El 21 de febrero parecía un día normal para Ben Zhou, CEO de ByBit, una reconocida bolsa de criptomonedas con sede en Dubái. Antes de irse a dormir, aprobó una transferencia interna de fondos, algo rutinario para una plataforma que gestiona activos de más de 60 millones de usuarios en todo el mundo. Pero apenas media hora después, recibió una llamada que cambió todo.
“Ben, hay un problema”, le dijo su director financiero, con voz temblorosa. “Puede que nos hayan pirateado... todo el Ethereum ha desaparecido”.
La investigación no tardó en arrojar un culpable conocido: Corea del Norte. Los hackers del régimen de Kim Jong-un se han consolidado como una de las mayores amenazas para el mundo cripto, utilizando estos robos para financiar programas de misiles, evadir sanciones internacionales y mantener contentas a las élites del país.
En 2023, estos piratas informáticos se hicieron con 661 millones de dólares en criptomonedas. Un año después, esa cifra se duplicó: 1.340 millones de dólares robados en 47 ataques distintos, representando más del 60% del total mundial de fondos cripto sustraídos.
El ataque a ByBit marcó un nuevo nivel de audacia y sofisticación: en un solo golpe, los hackers norcoreanos se llevaron el equivalente a 1.500 millones de dólares, el mayor robo de criptomonedas registrado hasta la fecha.
Pero, ¿cómo lograron burlar las medidas de seguridad de una plataforma tan grande? ¿Qué tácticas emplean para llevar a cabo estos robos millonarios?
El meticuloso plan detrás del robo de criptomonedas norcoreano
El éxito de Corea del Norte en el robo de criptomonedas no es casualidad; es el resultado de décadas de preparación. Desde los años 80, el país empezó a formar especialistas en informática, enviando a sus estudiantes más talentosos a escuelas especiales en lugar de obligarlos a cumplir con el trabajo agrícola anual, según Thae Yong Ho, un exdiplomático norcoreano que desertó en 2016.
El régimen de Kim Jong-un lleva tiempo entendiendo el valor de la tecnología como arma. Después de la Guerra del Golfo, se hizo evidente que el control de las redes digitales sería clave en la guerra moderna. Lo que empezó como una estrategia para el espionaje y el sabotaje, terminó evolucionando en una maquinaria cibernética especializada en ciberdelincuencia. De hecho, se dice que Kim ve la ciberguerra como su “espada multiusos”.
El robo de criptomonedas sigue un proceso bien planeado que se divide en dos grandes fases. La primera es la infiltración. Aquí es donde los hackers se las ingenian para colarse en los sistemas de sus objetivos, algo parecido a encontrar un túnel secreto que lleva directo a la bóveda de un banco. Para lograrlo, usan técnicas como el phishing, enviando correos electrónicos fraudulentos que instalan malware en los dispositivos.
También son expertos en engañar a trabajadores del sector cripto. Se hacen pasar por reclutadores y convencen a desarrolladores de software para que descarguen archivos infectados durante supuestas entrevistas de trabajo. Incluso llegan a conseguir empleos remotos en empresas extranjeras usando identidades falsas, lo que les da acceso directo a información valiosa.
En el caso del ataque a ByBit, los hackers lograron infiltrarse a través del ordenador de un desarrollador que trabajaba para un proveedor de software de billeteras digitales.
La segunda fase es el lavado del dinero robado. Aquí los hackers reparten las criptomonedas en múltiples billeteras digitales, las mezclan con fondos legítimos y las mueven entre diferentes criptodivisas en un proceso conocido como “mezcla” y “salto de cadena”. Esta táctica les permite borrar el rastro del dinero y dificultar que las autoridades sigan su pista.
“Son los blanqueadores de criptomonedas más sofisticados con los que nos hemos encontrado”, asegura Tom Robinson, de Elliptic, una firma especializada en análisis de blockchain. El paso final es convertir esas criptomonedas en efectivo, completando así uno de los procesos de robo digital más complejos y efectivos que existen hoy en día.
Podría interesarte leer: Protección Ante Cryptojacking: Resguarda tus Recursos
El poder del talento norcoreano y su impacto en el cibercrimen
Una red cada vez más amplia de servicios clandestinos (muchos de ellos ligados a la delincuencia organizada china) facilita que Corea del Norte convierta sus criptomonedas robadas en efectivo. Aunque las comisiones y las intervenciones de las autoridades reducen parte del botín, el régimen de Kim Jong-un sigue llevándose una gran tajada. “Definitivamente reciben el 80%, tal vez hasta el 90% de lo que roban”, explica Nick Carlsen, exanalista del FBI y ahora parte de TRM Labs, una firma especializada en inteligencia blockchain.
