Saltar al contenido principal

Operation Atlantic: How Coinbase, the Secret Service, and the NCA Froze $12M in Stolen Crypto in One Week

· 11 min de lectura
Dora Noda
Dora Noda
Software Engineer

En enero de 2026 solamente, los ataques de phishing drenaron más de $311 millones de usuarios de criptomonedas. Para cuando la mayoría de las víctimas se dieron cuenta de que sus billeteras habían sido comprometidas, los fondos ya estaban en cascada a través de mezcladores y puentes entre cadenas. Durante años, la aplicación de la ley jugó a ponerse al día — investigando crímenes meses después de que ocurrieron, recuperando centavos por cada dólar.

Luego llegó Operation Atlantic.

Lanzada el 16 de marzo de 2026, desde la sede de la Agencia Nacional del Crimen del Reino Unido en Londres, Operation Atlantic reunió al Servicio Secreto de EE.UU., agencias de aplicación de la ley canadienses, firmas de análisis de blockchain Chainalysis y TRM Labs, y los intercambios de criptomonedas Coinbase y Kraken para un sprint sin precedentes de una semana. El resultado: $12 millones congelados, $45 millones en fraude mapeado, 20,000 billeteras de víctimas identificadas en 30 países, y más de 120 dominios de estafas interrumpidos — todo en siete días.

Esta no fue una investigación típica. Fue una prueba de concepto de que las asociaciones público-privadas pueden cambiar la seguridad criptográfica de la investigación forense reactiva a la intervención en tiempo real.

¿Qué es el Approval Phishing — y por qué es tan peligroso?

A diferencia del phishing tradicional que roba credenciales de inicio de sesión, el approval phishing explota la arquitectura de permisos integrada en los contratos inteligentes mismos. Las víctimas son atraídas por lo que parecen ser oportunidades de inversión legítimas, acuñaciones de NFT, o plataformas de rendimiento DeFi. Firman una transacción que parece rutinaria pero que en realidad otorga al atacante permiso de gasto ilimitado sobre los tokens de su billetera.

El atacante no necesita su clave privada. Ya tiene su permiso.

Lo que hace que el approval phishing sea particularmente insidioso es el retraso en el tiempo. Los atacantes a menudo esperan días o semanas antes de drenar las billeteras, lo que hace que sea casi imposible para las víctimas conectar la aprobación maliciosa con el robo. Para cuando los fondos desaparecen, las víctimas pueden haber firmado docenas de transacciones legítimas, enterrando la aprobación fraudulenta profundamente en su historial de transacciones.

Según el Informe de Delitos Criptográficos 2026 de Chainalysis, el approval phishing y el abuso de autorización siguen siendo los vectores de ataque dominantes en el ecosistema criptográfico. La técnica se escala eficientemente: una única campaña de phishing puede generar miles de aprobaciones maliciosas, y los atacantes pueden drenar billeteras según su propio cronograma.

Dentro de Operation Atlantic: Un Sprint de Una Semana

Operation Atlantic no fue meses de investigación lenta. Fue diseñada como un sprint operativo concentrado, reuniendo agencias y socios del sector privado físicamente en la sede de la NCA en Londres.

Los participantes incluían:

  • Aplicación de la ley: Servicio Secreto de EE.UU., Agencia Nacional del Crimen del Reino Unido (NCA), autoridades canadienses
  • Análisis de blockchain: Chainalysis y TRM Labs proporcionaron rastreo de transacciones y agrupación de billeteras
  • Intercambios de criptografía: El equipo de Global Intelligence de Coinbase y Kraken contribuyeron con datos de intercambio, identificación de billeteras, y capacidades de congelación de fondos

La operación funcionó en tres fases:

Fase 1 — Identificación. Usando análisis de blockchain, los investigadores mapearon patrones de transacciones de approval phishing en múltiples cadenas. Identificaron más de 20,000 direcciones de billetera vinculadas a víctimas de fraude en más de 30 países.

Fase 2 — Intervención. En lugar de construir casos para futuro enjuiciamiento, el equipo priorizó la protección de víctimas en tiempo real. Más de 3,000 individuos identificados como activamente en riesgo fueron contactados directamente — advertidos de que sus billeteras habían sido comprometidas y guiados sobre cómo revocar aprobaciones maliciosas antes de que los atacantes pudieran drenar fondos restantes.

Fase 3 — Congelación. Trabajando con intercambios e emisores de stablecoins, $12 millones en fondos robados fueron congelados en puntos de salida donde los atacantes intentaban retirar dinero. $33 millones adicionales en flujos fraudulentos fueron mapeados y marcados para investigación en curso. Más de 120 dominios web utilizados por estafadores fueron identificados e interrumpidos.

