CASO 001 · PRESENTACIÓN

Caso Binance Hack (2019)

CONFIRMED

Análisis forense digital de un incidente real de ciberseguridad en el ecosistema de criptomonedas.

Datos académicos

  • Institución: Pontificia Universidad Católica Madre y Maestra (PUCMM)
  • Asignatura: Análisis Forense Digital
  • Profesor(a): Diana Diplán
  • Fecha de entrega: 14/julio/2026

Integrantes del grupo

Steven W. Capellán 10163717
Lisandro Rafael Pérez 10163783
Rauel Miguel Puntier 10163103

Matrículas indicadas junto a cada integrante.

Objetivo del trabajo

Investigar y documentar el hackeo sufrido por Binance en mayo de 2019, cubriendo el contexto general del caso, las técnicas utilizadas por los atacantes, la evidencia digital disponible y el análisis forense posterior realizado sobre el flujo de los fondos robados en la blockchain de Bitcoin.

SECCIÓN 02 · RESUMEN GENERAL

Caso Binance Hack (2019)

El 7 de mayo de 2019, Binance, el mayor exchange de criptomonedas del mundo por volumen, sufrió una brecha de seguridad a gran escala. Un grupo de atacantes obtuvo claves API, códigos 2FA y otra información de usuarios mediante phishing y malware, y logró estructurar una única transacción de retiro que evadió los controles de riesgo previos, sustrayendo 7,000–7,074 BTC del hot wallet de la compañía. Binance detuvo el incidente en minutos, cubrió la pérdida en su totalidad con el fondo SAFU y publicó el caso como un ejercicio de transparencia poco habitual en la industria.

Activos sustraídos
7,000–7,074 BTC
≈ USD $40–41 millones (precio BTC ~$6,000 en 2019)
Impacto en custodia
~2% del BTC total
Solo el hot wallet fue afectado; las cold wallets permanecieron intactas
Mecanismo de cobertura
Fondo SAFU
Constituido con el 10% de comisiones de trading desde jul. 2018

Distribución del riesgo

La arquitectura de segregación de wallets de Binance (solo el 2% de las reservas en el hot wallet conectado a internet) evitó que el incidente comprometiera el grueso de los fondos de la plataforma.

  • Hot wallet comprometido (~2%)
  • Reservas en cold storage, sin afectar (~98%)
DATOS DEL INCIDENTE

Ficha técnica del incidente

Haz clic en los encabezados para ordenar la tabla.

Campo ▲▼ Detalle ▲▼
VíctimaBinance (fundado por Changpeng Zhao, "CZ")
Fecha del ataque7 de mayo de 2019
Monto sustraído7,000 – 7,074 BTC
Valor estimadoUSD $40–41 millones
Wallet afectadoHot wallet BTC (~2% de reservas totales)
N.º de transacciones1 (transacción única de retiro)
Vector de ataquePhishing + malware (robo de claves API y códigos 2FA)
Fondo de compensaciónSAFU, cubrió el 100% de la pérdida
Suspensión de servicioDepósitos/retiros ~1 semana; trading sin interrupción
LÍNEA TEMPORAL

Cronología del incidente

Julio de 2018 SPECULATIVE

Posible antecedente: Binance sufre un incidente muy similar, anunciado también como "mantenimiento de emergencia", en el que se retiran exactamente 7,000 BTC explotando claves API. Nunca se confirmó si fue el mismo actor.

7 mayo 2019, mañana

CZ anuncia en Twitter un "mantenimiento de servidor no programado", añadiendo la frase "funds are #SAFU" para calmar a la comunidad.

7 mayo 2019, horas después

Binance confirma oficialmente la brecha de seguridad y el retiro de 7,000 BTC en una sola transacción.

7 mayo 2019, acción inmediata

Se suspenden depósitos y retiros; se coordina con otros exchanges (incl. Coinbase) para bloquear las direcciones del atacante; CZ realiza un AMA público y descarta un rollback vía reorg del 51%.

Semana siguiente

Se restablecen depósitos y retiros. Binance anuncia mejoras en 2FA y gestión de claves API.

