Página de Coinbase solicitaba la clave de la billetera de criptomonedas
Una página en el subdominio de Coinbase Commerce withdraw.commerce.coinbase.com/seed-phrase pedía a los usuarios que proporcionaran su frase de recuperación de 12 palabras en un campo de texto normal – en texto plano, directamente en el navegador. El propósito era ayudar a los comerciantes a retirar fondos durante la descontinuación del producto Coinbase Commerce, según información reportada por CryptoPotato.
El problema: una frase semilla es la clave maestra absoluta de una billetera de criptomonedas. Quien posea la frase tiene control total sobre todos los fondos asociados a la billetera.
Expertos en seguridad reaccionaron enérgicamente
El investigador de blockchain ZachXBT y el fundador de SlowMist, Yu Xian (conocido como Cos), así como el jefe de seguridad de SlowMist, 23pds, se pronunciaron públicamente contra la página. La crítica fue doble.
En primer lugar, los investigadores consideraron que la página contradecía directamente las propias directrices de seguridad de Coinbase, que advierten explícitamente a los usuarios contra compartir o pegar la frase de recuperación en cualquier sitio web, y enfatizan que Coinbase nunca la solicitará.
En segundo lugar, ZachXBT señaló, según notas de investigación, que la página servía como una plantilla lista para la ingeniería social: los estafadores podrían clonarla fácilmente y usarla en dominios similares para engañar a los usuarios. Los investigadores también destacaron que la página carecía de un mapa del sitio (sitemap) correcto, lo que reducía aún más la barrera para crear copias creíbles.
Una frase semilla es la clave maestra de tu billetera; quien te pida que la introduzcas en un sitio web, en la práctica, te está pidiendo acceso total a tus fondos.
La presión del tiempo empeoró la situación
La controversia surgió durante un período particularmente vulnerable. Decenas de miles de comerciantes de Coinbase Commerce tienen solo hasta el 31 de marzo de 2026 para migrar sus fondos a Coinbase Business. El ajustado plazo podría hacer que los usuarios estén más inclinados a actuar rápidamente y, por lo tanto, sean menos críticos con lo que realmente hacen con la información sensible.
Coinbase eliminó la página y se disculpa
Inicialmente, Coinbase no respondió a las consultas de los medios. Sin embargo, la compañía confirmó a Cointelegraph que la herramienta en cuestión pertenecía al producto Commerce más antiguo y que fue eliminada el 20 de marzo de 2026.
“Hemos eliminado la herramienta de nuestro sitio web y ahora estamos investigando una solución actualizada para el pequeño número de cuentas de comerciantes de Commerce que aún la utilizaban”, declaró un portavoz de Coinbase, según Cointelegraph. La compañía añadió que la seguridad de los clientes y sus fondos es la máxima prioridad, y que todos los fondos permanecen seguros.
¿Qué deben hacer los usuarios ahora?
Si eres un comerciante de Coinbase Commerce y aún no has migrado tus fondos, la fecha límite es el 31 de marzo de 2026. Los expertos en seguridad generalmente recomiendan nunca introducir tu frase semilla en ningún sitio web, independientemente de si la página parece oficial. Los servicios oficiales de entidades serias, en principio, nunca solicitarán esto.
El caso ilustra que incluso grandes actores establecidos pueden introducir funcionalidades que violan las reglas básicas de seguridad, y subraya el valor de una comunidad de seguridad activa que se atreve a alzar la voz.