El Cambio de Paradigma: De Post-Ataque a Pre-Drenaje

La línea de tiempo tradicional de investigación del crimen criptográfico se ve algo así: ocurre un hackeo, las víctimas reportan pérdidas semanas después, los investigadores pasan meses rastreando fondos, y para cuando los activos se congelan — si alguna vez lo hacen — la mayoría ha sido blanqueada a través de mezcladores, puentes, e intercambios en el extranjero.

Operation Atlantic comprimió esta línea de tiempo de meses a días. La innovación crítica no fue ninguna tecnología única sino el modelo operativo en sí: colocar en la misma habitación a aplicadores de la ley y analistas del sector privado, con acceso en tiempo real tanto a datos de blockchain como a sistemas de intercambio.

Esto importa porque las transacciones de blockchain son irreversibles pero no instantáneas en la capa de retirada de efectivo. Los atacantes aún necesitan convertir criptomonedas robadas a moneda fiat a través de intercambios, escritorios OTC, o redenciones de stablecoin. Ese punto de salida es donde la intervención es posible — pero solo si los investigadores pueden rastrear y congelar fondos más rápido de lo que los atacantes pueden moverlos.

El historial de Coinbase demuestra el potencial. Antes de Operation Atlantic, el equipo de Global Intelligence de Coinbase ya había ayudado al Servicio Secreto a incautar $225 millones en USDT de estafas de crianza de lechones, apoyó la recuperación de $28,6 millones de una campaña de phishing dirigida a más de 1,000 usuarios, y ayudó a desmantelar un anillo de crimen violento con $3,5 millones en fondos robados rastreados.

La Escala del Problema: Por qué Esto Importa Ahora

La congelación de $12 millones de Operation Atlantic es significativa no por su tamaño — es una fracción del crimen criptográfico total — sino por lo que prueba sobre la velocidad operativa. La urgencia es impulsada por la pura escala del problema:

  • $154 mil millones en flujos de criptomonedas ilícitas fueron registrados en 2025, un aumento año a año del 162% según Chainalysis
  • $17 mil millones fueron robados globalmente a través de estafas y fraude criptográfico en 2025
  • $2 mil millones fue robado por hackers vinculados a DPRK solamente en 2025
  • Las estafas habilitadas por IA son 4.5 veces más rentables que las estafas tradicionales, con estafas de suplantación aumentando más del 1,400% en 2025

La industrialización del crimen criptográfico se está acelerando. Las plataformas de phishing como servicio permiten que atacantes de bajo nivel desplieguen sofisticadas campañas de approval phishing. Los deepfakes generados por IA permiten la suplantación convincente de agentes de soporte de intercambios, fundadores de proyectos, e incluso funcionarios gubernamentales. Y a medida que el valor total bloqueado en DeFi crece, la superficie de ataque se expande.

Ante este telón de fondo, la pregunta no es si las asociaciones público-privadas funcionan — Operation Atlantic respondió eso. La pregunta es si pueden escalar.

¿Puede el Modelo Escalar? Desafíos por Delante

Operation Atlantic fue un éxito, pero también fue una excepción. Un sprint de una semana en la sede de la NCA con equipos dedicados de múltiples agencias y empresas es costoso y difícil de replicar continuamente. Varios desafíos estructurales permanecen:

Fragmentación de jurisdicción. El crimen criptográfico es inherentemente transfronterizo, pero los marcos legales para congelar activos, compartir inteligencia, y enjuiciar a los infractores varían dramáticamente según el país. Operation Atlantic tuvo éxito en parte porque se enfocó en naciones aliadas (EE.UU., Reino Unido, Canadá) con sistemas legales compatibles. Extender esto a jurisdicciones menos cooperativas con la aplicación de la ley occidental es mucho más difícil.

Velocidad vs. privacidad. La intervención en tiempo real requiere vigilancia en tiempo real de transacciones de blockchain y cuentas de intercambio. Esto crea tensión con defensores de la privacidad que argumentan que las mismas capacidades utilizadas para proteger víctimas pueden ser utilizadas para vigilancia financiera masiva. La persecución de Tornado Cash demostró cuán delgada puede ser la línea entre la aplicación contra el lavado de dinero y la criminalización de herramientas de privacidad.

Riesgo de centralización. Las capacidades de inteligencia de Coinbase crean un foso competitivo — los clientes institucionales confían en el intercambio que activamente recupera fondos robados. Pero críticos notan que concentrar capacidades de vigilancia en una empresa privada plantea preguntas sobre quién vigila a los vigilantes. Si Coinbase puede rastrear y congelar fondos, ¿qué impide que esas capacidades sean mal utilizadas?

