Caso Binance Hack (2019)
CONFIRMEDAnálisis forense digital de un incidente real de ciberseguridad en el ecosistema de criptomonedas.
Datos académicos
- Institución: Pontificia Universidad Católica Madre y Maestra (PUCMM)
- Asignatura: Análisis Forense Digital
- Profesor(a): Diana Diplán
- Fecha de entrega: 14/julio/2026
Integrantes del grupo
Matrículas indicadas junto a cada integrante.
Objetivo del trabajo
Investigar y documentar el hackeo sufrido por Binance en mayo de 2019, cubriendo el contexto general del caso, las técnicas utilizadas por los atacantes, la evidencia digital disponible y el análisis forense posterior realizado sobre el flujo de los fondos robados en la blockchain de Bitcoin.
Caso Binance Hack (2019)
El 7 de mayo de 2019, Binance, el mayor exchange de criptomonedas del mundo por volumen, sufrió una brecha de seguridad a gran escala. Un grupo de atacantes obtuvo claves API, códigos 2FA y otra información de usuarios mediante phishing y malware, y logró estructurar una única transacción de retiro que evadió los controles de riesgo previos, sustrayendo 7,000–7,074 BTC del hot wallet de la compañía. Binance detuvo el incidente en minutos, cubrió la pérdida en su totalidad con el fondo SAFU y publicó el caso como un ejercicio de transparencia poco habitual en la industria.
Distribución del riesgo
La arquitectura de segregación de wallets de Binance (solo el 2% de las reservas en el hot wallet conectado a internet) evitó que el incidente comprometiera el grueso de los fondos de la plataforma.
- Hot wallet comprometido (~2%)
- Reservas en cold storage, sin afectar (~98%)
Ficha técnica del incidente
Haz clic en los encabezados para ordenar la tabla.
| Campo ▲▼ | Detalle ▲▼ |
|---|---|
| Víctima | Binance (fundado por Changpeng Zhao, "CZ") |
| Fecha del ataque | 7 de mayo de 2019 |
| Monto sustraído | 7,000 – 7,074 BTC |
| Valor estimado | USD $40–41 millones |
| Wallet afectado | Hot wallet BTC (~2% de reservas totales) |
| N.º de transacciones | 1 (transacción única de retiro) |
| Vector de ataque | Phishing + malware (robo de claves API y códigos 2FA) |
| Fondo de compensación | SAFU, cubrió el 100% de la pérdida |
| Suspensión de servicio | Depósitos/retiros ~1 semana; trading sin interrupción |
Cronología del incidente
Julio de 2018 SPECULATIVE
Posible antecedente: Binance sufre un incidente muy similar, anunciado también como "mantenimiento de emergencia", en el que se retiran exactamente 7,000 BTC explotando claves API. Nunca se confirmó si fue el mismo actor.
7 mayo 2019, mañana
CZ anuncia en Twitter un "mantenimiento de servidor no programado", añadiendo la frase "funds are #SAFU" para calmar a la comunidad.
7 mayo 2019, horas después
Binance confirma oficialmente la brecha de seguridad y el retiro de 7,000 BTC en una sola transacción.
7 mayo 2019, acción inmediata
Se suspenden depósitos y retiros; se coordina con otros exchanges (incl. Coinbase) para bloquear las direcciones del atacante; CZ realiza un AMA público y descarta un rollback vía reorg del 51%.
Semana siguiente
Se restablecen depósitos y retiros. Binance anuncia mejoras en 2FA y gestión de claves API.
Junio 2019 en adelante
Chainalysis, PeckShield, Whale Alert, Coinfirm y Clain rastrean los fondos y detectan el uso masivo del mixer ChipMixer.
Declaraciones oficiales clave
Los hackers obtuvieron un gran número de claves API de usuarios, códigos 2FA, y potencialmente otra información.
Los hackers tuvieron la paciencia de esperar y ejecutar acciones bien orquestadas a través de múltiples cuentas aparentemente independientes en el momento más oportuno.
La transacción fue estructurada de forma que pasó nuestros controles de seguridad existentes.
Fuente: comunicado oficial "Binance Security Breach Update".
Impacto y reacción del mercado
- Caída moderada del precio de BTC, con recuperación rápida gracias a la comunicación transparente.
- BNB sufrió una caída leve inicial y luego alcanzó nuevos máximos tras reanudarse los retiros.
- Cooperación inusual: otros exchanges bloquearon depósitos asociados a las direcciones del atacante.
- Reforzó el debate "not your keys, not your coins" y el escrutinio regulatorio sobre exchanges centralizados.
Medidas correctivas de Binance
- Cobertura total de la pérdida vía fondo SAFU.
- Solicitud a usuarios de renovar claves API y 2FA.
- Revisión y refuerzo de protocolos de autenticación multifactor.
- Mejora de los motores de riesgo pre- y post-retiro.
- Comunicación pública sostenida durante toda la crisis.
