Informe del incidente del 1 de marzo El 1 de marzo de 2026, Bitrefill fue el objetivo de un ciberataque. Basándonos en los indicadores observados durante la investigación - incluyendo el modus operandi, el malware utilizado, el rastreo en la cadena y las direcciones IP + correos electrónicos reutilizados (!) - encontramos muchas similitudes entre este ataque y ciberataques pasados del grupo DPRK Lazarus / Bluenoroff contra otras empresas en las industrias de criptomonedas. El acceso inicial se originó a través de un portátil de empleado comprometido, del cual se exfiltró una credencial heredada. Esa credencial proporcionó acceso a una instantánea que contenía secretos de producción. A partir de ahí, los atacantes pudieron escalar su acceso a nuestra infraestructura más amplia, incluyendo partes de nuestra base de datos y ciertas billeteras de criptomonedas. Detectamos el incidente por primera vez después de notar patrones de compra sospechosos con ciertos proveedores. Nos dimos cuenta de que nuestro stock de tarjetas de regalo y nuestras líneas de suministro estaban siendo explotadas. Al mismo tiempo, encontramos algunas de nuestras billeteras calientes siendo drenadas y fondos transferidos a billeteras controladas por los atacantes. En el momento en que identificamos la brecha, desconectamos todos nuestros sistemas como parte de nuestra respuesta de contención. Bitrefill opera un negocio de comercio electrónico global con docenas de proveedores, miles de productos y múltiples métodos de pago en muchos países. Apagar y volver a encender todas estas cosas de manera segura no es trivial. Desde el incidente, nuestro equipo ha estado trabajando estrechamente con los mejores investigadores de seguridad de la industria, especialistas en respuesta a incidentes, analistas en la cadena y fuerzas del orden para entender qué sucedió y cómo podemos prevenir que vuelva a ocurrir. Un sincero agradecimiento a @zeroshadow_io, @SEAL_Org, @RecoverisTeam y @fearsoff por su rápida respuesta y apoyo durante esta difícil situación. ¿Qué pasa con tus datos? Basándonos en nuestra investigación y nuestros registros, no tenemos razones para pensar que los datos de los clientes fueron el objetivo de esta brecha. No hay evidencia de que extrajeran nuestra base de datos completa, solo que los atacantes realizaron un número limitado de consultas consistentes con un sondeo para entender qué había para robar, incluyendo criptomonedas e inventario de tarjetas de regalo de Bitrefill. Bitrefill fue diseñado para almacenar muy pocos datos personales. Somos una tienda, no un proveedor de servicios de criptomonedas. No requerimos KYC obligatorio. Cuando un cliente elige verificar su cuenta - por ejemplo, para acceder a niveles de compra más altos o ciertos productos - esos datos se mantienen exclusivamente con nuestro proveedor externo de KYC, sin copias de seguridad en nuestro sistema. Aún así, basándonos en los registros de la base de datos, sabemos que un subconjunto de registros de compra fue accedido y queremos ser transparentes al respecto. Alrededor de 18,500 registros de compra fueron accedidos por los atacantes. Esos registros contenían información limitada del cliente, como direcciones de correo electrónico, dirección de pago en criptomonedas y metadatos que incluyen la dirección IP. Para aproximadamente 1,000 compras, productos específicos requerían que los clientes proporcionaran un nombre. Esa información está encriptada en nuestra base de datos. Sin embargo, dado que los atacantes pueden haber obtenido acceso a las claves de encriptación, estamos tratando estos datos como potencialmente accedidos. Los clientes en esta categoría ya han sido notificados directamente por correo electrónico. En este momento, basándonos en la información actualmente disponible, no creemos que los clientes necesiten tomar acciones específicas. Como precaución, recomendamos mantener la cautela ante cualquier comunicación inesperada relacionada con Bitrefill o criptomonedas. Si esta evaluación cambia, por supuesto, informaremos de inmediato a los afectados. Lo que estamos haciendo Ya hemos mejorado significativamente nuestras prácticas de ciberseguridad, pero prometemos seguir aprendiendo de esta experiencia para asegurarnos de que los saldos y datos de los usuarios y de la empresa permanezcan lo más seguros posible. Específicamente estamos: ...