Junio 2019 en adelante

Chainalysis, PeckShield, Whale Alert, Coinfirm y Clain rastrean los fondos y detectan el uso masivo del mixer ChipMixer.

COMUNICADOS

Declaraciones oficiales clave

"

Los hackers obtuvieron un gran número de claves API de usuarios, códigos 2FA, y potencialmente otra información.

"

Los hackers tuvieron la paciencia de esperar y ejecutar acciones bien orquestadas a través de múltiples cuentas aparentemente independientes en el momento más oportuno.

"

La transacción fue estructurada de forma que pasó nuestros controles de seguridad existentes.

Fuente: comunicado oficial "Binance Security Breach Update".

Impacto y reacción del mercado

  • Caída moderada del precio de BTC, con recuperación rápida gracias a la comunicación transparente.
  • BNB sufrió una caída leve inicial y luego alcanzó nuevos máximos tras reanudarse los retiros.
  • Cooperación inusual: otros exchanges bloquearon depósitos asociados a las direcciones del atacante.
  • Reforzó el debate "not your keys, not your coins" y el escrutinio regulatorio sobre exchanges centralizados.

Medidas correctivas de Binance

  • Cobertura total de la pérdida vía fondo SAFU.
  • Solicitud a usuarios de renovar claves API y 2FA.
  • Revisión y refuerzo de protocolos de autenticación multifactor.
  • Mejora de los motores de riesgo pre- y post-retiro.
  • Comunicación pública sostenida durante toda la crisis.
SECCIÓN 03 · TÉCNICAS UTILIZADAS

Técnicas utilizadas

El ataque no explotó ninguna falla criptográfica de Bitcoin: se dirigió contra la capa humana y operativa del exchange. Explora los tres pilares tácticos que permitieron sustraer los fondos sin activar las alarmas preventivas.

1. Phishing + malware

Robo de claves API y códigos 2FA de usuarios mediante campañas combinadas.

2. Evasión de controles de riesgo

Uso de múltiples cuentas aparentemente independientes para pasar desapercibidos.

3. Estructuración de la transacción

Diseño deliberado del retiro para superar los umbrales de seguridad existentes.

Selecciona una técnica para ver el análisis

ANÁLISIS COMPARATIVO

Posible reincidencia del mismo actor

SIN ATRIBUCIÓN OFICIAL

Un año antes, en julio de 2018, Binance ya había sufrido un incidente prácticamente idéntico. La comunidad lo bautizó como "el hackeo anual de 7,000 BTC", aunque nunca hubo confirmación oficial de que se tratara del mismo grupo. Ordena la tabla para comparar ambos eventos.

Criterio ▲▼ Julio 2018 ▲▼ Mayo 2019 ▲▼
Monto retirado7,000 BTC7,000–7,074 BTC
Vector reportadoClaves API de usuariosClaves API + 2FA (phishing/malware)
Comunicado inicial"Mantenimiento de emergencia""Mantenimiento no programado"
Confirmación oficial de hackeoNo confirmada explícitamenteConfirmada el mismo día
Atribución del actorDesconocidaDesconocida (sin confirmación oficial)

Contexto de la industria en 2019 SPECULATIVE

2019 fue el año en que varios grupos de atacantes de exchanges (entre ellos Lazarus Group, vinculado a Corea del Norte) perfeccionaron esquemas de phishing más sofisticados y aceleraron el uso de mixers para el lavado de fondos. No existe atribución oficial confirmada de un grupo específico para el caso Binance 2019; se menciona aquí únicamente como contexto de la época.

SECCIÓN 04 · EVIDENCIA DIGITAL

Evidencia digital

La evidencia del caso se divide entre lo verificable públicamente en la blockchain (on-chain) y los registros internos de Binance (off-chain), complementados por la colaboración de firmas externas de análisis.

TXID e8b40609...54ab05ea e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea CONFIRMED
Dato forense Valor
TXID de la transaccióne8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea
Wallet afectadoHot wallet BTC de Binance
Número de transacciones afectadas1 (única transacción confirmada)
Naturaleza de la evidenciaPública / verificable en cualquier explorador de blockchain

Evidencia on-chain (pública)

  • Hash de la transacción del robo, permanentemente auditable.
  • Estructura de la transacción: fragmentación y timing como evidencia de premeditación.
  • Direcciones de destino, identificadas y publicadas para bloqueo preventivo.

