Trabajo de investigación
Caso Binance Hack (2019)
Análisis forense digital de un incidente real de ciberseguridad en el ecosistema de criptomonedas.
🏛️ Datos académicos
- Institución: Pontificia Universidad Católica Madre y Maestra (PUCMM)
- Asignatura: Análisis Forense Digital
- Profesor(a): Diana Diplán
- Fecha de entrega: 14/julio/2026
👥 Integrantes del grupo
- Steven W. Capellán 10163717
- Lisandro Perez 0000000
- Porter 10163103
Matrículas indicadas junto a cada integrante.
Objetivo del trabajo
Investigar y documentar el hackeo sufrido por Binance en mayo de 2019, cubriendo el contexto general del caso, las técnicas utilizadas por los atacantes, la evidencia digital disponible y el análisis forense posterior realizado sobre el flujo de los fondos robados en la blockchain de Bitcoin.
Investigación de ciberseguridad
Caso Binance Hack (2019)
El 7 de mayo de 2019, Binance, el mayor exchange de criptomonedas del mundo por volumen, sufrió una brecha de seguridad a gran escala. Un grupo de atacantes obtuvo claves API, códigos 2FA y otra información de usuarios mediante phishing y malware, y logró estructurar una única transacción de retiro que evadió los controles de riesgo previos, sustrayendo 7,000–7,074 BTC del hot wallet de la compañía. Binance detuvo el incidente en minutos, cubrió la pérdida en su totalidad con el fondo SAFU y publicó el caso como un ejercicio de transparencia poco habitual en la industria.
Activos sustraídos
7,000–7,074 BTC
≈ USD $40–41 millones (precio BTC ~$6,000 en 2019)
Impacto en custodia
~2% del BTC total
Solo el hot wallet fue afectado; las cold wallets permanecieron intactas
Mecanismo de cobertura
Fondo SAFU
Constituido con el 10% de comisiones de trading desde jul. 2018
Distribución del riesgo
La arquitectura de segregación de wallets de Binance (solo el 2% de las reservas en el hot wallet conectado a internet) evitó que el incidente comprometiera el grueso de los fondos de la plataforma.
- Hot wallet comprometido (~2%)
- Reservas en cold storage, sin afectar (~98%)
Ficha técnica del incidente
Haz clic en los encabezados para ordenar la tabla.
| Campo ▲▼ | Detalle ▲▼ |
|---|---|
| Víctima | Binance (fundado por Changpeng Zhao, "CZ") |
| Fecha del ataque | 7 de mayo de 2019 |
| Monto sustraído | 7,000 – 7,074 BTC |
| Valor estimado | USD $40–41 millones |
| Wallet afectado | Hot wallet BTC (~2% de reservas totales) |
| N.º de transacciones | 1 (transacción única de retiro) |
| Vector de ataque | Phishing + malware (robo de claves API y códigos 2FA) |
| Fondo de compensación | SAFU, cubrió el 100% de la pérdida |
| Suspensión de servicio | Depósitos/retiros ~1 semana; trading sin interrupción |
Cronología del incidente
Julio de 2018
Posible antecedente: Binance sufre un incidente muy similar, anunciado también como "mantenimiento de emergencia", en el que se retiran exactamente 7,000 BTC explotando claves API. Nunca se confirmó si fue el mismo actor.
7 mayo 2019, mañana
CZ anuncia en Twitter un "mantenimiento de servidor no programado", añadiendo la frase "funds are #SAFU" para calmar a la comunidad.
7 mayo 2019, horas después
Binance confirma oficialmente la brecha de seguridad y el retiro de 7,000 BTC en una sola transacción.
7 mayo 2019, acción inmediata
Se suspenden depósitos y retiros; se coordina con otros exchanges (incl. Coinbase) para bloquear las direcciones del atacante; CZ realiza un AMA público y descarta un rollback vía reorg del 51%.
Semana siguiente
Se restablecen depósitos y retiros. Binance anuncia mejoras en 2FA y gestión de claves API.
Junio 2019 en adelante
Chainalysis, PeckShield, Whale Alert, Coinfirm y Clain rastrean los fondos y detectan el uso masivo del mixer ChipMixer.
Declaraciones oficiales clave
Los hackers obtuvieron un gran número de claves API de usuarios, códigos 2FA, y potencialmente otra información.
Los hackers tuvieron la paciencia de esperar y ejecutar acciones bien orquestadas a través de múltiples cuentas aparentemente independientes en el momento más oportuno.
La transacción fue estructurada de forma que pasó nuestros controles de seguridad existentes.
Fuente: comunicado oficial "Binance Security Breach Update".
Impacto y reacción del mercado
- 📉 Caída moderada del precio de BTC, con recuperación rápida gracias a la comunicación transparente.
- 🪙 BNB sufrió una caída leve inicial y luego alcanzó nuevos máximos tras reanudarse los retiros.
- 🤝 Cooperación inusual: otros exchanges bloquearon depósitos asociados a las direcciones del atacante.
- ⚖️ Reforzó el debate "not your keys, not your coins" y el escrutinio regulatorio sobre exchanges centralizados.
Medidas correctivas de Binance
- ✔ Cobertura total de la pérdida vía fondo SAFU.
- ✔ Solicitud a usuarios de renovar claves API y 2FA.
- ✔ Revisión y refuerzo de protocolos de autenticación multifactor.
- ✔ Mejora de los motores de riesgo pre- y post-retiro.
- ✔ Comunicación pública sostenida durante toda la crisis.
Técnicas utilizadas
El ataque no explotó ninguna falla criptográfica de Bitcoin: se dirigió contra la capa humana y operativa del exchange. Explora los tres pilares tácticos que permitieron sustraer los fondos sin activar las alarmas preventivas.
