Durante la última década, el régimen de Corea del Norte ha conseguido sustraer más de 6.000 millones de dólares en criptomonedas, según acusan distintas agencias de inteligencia y organizaciones.

Los informes aseguran que los hackers norcoreanos recurren a distintos métodos para conseguir sus objetivos.

Esto incluye desde acudir a técnicas para entrar a los ordenadores de empresas hasta revisar detenidamente las cuentas de redes sociales de sus empleados, para así inventar historias que parezcan creíbles y que lleven a que hagan clic en enlaces que contienen virus.

Según se acusa, algunos hackers vinculados a Pyongyang incluso han simulado ser trabajadores, para que empresas estadounidenses los contraten vía remota y puedan entrar a sus redes internas.

Entre los ciberataques recientes que se han atribuido a agentes norcoreanos se encuentra el robo a WazirX, la mayor plataforma de intercambio de criptomonedas de la India.

En julio de 2024, demoraron poco más de una hora en sustraer más de 200 millones de dólares de su bóveda virtual.

Los investigadores presumen que, en ese caso, utilizaron algoritmos para distribuir fondos a través de redes globales de criptomonedas, a una velocidad tan alta que sugiere el uso de automatización.

Después de distribuir los activos, tienden a mantener un perfil bajo hasta que los investigadores pierden el interés.

De esta manera, según se afirma, pueden esperar meses o incluso años para convertir su botín en dinero convencional que pueda gastarse.

Pero el mayor robo de criptomonedas que se haya registrado se dio en febrero de este año, cuando un ciberataque contra Bybit contempló la sustracción de 1.500 millones de dólares.

En dicho caso, también se reportó que hackers patrocinados por Corea del Norte estaban detrás de la ofensiva informática.

De acuerdo a un informe de la empresa estadounidense de análisis de blockchain, Chainalysis, hackers norcoreanos sustrajeron más de 6 dólares de cada 10 dólares perdidos por la industria de las criptomonedas en 2024.

De acuerdo a investigadores occidentales y de países opositores a Pyongyang, el régimen de Kim Jong Un utiliza el dinero obtenido con los ciberataques para financiar parte de sus políticas gubernamentales y su programa nuclear.

Se trata de ingresos clave, ya que el país asiático es afectado por múltiples sanciones internacionales que dificultan que pueda obtener fondos por otras vías.

Corea del Norte dirige a más de 8.000 hackers como si fueran una unidad militar, según datos rescatados por el Wall Street Journal.

Y aunque sus autoridades no se han referido públicamente a los últimos ataques informáticos que les han atribuido, sí han negado su participación en otros previos.

Entre estos se encuentran uno a Sony Pictures Entertainment en 2014, el robo de 81 millones de dólares al Banco Central de Bangladesh en 2016 y el ataque de ransomware WannaCry en 2017.

De acuerdo a los funcionarios estadounidenses e investigadores de distintas organizaciones, los hackers norcoreanos dejan rastros digitales que reflejan su culpabilidad en casos de ciberataques y robos de criptomonedas.

Cómo Corea del Norte ha conseguido miles de millones de dólares en criptomonedas

Los hackers norcoreanos utilizan diferentes métodos para robar criptomonedas.

En el caso del ciberataque a WazirX, el episodio se dio cuando funcionarios de la firma realizaban una operación de rutina: debían transferir 625.000 dólares en criptomonedas desde una bóveda digital hacia una “billetera caliente”, utilizada para procesar transacciones y retiros de clientes.

Para hacer esa transferencia se requirió de la aprobación de tres funcionarios de la compañía y un proveedor de servicios externos.

Una vez que se hicieron las aprobaciones, los hackers encontraron una forma para tomar el control de la bóveda digital y sacaron todo el dinero que contenía, es decir, más de 200 millones de dólares.

Luego, los distribuyeron rápidamente sin ser detectados. Concretaron más de 400 transacciones en poco más de una hora.

Hasta el momento, no se ha detallado públicamente cómo los hackers accedieron a la bóveda digital de WazirX ni cómo modificaron las aprobaciones para tomar el control.

Sin embargo, los especialistas advierten que hay distintos mecanismos mediante los cuales pueden concretar el robo de criptomonedas en diferentes magnitudes.

El subgerente de Operacional y Seguridad de Zenta Group, Zady Parra, explica a La Tercera que “uno de los métodos más frecuentes utilizados por los atacantes es el phishing avanzado, específicamente el spear phishing”.

“Estos ataques consisten en enviar correos electrónicos personalizados dirigidos a empleados de exchanges, desarrolladores de criptomonedas o usuarios individuales”.

“Los atacantes suelen hacerse pasar por entidades legítimas, como reclutadores de empleo, empresas de seguridad o proveedores de actualizaciones de software. Al hacer clic en los enlaces maliciosos incluidos en estos correos, las víctimas pueden descargar malware o ver comprometidas sus credenciales”.

Otro método común es “la explotación de vulnerabilidades en plataformas DeFi o de software”, agrega Parra.

En estos casos, los atacantes “identifican fallos en contratos inteligentes o protocolos DeFi, como errores en validaciones o configuraciones incorrectas de permisos”, para luego automatizar transferencias de fondos hacia billeteras que están bajo su control.