Evidencia off-chain (interna)

  • Registros de acceso a las claves API comprometidas.
  • Logs de autenticación 2FA usados fraudulentamente.
  • Alarmas del sistema de monitoreo post-retiro.
  • Patrones de actividad de las cuentas usadas como fachada.
COLABORACIÓN EXTERNA

Colaboración externa

Filtra por tipo de aporte para explorar quién participó en el rastreo.

Organización ▲▼ Tipo de aporte ▲▼
PeckShieldRastreo temprano del flujo de fondos robados
Whale AlertMonitoreo público de movimientos de grandes montos
ChainalysisAnálisis blockchain y recomendaciones de mejores prácticas
CoinfirmReporte de fondos procesados en exchanges tras el robo
ClainReconstrucción de clusters y detección del uso de ChipMixer
Exchanges y wallets asociadosBloqueo de depósitos desde direcciones del atacante
SECCIÓN 05 · MANEJO FORENSE DE LA EVIDENCIA

Manejo forense de la evidencia

Este caso, al tratarse de un exchange centralizado y no de un dispositivo confiscado, no encaja en el modelo clásico de forense de disco o teléfono. La evidencia está repartida entre la infraestructura interna de Binance y la propia red pública de Bitcoin. A continuación se describe cómo se manejaría esa evidencia siguiendo estándares forenses reconocidos (NIST SP 800-86, ISO/IEC 27037) y las reglas de admisibilidad aplicables en jurisdicciones que siguen las Federal Rules of Evidence (FRE) de EE. UU.

DISPOSITIVOS Y FUENTES

Qué dispositivo contenía la evidencia

Del lado de Binance

  • No un único dispositivo, sino sistemas internos del exchange.
  • Logs de acceso a claves API comprometidas.
  • Logs de autenticación 2FA.
  • Alarmas del motor de gestión de riesgo.

Del lado público

  • La blockchain de Bitcoin misma.
  • TXID e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea
  • Verificable independientemente sin depender de Binance.

Fuentes externas

  • Bases de datos de Chainalysis.
  • PeckShield.
  • Whale Alert.
PRESERVACIÓN

Cómo se preservaría la evidencia

On-chain

No requiere preservación activa: la blockchain es append-only e inmutable. Preservarla equivale a documentar el bloque, la altura y el hash en el momento de la captura.

Off-chain

Sí requiere preservación activa. Binance opera el "Government Law Enforcement Request System" (LERS): al recibir una orden de preservación, retiene registros por 90 días iniciales, prorrogable, mientras se tramita el proceso legal formal.

Buena práctica

Logs originales en solo lectura, trabajar siempre sobre una copia forense, y mantener un registro completo de la cadena de custodia.

TIPO DE ADQUISICIÓN

Qué tipo de adquisición: física o lógica

No aplica adquisición física (no hay disco/teléfono que clonar). Es adquisición lógica: exportación de logs de servidor + consulta directa de la transacción vía nodo/explorador de blockchain. Es la norma en exchanges e infraestructura cloud.

HASHES E INTEGRIDAD

Qué hash generarían

Es fundamental distinguir dos hashes con propósitos completamente distintos:

Hash 1 — TXID del robo

Identificador criptográfico del protocolo Bitcoin (doble SHA-256). Identifica el ataque, no la integridad de la evidencia.

TXID e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea
Hash 2 — Integridad forense

SHA-256 que el perito calcula sobre cada log exportado, para probar que no fue alterado. Es este segundo el que sustenta la cadena de custodia.

ADMISIBILIDAD JUDICIAL

Cómo presentarían la evidencia ante un tribunal

  • FRE 902(13)/902(14) (vigentes desde dic. 2017): auto-autenticación de evidencia electrónica vía certificación de hash por persona calificada, sin necesidad de testimonio en vivo.
  • La naturaleza pública/verificable de la blockchain es una ventaja probatoria: cualquier perito de la contraparte puede reproducir la verificación de forma independiente.
  • Vía formal de acceso a registros internos de Binance: su portal LERS (Government Law Enforcement Request System), con orden judicial correspondiente.