Técnicas utilizadas
El ataque no explotó ninguna falla criptográfica de Bitcoin: se dirigió contra la capa humana y operativa del exchange. Explora los tres pilares tácticos que permitieron sustraer los fondos sin activar las alarmas preventivas.
1. Phishing + malware
Robo de claves API y códigos 2FA de usuarios mediante campañas combinadas.
2. Evasión de controles de riesgo
Uso de múltiples cuentas aparentemente independientes para pasar desapercibidos.
3. Estructuración de la transacción
Diseño deliberado del retiro para superar los umbrales de seguridad existentes.
Selecciona una técnica para ver el análisis
Posible reincidencia del mismo actor
SIN ATRIBUCIÓN OFICIALUn año antes, en julio de 2018, Binance ya había sufrido un incidente prácticamente idéntico. La comunidad lo bautizó como "el hackeo anual de 7,000 BTC", aunque nunca hubo confirmación oficial de que se tratara del mismo grupo. Ordena la tabla para comparar ambos eventos.
| Criterio ▲▼ | Julio 2018 ▲▼ | Mayo 2019 ▲▼ |
|---|---|---|
| Monto retirado | 7,000 BTC | 7,000–7,074 BTC |
| Vector reportado | Claves API de usuarios | Claves API + 2FA (phishing/malware) |
| Comunicado inicial | "Mantenimiento de emergencia" | "Mantenimiento no programado" |
| Confirmación oficial de hackeo | No confirmada explícitamente | Confirmada el mismo día |
| Atribución del actor | Desconocida | Desconocida (sin confirmación oficial) |
Contexto de la industria en 2019 SPECULATIVE
2019 fue el año en que varios grupos de atacantes de exchanges (entre ellos Lazarus Group, vinculado a Corea del Norte) perfeccionaron esquemas de phishing más sofisticados y aceleraron el uso de mixers para el lavado de fondos. No existe atribución oficial confirmada de un grupo específico para el caso Binance 2019; se menciona aquí únicamente como contexto de la época.
Evidencia digital
La evidencia del caso se divide entre lo verificable públicamente en la blockchain (on-chain) y los registros internos de Binance (off-chain), complementados por la colaboración de firmas externas de análisis.
| Dato forense | Valor |
|---|---|
| TXID de la transacción | e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea |
| Wallet afectado | Hot wallet BTC de Binance |
| Número de transacciones afectadas | 1 (única transacción confirmada) |
| Naturaleza de la evidencia | Pública / verificable en cualquier explorador de blockchain |
Evidencia on-chain (pública)
- Hash de la transacción del robo, permanentemente auditable.
- Estructura de la transacción: fragmentación y timing como evidencia de premeditación.
- Direcciones de destino, identificadas y publicadas para bloqueo preventivo.
Evidencia off-chain (interna)
- Registros de acceso a las claves API comprometidas.
- Logs de autenticación 2FA usados fraudulentamente.
- Alarmas del sistema de monitoreo post-retiro.
- Patrones de actividad de las cuentas usadas como fachada.
Colaboración externa
Filtra por tipo de aporte para explorar quién participó en el rastreo.
| Organización ▲▼ | Tipo de aporte ▲▼ |
|---|---|
| PeckShield | Rastreo temprano del flujo de fondos robados |
| Whale Alert | Monitoreo público de movimientos de grandes montos |
| Chainalysis | Análisis blockchain y recomendaciones de mejores prácticas |
| Coinfirm | Reporte de fondos procesados en exchanges tras el robo |
| Clain | Reconstrucción de clusters y detección del uso de ChipMixer |
| Exchanges y wallets asociados | Bloqueo de depósitos desde direcciones del atacante |
Manejo forense de la evidencia
Este caso, al tratarse de un exchange centralizado y no de un dispositivo confiscado, no encaja en el modelo clásico de forense de disco o teléfono. La evidencia está repartida entre la infraestructura interna de Binance y la propia red pública de Bitcoin. A continuación se describe cómo se manejaría esa evidencia siguiendo estándares forenses reconocidos (NIST SP 800-86, ISO/IEC 27037) y las reglas de admisibilidad aplicables en jurisdicciones que siguen las Federal Rules of Evidence (FRE) de EE. UU.
Qué dispositivo contenía la evidencia
Del lado de Binance
- No un único dispositivo, sino sistemas internos del exchange.
- Logs de acceso a claves API comprometidas.
- Logs de autenticación 2FA.
- Alarmas del motor de gestión de riesgo.
Del lado público
- La blockchain de Bitcoin misma.
- TXID e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea
- Verificable independientemente sin depender de Binance.
Fuentes externas
- Bases de datos de Chainalysis.
- PeckShield.
- Whale Alert.
Cómo se preservaría la evidencia
On-chain
No requiere preservación activa: la blockchain es append-only e inmutable. Preservarla equivale a documentar el bloque, la altura y el hash en el momento de la captura.
Off-chain
Sí requiere preservación activa. Binance opera el "Government Law Enforcement Request System" (LERS): al recibir una orden de preservación, retiene registros por 90 días iniciales, prorrogable, mientras se tramita el proceso legal formal.