1. Phishing + malware
Robo de claves API y códigos 2FA de usuarios mediante campañas combinadas.
2. Evasión de controles de riesgo
Uso de múltiples cuentas aparentemente independientes para pasar desapercibidos.
3. Estructuración de la transacción
Diseño deliberado del retiro para superar los umbrales de seguridad existentes.
Selecciona una técnica para ver el análisis
Posible reincidencia del mismo actor
Un año antes, en julio de 2018, Binance ya había sufrido un incidente prácticamente idéntico. La comunidad lo bautizó como "el hackeo anual de 7,000 BTC", aunque nunca hubo confirmación oficial de que se tratara del mismo grupo. Ordena la tabla para comparar ambos eventos.
| Criterio ▲▼ | Julio 2018 ▲▼ | Mayo 2019 ▲▼ |
|---|---|---|
| Monto retirado | 7,000 BTC | 7,000–7,074 BTC |
| Vector reportado | Claves API de usuarios | Claves API + 2FA (phishing/malware) |
| Comunicado inicial | "Mantenimiento de emergencia" | "Mantenimiento no programado" |
| Confirmación oficial de hackeo | No confirmada explícitamente | Confirmada el mismo día |
| Atribución del actor | Desconocida | Desconocida (sin confirmación oficial) |
Contexto de la industria en 2019
2019 fue el año en que varios grupos de atacantes de exchanges (entre ellos Lazarus Group, vinculado a Corea del Norte) perfeccionaron esquemas de phishing más sofisticados y aceleraron el uso de mixers para el lavado de fondos. No existe atribución oficial confirmada de un grupo específico para el caso Binance 2019; se menciona aquí únicamente como contexto de la época.
Evidencia digital
La evidencia del caso se divide entre lo verificable públicamente en la blockchain (on-chain) y los registros internos de Binance (off-chain), complementados por la colaboración de firmas externas de análisis.
| Dato forense | Valor |
|---|---|
| TXID de la transacción | e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea |
| Wallet afectado | Hot wallet BTC de Binance |
| Número de transacciones afectadas | 1 (única transacción confirmada) |
| Naturaleza de la evidencia | Pública / verificable en cualquier explorador de blockchain |
🔗 Evidencia on-chain (pública)
- Hash de la transacción del robo, permanentemente auditable.
- Estructura de la transacción: fragmentación y timing como evidencia de premeditación.
- Direcciones de destino, identificadas y publicadas para bloqueo preventivo.
🗄️ Evidencia off-chain (interna)
- Registros de acceso a las claves API comprometidas.
- Logs de autenticación 2FA usados fraudulentamente.
- Alarmas del sistema de monitoreo post-retiro.
- Patrones de actividad de las cuentas usadas como fachada.
Colaboración externa
Filtra por tipo de aporte para explorar quién participó en el rastreo.
| Organización ▲▼ | Tipo de aporte ▲▼ |
|---|---|
| PeckShield | Rastreo temprano del flujo de fondos robados |
| Whale Alert | Monitoreo público de movimientos de grandes montos |
| Chainalysis | Análisis blockchain y recomendaciones de mejores prácticas |
| Coinfirm | Reporte de fondos procesados en exchanges tras el robo |
| Clain | Reconstrucción de clusters y detección del uso de ChipMixer |
| Exchanges y wallets asociados | Bloqueo de depósitos desde direcciones del atacante |
Análisis forense posterior
Al tratarse de fondos en Bitcoin, el análisis forense posterior fue esencialmente forense de blockchain: la evidencia central era pública y trazable, y la investigación se centró en el clustering de direcciones y la detección de patrones de fusión de fondos a través de un mixer.
Fase 1: Dispersión inicial
Los fondos se mueven hacia direcciones intermedias para dificultar el clustering automático.
Fase 2: Lavado vía ChipMixer
Desde el 12 de junio de 2019, los fondos se dirigen masivamente al mixer ChipMixer.
Fase 3: Resultado del rastreo
Sin atribución pública confirmada; el rastro se diluye en mixers y exchanges de bajo cumplimiento KYC.
Rastreo del lavado de fondos (Clain / Coinfirm)
Ordena por BTC para ver los montos más relevantes.
| Concepto ▲▼ | BTC ▲▼ | Estado ▲▼ |
|---|---|---|
| Total en clusters fusionados | > 5,300 | En proceso |
| Enviado a ChipMixer | ≥ 4,836 | Lavado confirmado |
| Fondos ya lavados (post-mixer) | 183 | Completado |
| Fondos pendientes de fusión | 814 | Pendiente |
| Enviado a otros mixers | ≥ 6.46 | Detectado |
Cifras reportadas por las firmas Clain y Coinfirm en investigaciones publicadas en 2019; son estimaciones basadas en clustering, no montos exactos verificados criptográficamente.
Distribución del lavado (BTC)
Limitaciones del análisis forense en este tipo de casos
Ruptura de trazabilidad
Los mixers agrupan fondos de múltiples usuarios; solo permiten inferencia estadística, no prueba criptográfica directa.
Dependencia del error humano
La atribución depende de errores operativos del atacante: reutilización de direcciones, fusión de fondos, retiro hacia exchanges con KYC.
Discreción operativa
Binance limitó los detalles técnicos compartidos públicamente para no filtrar información útil a los propios atacantes.
Cita: discreción operativa de CZ
CZ explicó públicamente por qué Binance no reveló todos los detalles técnicos del incidente: los atacantes seguían de cerca cada comunicado y cada sesión de preguntas y respuestas de la empresa, y compartir demasiada información de seguridad habría debilitado la estrategia de respuesta.