A modo de ejemplo, el experto comenta que “un caso emblemático es el ataque a la red Ronin de Axie Infinity en 2022, cuando el grupo Lazarus robó más de 600 millones de dólares explotando debilidades en los nodos de validación”.

El grupo Lazarus también está vinculado a Corea del Norte, según han acusado agencias de inteligencia occidentales.

Según Parra, los ataques de tipo “watering hole” también son utilizados por los hackers.

“Comprometen sitios web frecuentados por desarrolladores o empleados del sector cripto. Estos sitios se infectan con malware que se activa cuando un usuario los visita, poniendo en peligro los sistemas de las víctimas”, explica.

“Además, la ingeniería social combinada con aplicaciones falsas es otro método de ataque. Distribuyen aplicaciones fraudulentas, como wallets o herramientas de trading, que contienen puertas traseras para acceder a los dispositivos de los usuarios. También crean proyectos en plataformas como GitHub, que contienen código malicioso capaz de infectar al desarrollador cuando lo clona”, añade el experto.

El especialista en Ciberseguridad de NIVEL4, Cristian Farías, asegura a La Tercera que “los hackers norcoreanos son conocidos por realizar ataques de ingeniería social avanzados”.

“En campañas de phishing dirigido, como en estos casos, apuntan a gente con cargos altos en empresas asociadas a criptomonedas, con el fin de obtener un acceso privilegiado o de ejecutar malware en el computador de la víctima. Esto puede ser realizado a través de comunicaciones por LinkedIn, correo electrónico o incluso aplicaciones como WhatsApp”.

“Posteriormente, abusan de dicho privilegio para modificar el funcionamiento de las aplicaciones web utilizadas. Por ejemplo, en el caso de Bybit, modificaron el funcionamiento del portal web para autorizar transacciones fraudulentas destinadas a billeteras controladas por los autores del ataque, sin pasar por los mecanismos de seguridad requeridos por la organización”.

Realizar ataques contra los desarrolladores de las empresas puede contribuir a que los atacantes puedan alterar los sistemas desde su interior.

Farías explica que “lo que hemos visto en estos ataques es que los actores de amenaza norcoreanos usan archivos JavaScript maliciosos, que les permiten ejecutar acciones sin autorización del dueño de un sitio o aplicación”.

“Acá se guarda la orden de robar, alterar datos, o, como en este caso, autorizar una transacción fraudulenta sin requerir mecanismos de seguridad implementados por la empresa”.

De acuerdo al experto de NIVEL4, “los mecanismos de defensa actuales no están preparados para ataques sofisticados de este tipo, sino más bien a ataques dirigidos a personas”.

“Por eso es importante que las personas que manejen billeteras de criptomonedas en sus computadores, implementen soluciones de seguridad robustas como antivirus y que las mantengan actualizadas”, agrega.

Con el objetivo de ocultarse o evitar ser detectados, los atacantes suelen recurrir a múltiples “capas de anonimato”, detalla Parra, “redirigiendo el tráfico a través de VPNs, proxies o la red Tor”.

Aún así, sus movimientos pueden dejar huellas digitales que posteriormente son seguidas por los investigadores y que permiten, en ciertos casos, determinar cuál es el potencial origen del ciberataque.

Cómo Corea del Norte organiza sus operaciones de ciberataque

Funcionarios surcoreanos han asegurado que las operaciones de ciberataque de Corea del Norte comprenden a seis grupos y alrededor de una docena de organizaciones de apoyo.

Afirman que los jóvenes que demuestran habilidades para las matemáticas y las ciencias son reclutados a una temprana edad, para así empezar a recibir entrenamiento.

De esta manera, potencian su talento bajo estrictas normativas, en las cuales incluso están sujetos a castigos físicos.

No obstante, estos individuos viven con mayor comodidad que la mayoría de los norcoreanos, según relató al Journal la coautora de un informe de PScore, Elma Duval.

Dicho grupo de defensa con sede en Seúl ha tenido entrevistas con extrabajadores norcoreanos del área de tecnologías de la información.

Se estima que Corea del Norte requiere de alrededor de 6.000 millones de dólares al año para financiar sus actividades gubernamentales y su programa nuclear, por lo que sus operaciones de ciberataques son sustanciales para el régimen.

En septiembre de 2024, el FBI emitió una advertencia sobre hackers norcoreanos que investigaban empresas asociadas con fondos cotizados en bolsa (ETF) que mantienen criptomonedas en lugar de acciones.

Cifras rescatadas por el Journal detallan que este segmento del mercado financiero atrajo alrededor de 37.000 millones de dólares en entradas netas el año pasado.

El FBI advirtió que los hackers de Corea del Norte suelen dirigirse a personas que trabajan en el sector de las criptomonedas y buscan información sobre ellas en redes sociales y sitios web.

Así, orquestan escenarios ficticios que parecen creíbles, tales como ofertas de trabajo, para hacerlos caer en estafas y obtener sus accesos a los sistemas.

En diciembre del año pasado, un tribunal de Estados Unidos acusó formalmente a 14 ciudadanos norcoreanos por el presunto uso de identidades falsas, robadas o prestadas de ciudadanos estadounidenses, para obtener trabajos remotos en empresas y organizaciones sin fines de lucro estadounidenses.

Se presume que los autodenominados “guerreros informáticos” embolsaron al menos 88 millones de dólares en salarios para el régimen de Pyongyang.