legítima o esté mal configurada. El incidente sitúa en la intersección la educación del usuario, la confianza en la plataforma y la creciente complejidad de los flujos de autocustodia.
Por qué esto importa para usuarios y desarrolladores
Las frases semilla son la pieza clave de la seguridad en la autocustodia. Una página que solicita esas credenciales de manera casual, incluso en un contexto que suena oficial, va en contra de las mejores prácticas ampliamente enseñadas por proveedores de billeteras y expertos en seguridad. Para los usuarios, aumenta el riesgo de campañas de ingeniería social que combinan branding legítimo con solicitudes engañosas. Para los desarrolladores y exchanges, el episodio resalta un equilibrio delicado: ofrecer funciones de recuperación e interoperabilidad sin exponer a los usuarios a nuevas superficies de ataque.
Las billeteras de autocustodia permiten a los usuarios tener control directo sobre las claves privadas y las frases de recuperación, pero con ese control viene la responsabilidad. Si un portal confiable aparece, inadvertidamente o no, solicitando datos mnemónicos, los usuarios podrían sentirse tentados a cumplir, especialmente en momentos de riesgo o pérdida de activos. El incidente, por tanto, alimenta debates más amplios sobre cómo diseñar flujos de recuperación que sean fáciles de usar y resistentes a la manipulación.
Respuesta de Coinbase y el camino a seguir
Coinbase ha reconocido el asunto y dijo que está investigando, aunque no se han proporcionado detalles públicos. La compañía ha aconsejado previamente a los usuarios no pegar frases semilla en ningún sitio web y ha enfatizado que sus billeteras Commerce son de autocustodia, lo que significa que Coinbase no puede acceder a las frases semilla ni recuperar fondos si se pierden. El episodio actual plantea dudas sobre si la página representaba una función oficial, una mala configuración o una brecha de seguridad en la documentación de Commerce.
Por separado, Coinbase ha sido vocal en advertir sobre signos de phishing y ingeniería social, señalando que los estafadores pueden hacerse pasar por soporte técnico por teléfono o en línea para obtener datos de inicio de sesión y códigos de verificación. La firma ha instado a los usuarios a usar canales oficiales en X y Reddit para soporte. La situación en desarrollo deja varias incertidumbres:
¿Fue la página un error técnico, un subdominio mal configurado o un intento real de dirigir a los usuarios hacia la recuperación mediante frases semilla?
¿Refleja la guía de ayuda referenciada los flujos actuales del producto, o ha sido modificada o eliminada en respuesta a la atención recibida?
¿Qué pasos tomará Coinbase para evitar que se repitan solicitudes similares en el futuro, y habrá actualizaciones en la documentación de Commerce para aclarar las mejores prácticas respecto a las frases semilla?
Contexto del panorama de seguridad más amplio
El phishing y la ingeniería social siguen siendo riesgos omnipresentes en el mundo cripto, con atacantes que adaptan continuamente sus engaños en torno a marcas y servicios conocidos. El episodio de OpenClaw, por ejemplo, ilustró cómo los atacantes combinan mensajes sobre “tokens gratis” con interfaces que parecen auténticas para atraer a las víctimas. En ese contexto, cualquier función del ecosistema que toque las frases semilla—ya sea como parte de un flujo de recuperación o una importación entre billeteras—exige medidas de protección rigurosas y una educación clara para los usuarios. Cointelegraph ya ha cubierto cómo los investigadores en seguridad instan a la vigilancia contra la exposición de frases semilla, resaltando la importancia de mantener los datos de recuperación privados y offline siempre que sea posible.
Qué deben vigilar los lectores próximamente
Los próximos días y semanas probablemente revelarán cómo Coinbase resuelve las dudas sobre la página de Commerce y sus referencias al flujo de recuperación. Esté atento a:
Declaraciones oficiales de Coinbase detallando los hallazgos de la investigación y posibles cambios en la documentación o los flujos de usuario de Commerce.
Aclaraciones sobre si la solicitud basada en el subdominio fue operativa, experimental o una mala configuración vinculada al ecosistema de ayuda más amplio.
Orientación continua de proveedores de billeteras y expertos en seguridad sobre prácticas seguras de recuperación, especialmente para configuraciones de autocustodia vinculadas a servicios respaldados por exchanges.
Mientras la industria evalúa este incidente, se refuerza un principio fundamental para usuarios y desarrolladores: las frases semilla siguen siendo un activo altamente sensible, y las interfaces que parecen legítimas deben ser tratadas con cautela. El camino a seguir dependerá de mecanismos de recuperación más claros que preserven el control del usuario sin crear nuevas oportunidades para la ingeniería social.
Este artículo fue publicado originalmente como Coinbase Commerce prompts seed phrases, raising security concerns en Crypto Breaking News – tu fuente confiable para noticias cripto, noticias de Bitcoin y actualizaciones de blockchain.
