Tras el mayor robo de la historia en el mercado cripto, se empiezan a esclarecer los hechos sobre lo que ocurrió el pasado viernes. En primer lugar, hay evidencias de que Lazarous Group, un grupo de ciberdelincuentes patrocinado por Corea del Norte, está detrás del hackeo. Estos atacantes son los más peligrosos, ya que el año pasado robaron el 60% de todas las criptos sustraídas y este año ya han dado el mayor golpe de la historia, llevándose casi 1.500 millones de dólares en ether. Los hackers accedieron a la cartera de la plataforma Bybit, sacaron el botín y ahora está moviendo los fondos para intentar ocultarlos en la blockchain.
Primero, hay que entender que estos hackers conforman el mayor grupo de delincuentes que opera en el mercado de las criptomonedas. El año pasado robaron 1.340 millones de dólares en criptos, el doble que el año anterior, el 60% de todo el volumen robado y siendo responsables de uno de cada cinco incidentes, según los datos de la firma especializada en el rastreo de la blockchain Chainalysis. Este curso ya han superado todo lo robado en 2024 con el ataque a Bibyt. Las cifras ponen de manifiesto el papel que ocupan en el escenario de criminalidad cripto. Cuentan con la ventaja de estar apoyados y patrocinados por la República Popular Democrática de Corea (RPDC). Es decir, por el régimen de Kim Jong-un.
"Los hackers vinculados a Corea del Norte son conocidos por su sofisticada e implacable actividad. Suelen usar malware avanzado, recurrir a los ataques de tipo ingeniería social y al robo de criptomonedas para financiar operaciones del Estado norcoreano y sortear las sanciones internacionales", explica la misma firma.
El robo a Bybit
Lazarous Group no solo ha dado su mayor golpe, sino que ha protagonizado el mayor robo jamás perpetrado en el mercado de las criptomonedas. La propia Bybit, la segunda plataforma de intercambio de criptos del sector, lo califica como una de las mayores brechas de seguridad en la historia financiera. Ahora se empiezan a esclarecer los hechos, ya que hay forenses y empresas especializadas en este ámbito que están trabajando para rastrear su actividad e intentar recuperar los fondos.
Los hackers han recurrido a un tipo de ataque de ingeniería social, una táctica que se basa en la manipulación psicológica para acceder a un sistema. Por ejemplo, usurpando la identidad de un contacto, de las autoridades o falsificando correos y notificaciones que se hacen pasar por oficiales. La víctima cae en la trampa y comparte sus datos, contraseñas, cuentas bancarias o cualquier información sensible. Los ciberdelincuentes recurren a estas acciones porque así no tienen que derribar los mecanismos de seguridad de cada sistema, sino que es la propia víctima la que cede su información sin ser consciente de ello. Con los datos robados, el delincuente suplanta la identidad del usuario al que han atacado para operar en su nombre, implanta un programa maligno en su ordenador o ambas.
Los hackers hicieron precisamente eso, accediendo a la interfaz de Bybit con la información robada y sustituyendo después la firma de las operaciones en la cartera por un programa malicioso. "Los atacantes fueron capaces de acceder sin autorización a la cartera y engañar a los firmantes para que aprobaran una operación maliciosa", explica Bybit en un comunicado. Así, pudieron interceptar una operación habitual, en la que una cartera de la compañía enviaba fondos a otra de sus carteras. En concreto, se estaban moviendo 401.000 tokens de Ethereum o casi 1.500 millones de dólares.
Después, empezaron a mover los fondos por toda la red blockchain y a dispersar su rastro a través de direcciones intermediarias. Además, convirtieron los ethers en otras criptomonedas, como bitcoin o dai, para intentar lavar el dinero y seguir moviéndolo entre distintas plataformas y redes. Por último, dejan los fondos intactos hasta que la atención se desplace e intentan lavar el dinero cuando haya menos presión sobre ellos.
Hay que recordar que todas las transacciones de la blockchain quedan registradas, algo que tiene sus ventajas y sus inconvenientes. Aunque se pueden rastrear todos los movimientos, lo que aporta transparencia, se acumula una cantidad ingente de operaciones. Por eso, intentan camuflar sus pasos en el mar de la blockchain para poder sacar los fondos a plataformas centralizadas, fuera del escrutinio público.
De momento, se han conseguido bloquear 40 millones de dólares que se estaban intentando mover por la blockchain, según Chainalysis, que está colaborando en la recuperación de los fondos. Las compañías de criptomonedas o blockchain están trabajando con Bybit para rastrear las transacciones e intentar que no se mueva en determinadas blockchains. La plataforma ofrece una comisión del 10% por las cantidades recuperadas.
Infiltrados de Corea del Norte
Más allá de la operación contra Bybit, los hackers norcoreanos recurren a sofisticadas estrategias para robar. Una de ellas es infiltrarse en compañías de criptomonedas o de blockchain, haciéndose pasar por empleados de tecnología y sorporte y aplicando a puestos de trabajo. El año pasado, el Gobierno estadounidense identificó a 14 norcoreanos infiltrados en empresas estadounidenses que trabajaban en remoto desde Corea del Norte, pero que en realidad eran ciberdelincuentes.
Criptos y la alianza Rusia-Corea del Norte
El régimen de King Jong-un patrocina a estos hackers y la comunidad internacional considera que las criptomonedas robadas se usan para financiar las armas de destrucción masiva y en misiles balísticos, lo que pone en peligro la seguridad global, explica el informe de criptocrimen de Chainalysis. De hecho, sus movimientos a lo largo de los años dejan varias conclusiones. El año pasado, Corea del Norte y Rusia llegaron a un acuerdo de defensa mutuo. El verano pasado, en junio, Putin liberó activos norcoreanos congelados por la rama militar de Naciones Unidas y Pionyang mandó tropas a Ucrania, como parte de su colaboración en el ámbito de la defensa.
Esto encaja con la delincuencia de Lazarous Group, ya que en el primer semestre de 2024 robó la mayoría de las criptomonedas que sustrajo durante todo el año y, a partir de julio, moderó su actividad. Esto coincide justo con el acuerdo con Rusia, ya que el país soviético liberó fondos congelados y se redujo la actividad delictiva de los hackers, que ya habían conseguido dinero colaborando con Putin.
Imaginación para robar
Antes de que existieran los activos digitales, Corea del Norte ya recurría a métodos ilegales para financiarse y nunca le ha faltado imaginación. En 1989 se detectó una primera falsificación de un billete de 100 dólares estadounidenses, en realidad fabricado por el régimen. Aunque el ejemplar se detectó en el Banco Central de Filipinas y pasó los test de autenticidad, un funcionario vio algo raro y lo envió a los servicios secretos de EEUU. El FBI inició una investigación, incluso con agentes infiltrados en bandas criminales, y corroboró que esos billetes clonados circulaban por medio mundo. Eran tan parecidos y prácticamente mejores que los originales, que se llamaron superdólares.
El régimen es experto en falsificación y, a lo largo de los años, ha hecho contrabando con todo tipo de productos. Incluso, con Viagra falsa "made in USA".
