Kraken bajo extorsión tras dos filtraciones internas

Kraken enfrenta un intento de extorsión de un grupo criminal que amenaza con distribuir videos de sus sistemas internos a medios de comunicación y redes sociales, a menos que se cumplan sus demandas. Lo que Kraken enfrenta hoy no es un ataque técnico convencional, sino dos empleados que accedieron de forma inapropiada a datos de clientes y un grupo criminal que convirtió ese acceso en palanca de presión.

El primer caso fue identificado en febrero de 2025, cuando la compañía recibió un aviso de una fuente confiable sobre un video circulando en un foro criminal. El video mostraba acceso a los sistemas de soporte de clientes. Kraken identificó al empleado, revocó su acceso de inmediato, condujo una investigación y notificó a los clientes afectados. El segundo incidente siguió el mismo patrón, con otra punta de información, otro video y otro empleado identificado y desvinculado. En total, aproximadamente 2.000 cuentas de clientes fueron potencialmente visualizadas, el 0,02% de la base total de usuarios de Kraken.

Poco después de que el acceso del segundo empleado fuera revocado, comenzaron las amenazas. El grupo criminal exigió un pago, respaldado por los materiales de ambos incidentes. Nick Percoco, Chief Security Officer de Kraken, fue directo en su respuesta pública. La compañía no pagará ni negociará con los responsables, y trabaja activamente con autoridades federales en múltiples jurisdicciones bajo la convicción de que hay evidencia suficiente para identificar y arrestar a los involucrados.

Lo que Percoco señaló además merece atención separada; esfuerzos similares de reclutamiento interno están siendo dirigidos contra empresas de juegos, telecomunicaciones y otras compañías cripto. No se trata de un exploit de software ni de una falla de infraestructura. Es un modelo de negocio criminal construido sobre empleados que tienen acceso legítimo a sistemas sensibles y que aceptan usarlo para terceros.

Desde el punto de vista operativo, el dato que importa no es el 0,02%. Es que dos personas en posiciones de soporte al cliente lograron acceder a información de cuentas, grabar ese acceso y entregárselo a actores externos, con un intervalo de tiempo suficiente como para que el segundo incidente ocurriera después de que el primero ya había sido investigado. Eso habla de controles de monitoreo interno, no de sofisticación criminal.

Para cualquier operador con equipos de atención al cliente, ya sea un exchange, un broker regulado o una fintech de pagos, el caso de Kraken tiene implicaciones concretas. La amenaza de seguridad más común no aparece en ningún reporte de vulnerabilidades ni requiere ingeniería inversa. Entra por el área de recursos humanos, toma asiento frente a una pantalla de soporte y empieza a grabar.

La pregunta que los equipos de compliance y operaciones deberían hacerse no tiene que ver con Kraken. Tiene que ver con cuántos niveles de control activo existen sobre lo que sus propios agentes de soporte pueden ver, exportar o documentar en este momento.