Bitcoin Depot revela una grave vulnerabilidad de seguridad; el hacker robó 3,6 millones de dólares en BTC

El operador de cajeros automáticos de Bitcoin Bitcoin Depot presentó el 9 de abril ante la Comisión de Valores de Estados Unidos (SEC) un documento en el que revela que la empresa sufrió una importante brecha de seguridad el 23 de marzo. Los piratas informáticos obtuvieron las credenciales de inicio de sesión de una cuenta de liquidación de activos digitales al infiltrarse en los sistemas de TI de la empresa y transfirieron aproximadamente 50.9 bitcoins sin autorización; la pérdida, calculada con base en el valor de mercado en el momento del robo, asciende aproximadamente a 3.67M de dólares.

Análisis de la ruta del ataque: cómo el robo de credenciales de TI condujo a la fuga de BTC

（Fuente: SEC）

Según el documento de divulgación de la SEC de Bitcoin Depot, este ataque implicó una ruta completa de intrusión y transferencia:

Resumen de la ruta del ataque y de las pérdidas

Invasión del sistema de TI: los atacantes lograron infiltrarse en los sistemas internos de TI de la empresa y obtener las credenciales de inicio de sesión de la cuenta de liquidación de activos digitales

Transferencia de fondos no autorizada: utilizando las credenciales robadas, se completó una transferencia ilegal de activos cifrados sin que nadie lo advirtiera

Magnitud de la pérdida: 50.9 bitcoins; la pérdida estimada por el valor de mercado al momento del robo asciende a 3.67M de dólares

Impacto en el cliente: la plataforma de ATM para clientes y los datos personales de los usuarios no se vieron afectados

Momento del incidente: la brecha ocurrió el 23 de marzo de 2026

Al cierre de la publicación del informe, Bitcoin Depot no había emitido ninguna declaración pública sobre este asunto, además de los documentos ante la SEC, y tampoco había respondido a solicitudes de comentarios de los medios.

Acciones de respuesta de la empresa y costos potenciales posteriores

Tras detectar la intrusión, Bitcoin Depot activó mecanismos de respuesta al incidente, contrató a expertos externos en ciberseguridad para investigar la ruta del ataque y asegurar el resto de los activos, y también presentó una denuncia ante las autoridades encargadas de hacer cumplir la ley, pero no divulgó de manera específica qué organismos participaron en la investigación.

La empresa estimó inicialmente la pérdida en 3.67M de dólares, pero el documento de la SEC no divulgó si la compañía contaba con un seguro contra el robo de activos digitales, ni explicó el posible impacto de esta pérdida en la operación de la liquidez de bitcoins dentro de toda la red de cajeros automáticos. Bitcoin Depot indicó de forma explícita que los riesgos derivados de este incidente incluyen daños a la reputación, costos legales, la intervención de los reguladores y los gastos de respuesta urgente, lo cual podría convertirse en una carga financiera a largo plazo para sus operaciones.

En cuanto a la reacción del mercado, las acciones de BTM llegaron a subir en un momento dado 15% durante las operaciones del mismo día y cerraron en 2.74 dólares, pero después de que se divulgara el documento de la SEC se observó una caída en las operaciones fuera de horario. Cabe destacar que la acción ya había acumulado una caída del 44% en los últimos 30 días.

Segundo incidente de seguridad: retos de seguridad sistémica a los que se enfrentan los operadores de cajeros

Este es, al menos, el segundo gran incidente de seguridad conocido de Bitcoin Depot. En 2023, la empresa sufrió otro ataque de piratas informáticos que provocó la filtración de datos personales de aproximadamente 58k usuarios. La ocurrencia consecutiva de ambos incidentes pone de manifiesto la presión sistémica que enfrentan los operadores de cajeros automáticos de bitcoin en materia de protección de seguridad.

Debido a que los operadores de cajeros automáticos deben mantener grandes reservas de criptomonedas para respaldar las operaciones de los clientes, se han convertido en un objetivo de alto valor para los delincuentes informáticos. Estas empresas, además de gestionar la conexión entre efectivo físico e infraestructura de criptomonedas, también deben administrar sistemas complejos de custodia digital, creando un punto de ataque de intersección único entre la seguridad física y la seguridad de red.

Este incidente coincide con el momento en que Bitcoin Depot enfrenta un escrutinio regulatorio cada vez más estricto: en febrero de este año, bajo la presión de los organismos reguladores, la empresa impuso requisitos más rigurosos de verificación de identidad para todas las transacciones en cajeros automáticos con el fin de fortalecer su capacidad de cumplimiento contra el fraude y el lavado de dinero.

Preguntas frecuentes

¿A cuánto asciende la pérdida por el hackeo de Bitcoin Depot?

Según el documento presentado por Bitcoin Depot ante la SEC, los piratas informáticos robaron aproximadamente 50.9 bitcoins, y la pérdida estimada por el valor de mercado al momento del robo asciende aproximadamente a 58k de dólares. La empresa aún no ha divulgado si contaba con un seguro contra el robo de activos digitales, ni ha explicado el posible impacto de la pérdida en las operaciones de liquidez de los cajeros automáticos.

¿Los datos personales de los clientes se vieron afectados por este hackeo?

Bitcoin Depot declaró de manera explícita en el documento ante la SEC que la plataforma de cajeros automáticos para clientes y los datos personales de los usuarios no se vieron afectados por esta intrusión. Este incidente afectó principalmente a la cuenta de liquidación de activos digitales interna de la empresa, que está aislada del sistema del lado del cliente.

¿Este es el cuántos incidente de seguridad de Bitcoin Depot?

Este es, al menos, el segundo gran incidente de seguridad conocido de Bitcoin Depot. En 2023, la empresa sufrió otro ataque de piratas informáticos que provocó la filtración de datos personales de aproximadamente 58k usuarios, creando un preocupante patrón repetido de incidentes de seguridad.