Buena práctica
Logs originales en solo lectura, trabajar siempre sobre una copia forense, y mantener un registro completo de la cadena de custodia.
Qué tipo de adquisición: física o lógica
No aplica adquisición física (no hay disco/teléfono que clonar). Es adquisición lógica: exportación de logs de servidor + consulta directa de la transacción vía nodo/explorador de blockchain. Es la norma en exchanges e infraestructura cloud.
Qué hash generarían
Es fundamental distinguir dos hashes con propósitos completamente distintos:
Identificador criptográfico del protocolo Bitcoin (doble SHA-256). Identifica el ataque, no la integridad de la evidencia.
SHA-256 que el perito calcula sobre cada log exportado, para probar que no fue alterado. Es este segundo el que sustenta la cadena de custodia.
Cómo presentarían la evidencia ante un tribunal
- FRE 902(13)/902(14) (vigentes desde dic. 2017): auto-autenticación de evidencia electrónica vía certificación de hash por persona calificada, sin necesidad de testimonio en vivo.
- La naturaleza pública/verificable de la blockchain es una ventaja probatoria: cualquier perito de la contraparte puede reproducir la verificación de forma independiente.
- Vía formal de acceso a registros internos de Binance: su portal LERS (Government Law Enforcement Request System), con orden judicial correspondiente.
Nota metodológica
METODOLÓGICABinance nunca publicó un informe forense detallado con esta metodología específica para el caso de 2019 — mantuvo los detalles técnicos internos por seguridad operativa. Lo descrito aquí es la metodología estándar (NIST SP 800-86, ISO/IEC 27037, FRE 902) que se aplicaría, no un procedimiento confirmado públicamente por Binance.
Análisis forense posterior
Al tratarse de fondos en Bitcoin, el análisis forense posterior fue esencialmente forense de blockchain: la evidencia central era pública y trazable, y la investigación se centró en el clustering de direcciones y la detección de patrones de fusión de fondos a través de un mixer.
Fase 1: Dispersión inicial
Los fondos se mueven hacia direcciones intermedias para dificultar el clustering automático.
Fase 2: Lavado vía ChipMixer
Desde el 12 de junio de 2019, los fondos se dirigen masivamente al mixer ChipMixer.
Fase 3: Resultado del rastreo
Sin atribución pública confirmada; el rastro se diluye en mixers y exchanges de bajo cumplimiento KYC.
Rastreo del lavado de fondos (Clain / Coinfirm)
Ordena por BTC para ver los montos más relevantes.
| Concepto ▲▼ | BTC ▲▼ | Estado ▲▼ |
|---|---|---|
| Total en clusters fusionados | > 5,300 | En proceso |
| Enviado a ChipMixer | ≥ 4,836 | Lavado confirmado |
| Fondos ya lavados (post-mixer) | 183 | Completado |
| Fondos pendientes de fusión | 814 | Pendiente |
| Enviado a otros mixers | ≥ 6.46 | Detectado |
Cifras reportadas por las firmas Clain y Coinfirm en investigaciones publicadas en 2019; son estimaciones basadas en clustering, no montos exactos verificados criptográficamente.
Distribución del lavado (BTC)
Limitaciones del análisis forense en este tipo de casos
Ruptura de trazabilidad
Los mixers agrupan fondos de múltiples usuarios; solo permiten inferencia estadística, no prueba criptográfica directa.
Dependencia del error humano
La atribución depende de errores operativos del atacante: reutilización de direcciones, fusión de fondos, retiro hacia exchanges con KYC.
Discreción operativa
Binance limitó los detalles técnicos compartidos públicamente para no filtrar información útil a los propios atacantes.
Cita: discreción operativa de CZ
CZ explicó públicamente por qué Binance no reveló todos los detalles técnicos del incidente: los atacantes seguían de cerca cada comunicado y cada sesión de preguntas y respuestas de la empresa, y compartir demasiada información de seguridad habría debilitado la estrategia de respuesta.
Conclusión
El hackeo de Binance en mayo de 2019 demuestra que las amenazas más efectivas contra plataformas de criptomonedas no provienen de vulnerabilidades criptográficas del protocolo, sino de la capa humana y operativa: phishing, malware y la explotación de procesos de autenticación débiles. La respuesta de Binance (cobertura total mediante el fondo SAFU, comunicación transparente en tiempo real y coordinación con otros exchanges para bloquear los fondos) estableció un referente de gestión de crisis en la industria. Sin embargo, el análisis forense posterior reveló las limitaciones estructurales del rastreo de fondos en Bitcoin: el uso de mixers como ChipMixer diluyó la trazabilidad y, a la fecha, no existe una atribución pública confirmada del atacante.
El caso refuerza una lección fundamental para la seguridad de exchanges centralizados: mientras la custodia de activos digitales dependa de claves API, tokens 2FA y credenciales operadas por humanos, ningún volumen de cifrado protegerá lo que un correo de phishing puede comprometer.
La blockchain no perdona las fragilidades humanas: not your keys, not your coins.