Adaptación del atacante. Los atacantes sofisticados ya se están moviendo hacia cadenas de privacidad, puentes entre cadenas, e intercambios descentralizados que no tienen equipo de cumplimiento para llamar. Operation Atlantic principalmente congeló fondos en puntos de salida centralizados. A medida que la infraestructura DeFi madura y los atacantes encuentran más ramales de salida descentralizados, la ventana de intervención se estrecha.

La Carrera de Armas de Investigación Forense de Blockchain

Operation Atlantic no ocurrió en aislamiento. Se sitúa dentro de un ecosistema de investigación forense de blockchain que crece rápidamente:

  • Chainalysis ha recibido más de $130 millones en contratos gubernamentales acumulados y recientemente lanzó Agentes de Inteligencia de Blockchain impulsados por IA capacitados en más de 10 millones de casos
  • TRM Labs desplegó su Co-Case Agent para investigación de blockchain en lenguaje natural y apoyó directamente el trabajo analítico de Operation Atlantic
  • Coinbase recientemente se asoció con Microsoft para interrumpir Tycoon 2FA, una plataforma de phishing como servicio que impulsa el robo de credenciales a escala global

La convergencia de IA y análisis de blockchain está acelerando las capacidades de detección. Pero las mismas herramientas de IA que ayudan a los investigadores también están disponibles para los atacantes. La pregunta de si la defensa puede mantenerse al ritmo de la ofensiva permanece abierta.

Lo que es claro es que el modelo antiguo — espera por un hackeo, investigar durante meses, recuperar casi nada — es obsoleto. Operation Atlantic mostró que con el modelo operativo correcto, la intervención puede ocurrir en días en lugar de meses. El desafío ahora es hacer que eso sea la norma en lugar de la excepción.

Qué Pueden Hacer los Usuarios Hoy

Mientras operaciones a nivel institucional como Atlantic protegen víctimas a escala, los usuarios individuales pueden tomar pasos inmediatos para protegerse:

  1. Audita tus aprobaciones de tokens regularmente. Herramientas como Revoke.cash y el Token Approval Checker de Etherscan te permiten ver y revocar cualquier aprobación activa en tu billetera.
  2. Sé escéptico de cualquier transacción que se te pida firmar. Las plataformas legítimas rara vez requieren aprobaciones de tokens ilimitadas. Si una dApp solicita aprobación por más tokens de lo que requiere tu transacción, esa es una bandera roja.
  3. Usa billeteras hardware para tenencias significativas. Incluso si firmas una aprobación maliciosa, tener activos en una billetera hardware separada limita la exposición.
  4. Monitorea la actividad de tu billetera. Configura alertas a través de servicios que te notifiquen de transacciones salientes, para que puedas responder rápidamente si un atacante activa una aprobación inactiva.

Mirando Hacia Adelante: El Futuro de la Seguridad Criptográfica

Operation Atlantic representa un punto de inflexión en cómo la industria criptográfica aborda la seguridad. El cambio de investigación reactiva a intervención proactiva refleja lo que sucedió en el crimen financiero tradicional durante las últimas dos décadas — de investigación forense post-incidente a sistemas de detección de fraude en tiempo real que marcan transacciones sospechosas antes de que se liquiden.

Para la criptomoneda, esta evolución es vencida. La tecnología para rastrear transacciones de blockchain ha existido durante años. Lo que ha faltado es el marco operativo para actuar sobre esa inteligencia lo suficientemente rápido para importar. Operation Atlantic probó que ese marco puede funcionar. Ahora la industria — intercambios, firmas de análisis, reguladores, y aplicadores de la ley — debe decidir si invertir en hacerlo permanente.

Los $12 millones congelados en una sola semana son un número pequeño relativo a los $154 mil millones en flujos ilícitos anuales. Pero las 20,000 víctimas identificadas y las 3,000 personas advertidas antes de que sus fondos pudieran ser drenados representan algo más valioso que cualquier cifra en dólares: la prueba de que el ecosistema criptográfico puede proteger a sus usuarios, no solo después del hecho, sino en tiempo real.

BlockEden.xyz proporciona infraestructura de blockchain API y nodos de nivel empresarial para desarrolladores que construyen aplicaciones Web3 seguras y transparentes. A medida que la investigación forense de blockchain y la seguridad en cadena se convierten en infraestructura crítica, el acceso confiable a nodos y datos en tiempo real forman la base que hace posibles operaciones como Atlantic. Explora nuestro mercado de API para construir en infraestructura diseñada para la próxima era de seguridad blockchain.

Share on Twitter