Ataque cibernético a Steakhouse Financial repelido, los activos de los clientes permanecen intactos
En un descarado exploit de ingeniería social, los piratas informáticos secuestraron temporalmente el sitio web de Steakhouse Financial el 30 de marzo de 2026, dirigiendo a los usuarios a una página de phishing maliciosa. Al manipular al personal de soporte de OVHcloud, los atacantes lograron eludir medidas de seguridad críticas, explotando una vulnerabilidad que les permitió hacerse pasar por el propietario de la cuenta y proporcionar datos personales de manera convincente para pasar el proceso de verificación por teléfono. Esto engañó a un agente de soporte de OVH para que deshabilitara la autenticación de dos factores basada en hardware de la cuenta, otorgando a los atacantes acceso ilimitado.
Al obtener acceso, los piratas informáticos implementaron rápidamente scripts automatizados, eliminando todos los dispositivos de autenticación secundarios y activando los suyos propios en cuestión de segundos, una clara indicación de una operación cuidadosamente premeditada. Luego, los atacantes redirigieron hábilmente los servidores de nombres del dominio a sus propios servidores y reconfiguraron los registros A del sitio para apuntar a una versión falsificada del sitio web de Steakhouse, inteligentemente alojado en Hostinger. Este sitio clonado estaba equipado con un malware de drenaje de billetera vinculado al famoso Inferno Drainer, un equipo de drenaje como servicio.
Para legitimar aún más el sitio de phishing, los atacantes adquirieron rápidamente certificados Let's Encrypt TLS, lo que hizo que el sitio fuera prácticamente indistinguible del sitio web auténtico de Steakhouse para los navegadores web estándar. Sin embargo, las extensiones de billetera de Phantom, MetaMask y Rabby rápidamente marcaron el sitio como malicioso, haciendo sonar la alarma de forma independiente.
El equipo de Steakhouse Financial entró en acción al detectar una notificación de cambio de correo electrónico no autorizado a las 08:47 UTC y se puso rápidamente en contacto con OVH para informar del incidente. El sitio de phishing entró en funcionamiento poco después, a las 09:59 UTC, lo que llevó al equipo a emitir una advertencia pública en X a las 10:34 UTC. La Alianza de Seguridad (SEAL) se reclutó rápidamente a las 11:25 UTC, mientras el ataque aún estaba en progreso.
Trabajando incansablemente en múltiples frentes, el equipo abordó la recuperación de cuentas, el análisis forense de DNS y la cancelación de transferencias. Los atacantes habían iniciado una transferencia de dominio saliente, pero el bloqueo de transferencias de cinco días de la ICANN proporcionó al equipo una ventana crucial para cancelar la transferencia. El equipo contactó directamente a Hostinger, quien posteriormente confirmó que la cuenta infractora había sido congelada y cerrada. A las 12:56 UTC, el equipo había recuperado con éxito el control de la cuenta de OVH y los servicios DNS se habían restablecido por completo aproximadamente a las 13:55 UTC.
Posteriormente, Steakhouse Financial confirmó que todos los dominios eran seguros para usar el 1 de abril. Desde entonces, la compañía ha tomado medidas proactivas, migrando a un registrador que admite autenticación multifactor de clave de hardware y bloqueos a nivel de registrador, además de implementar un sistema de monitoreo DNS continuo para vigilar atentamente todos los dominios de Steakhouse en tiempo real. Además, se está estableciendo un proceso integral de revisión de la seguridad de los proveedores en todos los proveedores de la cadena de suministro.
Adrian Cachinero Vasiljevic, socio responsable de operaciones de Steakhouse Financial, emitió una disculpa personal, reconociendo que identificar este vector de ataque era su responsabilidad y prometiendo impulsar los esfuerzos de refuerzo de la seguridad en el futuro. El incidente sirve como un claro recordatorio de la evolución de las amenazas en el panorama criptográfico y la importancia de medidas de seguridad sólidas para protegerse contra ataques sofisticados de ingeniería social.