Organización hacker de Corea del Norte roba 3 mil millones de dólares en Activos Cripto en 6 años

Recientemente, un informe publicado por una agencia de ciberseguridad reveló un hecho sorprendente: una organización de hackers relacionada con Corea del Norte ha logrado robar hasta 3000 millones de dólares en Activos Cripto en los últimos 6 años.

Según informes, solo en 2022, esta organización saqueó activos cripto por valor de 1,7 mil millones de dólares, y es muy probable que estos fondos se utilicen para apoyar diversos planes de Corea del Norte. Una empresa de análisis de datos de blockchain señaló que aproximadamente 1,1 mil millones de dólares fueron robados de plataformas de finanzas descentralizadas (DeFi). El Departamento de Seguridad Nacional de EE.UU. también enfatizó en un informe publicado en septiembre pasado la frecuente ataque de esta organización a los protocolos de DeFi.

Esta organización hacker es famosa por el robo de fondos. En 2016, infiltraron el Banco Central de Bangladés, robando 81 millones de dólares. En 2018, atacaron una plataforma de Activos Cripto en Japón, sustrayendo 530 millones de dólares, y robaron 390 millones de dólares del Banco Central de Malasia.

Desde 2017, Corea del Norte ha considerado la encriptación como uno de sus principales objetivos de ataque cibernético. Antes de esto, habían robado fondos de instituciones financieras a través de la toma de control de la red SWIFT. Este comportamiento ha llamado la atención de las instituciones internacionales, lo que ha llevado a las instituciones financieras a aumentar su inversión en defensa cibernética.

En 2017, con el auge de los Activos Cripto, los hackers de Corea del Norte cambiaron su enfoque de las finanzas tradicionales hacia este nuevo activo digital. Inicialmente, apuntaron al mercado de encriptación de Corea del Sur, y luego expandieron su influencia a nivel global.

En 2022, se acusó a hackers de Corea del Norte de robar aproximadamente 1,7 mil millones de dólares en Activos Cripto, una cifra equivalente a alrededor del 5% del tamaño de la economía nacional de Corea del Norte, o el 45% de su presupuesto militar. Esta cifra es casi 10 veces el total de las exportaciones de Corea del Norte en 2021.

Los métodos de operación de los hackers norcoreanos en la industria de Activos Cripto suelen ser similares a las técnicas tradicionales de crimen cibernético, como el uso de mezcladores de encriptación, transacciones entre cadenas y el comercio extrabancario de monedas fiduciarias. Sin embargo, debido al apoyo estatal, pueden ampliar sus robos a una escala que las pandillas de crimen cibernético tradicionales no pueden alcanzar.

Según el seguimiento de datos, aproximadamente el 44% de los Activos Cripto robados en 2022 están relacionados con las acciones de hackers norcoreanos.

Los objetivos de los ataques de los hackers norcoreanos no se limitan a los intercambios, sino que también incluyen a usuarios individuales, empresas de capital riesgo y otros tecnólogos y protocolos. Todas las instituciones y personas que operan en la industria de Activos Cripto pueden convertirse en objetivos potenciales, y estas acciones proporcionan al gobierno norcoreano un canal continuo para operar y recaudar fondos.

Los profesionales de la industria de la encriptación, los operadores de intercambios y los emprendedores deben ser conscientes de que pueden convertirse en objetivos de ataques de hackers. Las instituciones financieras tradicionales también deben prestar atención a las actividades de los grupos de hackers norcoreanos. Una vez que los Activos Cripto son robados y convertidos en moneda fiduciaria, los fondos se transfieren entre diferentes cuentas para ocultar su origen. Por lo general, las identidades robadas y las fotos modificadas se utilizan para eludir las leyes contra el lavado de dinero y la verificación de identidad del cliente.

Debido a que las intrusiones de los Hacker norcoreanos a menudo comienzan con actividades de ingeniería social y phishing, las organizaciones deben capacitar a sus empleados para monitorear este tipo de actividades e implementar una fuerte autenticación multifactor, como la autenticación sin contraseña que cumple con el estándar FIDO2.

Corea del Norte continuará viendo el robo de Activos Cripto como una fuente principal de ingresos para financiar sus proyectos militares y de armamento. Aunque actualmente no está claro cuántos de los Activos Cripto robados se utilizan directamente para financiar lanzamientos de misiles, la cantidad de Activos Cripto robados y el número de lanzamientos de misiles han aumentado significativamente en los últimos años. Sin regulaciones más estrictas, requisitos de ciberseguridad y una inversión en la ciberseguridad de las empresas de Activos Cripto, es casi seguro que Corea del Norte seguirá utilizando la industria de Activos Cripto como fuente de ingresos adicionales para el estado.

En julio de 2023, una empresa de software de Estados Unidos anunció que un hacker apoyado por Corea del Norte había ingresado a su red. Los investigadores luego publicaron un informe, señalando que el grupo responsable de este ataque probablemente era una organización de hackers norcoreanos enfocada en la encriptación de Activos Cripto. Hasta agosto de 2023, el FBI emitió un comunicado indicando que la organización de hackers de Corea del Norte estuvo involucrada en múltiples ataques, robando un total de 197 millones de dólares en Activos Cripto. Estos fondos permitieron al gobierno norcoreano continuar operando bajo estrictas sanciones internacionales y financiar hasta el 50% de los costos de su programa de misiles balísticos.