Corea del Norte cuenta con varias ventajas clave para este tipo de operaciones. Una de las más sorprendentes es su talento humano. A pesar de ser uno de los países más pobres del mundo, con ciudadanos que apenas tienen acceso a internet o a computadoras, el régimen ha sabido identificar a sus mejores mentes y ponerlas a trabajar. “Corea del Norte selecciona a sus cerebros más brillantes y les dice exactamente qué hacer”, comenta Kim Seung-joo, de la Universidad de Corea en Seúl. “No tienen que preocuparse de que se vayan a trabajar a Samsung”.
El país incluso ha demostrado que su talento tecnológico está a la altura de los mejores. En 2019, un equipo de estudiantes norcoreanos quedó en octavo lugar en el prestigioso Concurso Internacional de Programación Colegial, superando a universidades como Cambridge, Harvard y Stanford.
Pero este talento no se limita solo a la destreza técnica; los hackers norcoreanos también se caracterizan por su audacia. Mientras que muchos grupos estatales intentan ser discretos, moviéndose en las sombras como en una película de Ocean’s 11, Corea del Norte no se preocupa por mantener un perfil bajo.
Para el régimen de Kim Jong-un, las criptomonedas robadas se han convertido en un salvavidas financiero, especialmente desde que las sanciones internacionales y la pandemia golpearon su ya limitada economía. De hecho, el Grupo de Expertos de la ONU informó que, en 2023, el robo cibernético representó la mitad de los ingresos en divisas del país.
El impacto es enorme: el dinero obtenido de estos ataques superó en más de tres veces el valor de las exportaciones norcoreanas a China ese mismo año.
Podría interesarte leer: Grupo de Hackers Lazarus: Amenazas Cibernéticas Norcoreanas
El desafío de frenar la ciberdelincuencia norcoreana
Los expertos en criptomonedas están mejorando cada vez más en rastrear los fondos robados dentro de la blockchain. Las principales plataformas de intercambio y los emisores de monedas estables suelen colaborar con las autoridades para congelar esos activos cuando logran detectarlos. En 2023, Estados Unidos, Japón y Corea del Sur anunciaron un esfuerzo conjunto para combatir la ciberdelincuencia norcoreana, y el gobierno estadounidense ha impuesto sanciones a varios servicios de "mezcla" que el régimen de Kim Jong-un solía usar para lavar dinero.
Pero, pese a estos avances, las autoridades siguen yendo un paso atrás. Cada vez que bloquean uno de sus métodos, los hackers norcoreanos simplemente cambian de táctica. Cuando Estados Unidos sancionó sus mezcladores favoritos, ellos migraron rápidamente a otros servicios similares.
Enfrentar este problema requiere una colaboración sólida entre gobiernos y empresas privadas, pero esa cooperación se ha debilitado. El año pasado, Rusia utilizó su derecho de veto en la ONU para reducir el alcance del Grupo de Expertos de la ONU, encargado de vigilar las actividades del régimen norcoreano. Además, los recortes presupuestarios durante el mandato de Donald Trump afectaron programas clave para mejorar la ciberseguridad en países vulnerables, dificultando aún más la lucha contra estos ataques.
Mientras tanto, Corea del Norte no se detiene. Al contrario, está invirtiendo aún más recursos en su ejército de ciberdelincuentes. Según los servicios de inteligencia surcoreanos, su equipo de hackers creció de 6.800 personas en 2022 a 8.400 en el último año. A medida que la industria cripto se expande en países con poca regulación, los piratas informáticos tienen cada vez más objetivos vulnerables. “Corea del Norte tiene ahora un campo de ataque mucho más amplio”, advierte Abhishek Sharma, de la Observer Research Foundation, un centro de estudios en la India. De hecho, en 2023, los hackers norcoreanos atacaron plataformas de intercambio en India e Indonesia.
Además, se sabe que Corea del Norte ya está utilizando inteligencia artificial para potenciar sus operaciones. Estas herramientas les permiten crear correos electrónicos de phishing más sofisticados, creíbles y en múltiples idiomas, aumentando sus probabilidades de éxito. También facilitan que los ciberdelincuentes se infiltren en empresas tecnológicas haciéndose pasar por trabajadores remotos.
