Informe de incidente del 1 de marzo El 1 de marzo de 2026, Bitrefill fue objeto de un ciberataque. Basándonos en los indicadores observados durante la investigación —incluyendo el modus operandi, el malware utilizado, el rastreo en cadena y la reutilización de direcciones IP + correo electrónico (!) —, encontramos muchas similitudes entre este ataque y ciberataques anteriores del grupo DPRK Lazarus / Bluenoroff contra otras empresas de la industria cripto. El acceso inicial se originó a través de un portátil de un empleado comprometido, del cual se extrajo una credencial heredada. Esa credencial proporcionaba acceso a una instantánea que contenía los secretos de producción. A partir de ahí, los atacantes pudieron aumentar su acceso a nuestra infraestructura más amplia, incluyendo partes de nuestra base de datos y ciertas carteras de criptomonedas. Detectamos el incidente por primera vez tras observar patrones de compra sospechosos en ciertos proveedores. Nos dimos cuenta de que nuestras cartas regalo y nuestras líneas de suministro estaban siendo explotadas. Al mismo tiempo, vimos que algunas de nuestras carteras calientes se agotaban y que los fondos se transferían a carteras controladas por los atacantes. En el momento en que identificamos la brecha, desconectamos todos nuestros sistemas como parte de nuestra respuesta de contención. Bitrefill opera un negocio global de comercio electrónico con decenas de proveedores, miles de productos y múltiples métodos de pago en muchos países. Desactivar todas estas cosas de forma segura y volver a conectarlas no es trivial. Desde el incidente, nuestro equipo ha estado trabajando estrechamente con los principales investigadores de seguridad del sector, especialistas en respuesta a incidentes, analistas on-chain y fuerzas de seguridad para entender qué ocurrió y cómo podemos evitar que vuelva a ocurrir. Un sincero agradecimiento a @zeroshadow_io, @SEAL_Org, @RecoverisTeam y @fearsoff por su rápida respuesta y apoyo durante todo este proceso. ¿Y tus datos qué? Según nuestra investigación y nuestros registros, no tenemos motivos para pensar que los datos de los clientes fueran el objetivo de esta brecha. No hay pruebas de que hayan extraído toda nuestra base de datos, solo que los atacantes realizaron un número limitado de consultas consistentes con sondeos para entender qué había que robar, incluyendo criptomonedas y inventario de tarjetas regalo de Bitrefil. Bitrefill fue diseñado para almacenar muy pocos datos personales. Somos una tienda, no un proveedor de servicios cripto. No exigimos KYC obligatorio. Cuando un cliente decide verificar su cuenta —por ejemplo, para acceder a niveles de compra superiores o ciertos productos— esos datos se guardan exclusivamente con nuestro proveedor externo de KYC, sin copias de seguridad en nuestro sistema. Aun así, basándonos en los registros de la base de datos, sabemos que se accedió a un subconjunto de registros de compras y queremos ser transparentes al respecto. Los atacantes accedieron a unos 18.500 registros de compras. Esos registros contenían información limitada de los clientes, como direcciones de correo electrónico, dirección de pago en criptomonedas y metadatos, incluyendo la dirección IP. Para aproximadamente 1.000 compras, productos específicos requerían que los clientes proporcionaran un nombre. Esa información está cifrada en nuestra base de datos. Sin embargo, dado que los atacantes pueden haber accedido a las claves de cifrado, estamos tratando estos datos como potencialmente accedidos. Los clientes de esta categoría ya han sido notificados directamente por correo electrónico. Por ahora, basándonos en la información disponible actualmente, no creemos que los clientes deban tomar medidas específicas. Como medida de precaución, recomendamos mantener la precaución ante cualquier comunicación inesperada relacionada con Bitrefill o criptomonedas. Si esta evaluación cambia, por supuesto informaremos inmediatamente a los afectados. Lo que estamos haciendo Ya hemos mejorado significativamente nuestras prácticas de ciberseguridad, pero prometemos seguir aprendiendo de esta experiencia para asegurar que los saldos y datos de usuarios y empresas sigan siendo lo más seguros posible. Específicamente, somos: ...