En 2017, hackers de Corea del Norte infiltraron varias casas de cambio de Corea del Sur, robando activos cripto por un valor de aproximadamente 82.7 millones de dólares. En julio de ese mismo año, tras la filtración de la información personal de un usuario de una casa de cambio, los usuarios de activos cripto también se convirtieron en objetivo de los ataques.

Además de robar Activos Cripto, los hackers norcoreanos también aprendieron a minar Activos Cripto. En abril de 2017, los investigadores descubrieron que un software de minería de Monero había sido instalado en la intrusión de la organización hacker. En enero de 2018, investigadores surcoreanos anunciaron que una organización norcoreana había infiltrado el servidor de una empresa en el verano de 2017 y había usado para minar alrededor de 70 Moneros, que en ese momento tenían un valor de aproximadamente 25,000 dólares.

En 2020, los investigadores de seguridad continuaron informando sobre nuevos ataques cibernéticos de hackers norcoreanos dirigidos a la industria de Activos Cripto. Los grupos de hackers norcoreanos atacaron intercambios de Activos Cripto en varios países y utilizaron LinkedIn como una forma de contacto inicial con los objetivos.

2021 fue el año más activo para Corea del Norte en la industria de Activos Cripto, ya que hackearon al menos 7 instituciones de Activos Cripto y robaron encriptación por un valor de 400 millones de dólares. Además, los hackers norcoreanos comenzaron a apuntar a monedas alternativas, incluyendo tokens ERC-20, así como NFTs.

En enero de 2022, los investigadores confirmaron que desde 2017 aún hay 170 millones de dólares en Activos Cripto pendientes de canje.

En 2022, los ataques notables del grupo de hackers de Corea del Norte incluyeron múltiples puentes entre cadenas, con pérdidas totales que superan los 900 millones de dólares. Estos ataques se dirigieron especialmente a los puentes entre cadenas que conectan dos blockchains, permitiendo a los usuarios enviar una moneda de una blockchain a otra que contiene diferentes Activos Cripto.

En octubre de 2022, la Agencia de Policía de Japón anunció que un grupo de hackers norcoreanos había llevado a cabo ataques contra empresas del sector de Activos Cripto que operan en Japón. Aunque no se proporcionaron detalles específicos, la declaración indicó que algunas empresas sufrieron intrusiones exitosas y que monedas fueron robadas.

Entre enero y agosto de 2023, se alega que un grupo de hackers de Corea del Norte robó 200 millones de dólares de múltiples plataformas. En uno de los ataques, los hackers podrían haberse hecho pasar por reclutadores, enviando correos electrónicos de reclutamiento y mensajes de LinkedIn dirigidos a empleados de la empresa objetivo. La empresa declaró que los hackers pasaron 6 meses intentando obtener acceso a su red.

Para prevenir los ataques cibernéticos de Corea del Norte dirigidos a usuarios y empresas de Activos Cripto, los expertos han propuesto las siguientes recomendaciones:

1. Habilitar la autenticación multifactor (MFA): usar dispositivos de hardware, como YubiKey, para las billeteras y transacciones, para mejorar la seguridad.

2. Habilite cualquier configuración de MFA disponible para los Activos Cripto intercambios, para proteger al máximo la cuenta contra inicios de sesión no autorizados o robos.

3. Verifica las cuentas de redes sociales verificadas, comprueba si el nombre de usuario contiene caracteres especiales o números que reemplazan letras.

4. Asegúrate de que la transacción solicitada sea legal, verifica cualquier airdrop u otra actividad promocional de Activos Cripto o NFT gratuita.

5. Al recibir airdrops u otros contenidos de plataformas grandes, siempre verifica la fuente oficial.

6. Siempre verifica la URL y observa la redirección después de hacer clic en el enlace, asegurándote de que el sitio web sea el sitio oficial y no un sitio de phishing.

Para las estafas en redes sociales, hay los siguientes consejos de defensa:

1. Sea especialmente cauteloso al realizar transacciones de Activos Cripto. Los activos de Activos Cripto no cuentan con ninguna garantía institucional para mitigar el fraude "tradicional".

2. Utiliza una billetera de hardware. Las billeteras de hardware pueden ser más seguras que las "billeteras calientes" que siempre están conectadas a Internet.

3. Utiliza únicamente aplicaciones descentralizadas (dApps) de confianza y verifica la dirección del contrato inteligente para confirmar su autenticidad e integridad.

4. Verifica dos veces la URL del sitio web oficial para evitar imitaciones. Algunas páginas de phishing que roban activos cripto pueden depender de errores de ortografía en el nombre de dominio para engañar a los usuarios.

5. Desconfía de las ofertas que parecen demasiado buenas para ser verdad. Las páginas de phishing para el robo de Activos Cripto atraerán a las víctimas con tarifas de Gas bajas para interacciones de acuñación de NFT o con tasas de cambio favorables de Activos Cripto.