Saltar al contenido principal
BTC: $62,849.76ETH: $1,768.24SOL: $80.75USD/BCV: 667.05 BsEUR/BCV: 763.19 BsBTC: $62,849.76ETH: $1,768.24SOL: $80.75USD/BCV: 667.05 BsEUR/BCV: 763.19 BsBTC: $62,849.76ETH: $1,768.24SOL: $80.75USD/BCV: 667.05 BsEUR/BCV: 763.19 BsBTC: $62,849.76ETH: $1,768.24SOL: $80.75USD/BCV: 667.05 BsEUR/BCV: 763.19 Bs
Aplicaciones

Kontigo publica informe técnico sobre su hackeo

PUB ACT POR Jose Miguel Gonzalez
Kontigo publica informe técnico sobre su hackeo

La plataforma financiera Kontigo confirmó haber sido blanco de un ataque deliberado y altamente sofisticado que impactó a sus sistemas los días 5 y 8 de enero, resultando en la sustracción de activos digitales de 1.005 usuarios. Ante el incidente, el neobanco activó una respuesta inmediata que permitió la devolución total de los fondos robados en un plazo de 24 horas después de cada evento. La compañía, que actualmente atiende a más de 1.300.000 usuarios activos diarios, ya ha corregido las vulnerabilidades detectadas en su infraestructura de autenticación y base de datos.

Análisis de la brecha y el impacto financiero

El primer ataque, detectado el 5 de enero, se originó a través de un legacy gateway en el flujo de autenticación Apple OIDC de su proveedor, permitiendo al atacante generar tokens JWT válidos para acceder a cuentas [3]. Posteriormente, el 8 de enero, se produjo un ataque de seguimiento donde se reutilizaron tokens de sesión de billetera de Thirdweb que tenían una expiración por defecto de 30 días.

Cifras clave del incidente reportadas por la empresa:

  • 340.905,28 USDT: Monto sustraído durante el primer ataque el 5 de enero [1].
  • 56.913 USDC: Fondos drenados de 258 billeteras durante la segunda fase el 8 de enero.
  • 100% de reembolso: Proceso de compensación completado para todos los usuarios afectados.
  • 12 horas: Tiempo en el que se corrigieron los problemas de autenticación y control de acceso iniciales.

La investigación técnica reveló que ciertas tablas del backend carecían de Row-Level Security (RLS), lo que permitió al atacante visualizar emails e IDs de usuario, aunque no tuvo acceso a llaves privadas.

Contexto y Análisis: Seguridad non-custodial y medidas futuras

A pesar de la gravedad del ataque, Kontigo enfatizó que la naturaleza non-custodial de sus billeteras no se vio comprometida. El uso de AWS Nitro Enclaves permite que las llaves privadas se mantengan abstraídas y protegidas en un entorno de computación confidencial, evitando que sean reconstruidas en el cliente o servidor. Según el reporte, los atacantes movieron los fondos hacia el exchange ChangeNOW, utilizando infraestructura vinculada a actores de amenazas persistentes avanzadas (APT) y convirtiendo finalmente los activos a Monero (XMR) para dificultar su rastreo.

Para prevenir futuros incidentes, Kontigo ha implementado restricciones por PIN para la ejecución de transacciones y ha reducido la expiración de los nuevos tokens JWT a solo 15 minutos [4]. Además, la empresa anunció el inicio de una auditoría criptográfica completa con Trail of Bits y la contratación de un nuevo CISO (Chief Information Security Officer) junto a un equipo de asesoría especializada para fortalecer su robustez defensiva.


Fuentes: Reporte de Incidente de kontigo

Comentarios

Relacionados

Ver más