Nota metodológica

METODOLÓGICA

Binance nunca publicó un informe forense detallado con esta metodología específica para el caso de 2019 — mantuvo los detalles técnicos internos por seguridad operativa. Lo descrito aquí es la metodología estándar (NIST SP 800-86, ISO/IEC 27037, FRE 902) que se aplicaría, no un procedimiento confirmado públicamente por Binance.

SECCIÓN 06 · ANÁLISIS FORENSE

Análisis forense posterior

Al tratarse de fondos en Bitcoin, el análisis forense posterior fue esencialmente forense de blockchain: la evidencia central era pública y trazable, y la investigación se centró en el clustering de direcciones y la detección de patrones de fusión de fondos a través de un mixer.

Fase 1: Dispersión inicial

Los fondos se mueven hacia direcciones intermedias para dificultar el clustering automático.

Fase 2: Lavado vía ChipMixer

Desde el 12 de junio de 2019, los fondos se dirigen masivamente al mixer ChipMixer.

Fase 3: Resultado del rastreo

Sin atribución pública confirmada; el rastro se diluye en mixers y exchanges de bajo cumplimiento KYC.

RASTREO DE FONDOS

Rastreo del lavado de fondos (Clain / Coinfirm)

Ordena por BTC para ver los montos más relevantes.

Concepto ▲▼ BTC ▲▼ Estado ▲▼
Total en clusters fusionados> 5,300En proceso
Enviado a ChipMixer≥ 4,836Lavado confirmado
Fondos ya lavados (post-mixer)183Completado
Fondos pendientes de fusión814Pendiente
Enviado a otros mixers≥ 6.46Detectado

Cifras reportadas por las firmas Clain y Coinfirm en investigaciones publicadas en 2019; son estimaciones basadas en clustering, no montos exactos verificados criptográficamente.

Distribución del lavado (BTC)

LIMITACIONES

Limitaciones del análisis forense en este tipo de casos

Ruptura de trazabilidad

Los mixers agrupan fondos de múltiples usuarios; solo permiten inferencia estadística, no prueba criptográfica directa.

Dependencia del error humano

La atribución depende de errores operativos del atacante: reutilización de direcciones, fusión de fondos, retiro hacia exchanges con KYC.

Discreción operativa

Binance limitó los detalles técnicos compartidos públicamente para no filtrar información útil a los propios atacantes.

Cita: discreción operativa de CZ

CZ explicó públicamente por qué Binance no reveló todos los detalles técnicos del incidente: los atacantes seguían de cerca cada comunicado y cada sesión de preguntas y respuestas de la empresa, y compartir demasiada información de seguridad habría debilitado la estrategia de respuesta.

SECCIÓN 07 · CONCLUSIÓN

Conclusión

El hackeo de Binance en mayo de 2019 demuestra que las amenazas más efectivas contra plataformas de criptomonedas no provienen de vulnerabilidades criptográficas del protocolo, sino de la capa humana y operativa: phishing, malware y la explotación de procesos de autenticación débiles. La respuesta de Binance (cobertura total mediante el fondo SAFU, comunicación transparente en tiempo real y coordinación con otros exchanges para bloquear los fondos) estableció un referente de gestión de crisis en la industria. Sin embargo, el análisis forense posterior reveló las limitaciones estructurales del rastreo de fondos en Bitcoin: el uso de mixers como ChipMixer diluyó la trazabilidad y, a la fecha, no existe una atribución pública confirmada del atacante.

El caso refuerza una lección fundamental para la seguridad de exchanges centralizados: mientras la custodia de activos digitales dependa de claves API, tokens 2FA y credenciales operadas por humanos, ningún volumen de cifrado protegerá lo que un correo de phishing puede comprometer.

"

La blockchain no perdona las fragilidades humanas: not your keys, not your coins.

Documento Binance_Hack_2019