Bitrefill sufre ciberataque: investigan vínculo con el grupo Lazarus

El 1 de marzo, el cripto-e-commerce Bitrefill sufrió un ciberataque dirigido. Según la empresa, el ataque tiene similitudes con las tácticas del conocido grupo de hackers norcoreano Lazarus.

La intrusión, que ocurrió el 1 de marzo, fue anunciada por Bitrefill a través de X. Los hackers accedieron a los sistemas internos al infectar con malware la computadora portátil de un empleado. Emplearon técnicas avanzadas, como el uso de IP y correos electrónicos reutilizados y el análisis de transacciones en blockchain.

Hackers roban criptomonedas y acceden a datos de compras

Tras la infiltración, los atacantes lograron robar criptomonedas de las llamadas hot wallets de Bitrefill, billeteras digitales conectadas a internet utilizadas para transacciones diarias.

Además, los hackers accedieron a unos 18,500 registros de compras. Según Bitrefill, esto podría implicar información limitada de clientes. La empresa asegura que no hay indicios de que toda la base de datos haya sido comprometida.

Bitrefill indica que los atacantes realizaron búsquedas específicas para identificar datos valiosos disponibles, como criptomonedas y tarjetas de regalo.

El monto exacto de los daños no ha sido revelado. No obstante, la empresa afirma que las pérdidas financieras se cubrirán con recursos operativos propios.

Posible implicación de Lazarus Group y BlueNoroff

Bitrefill sospecha que el ataque está relacionado con Lazarus Group, un colectivo de hackers conocido por ataques cibernéticos a gran escala contra empresas de criptomonedas.

También se menciona a BlueNoroff Group, un subgrupo con estrechos vínculos con Lazarus, como posible responsable. Este grupo se dirige específicamente a instituciones financieras y empresas de criptomonedas.

Lazarus Group es considerado una de las mayores amenazas para el sector cripto. En febrero de 2025, fue responsable de un hackeo de aproximadamente 1,4 mil millones de dólares en la bolsa de criptomonedas Bybit, el mayor hackeo cripto registrado.

Sistemas desconectados temporalmente tras descubrir el ataque

Tras detectar el ciberataque, Bitrefill tomó medidas inmediatas desconectando temporalmente los sistemas, con el fin de limitar daños adicionales y controlar el ataque.

Según la empresa, la mayoría de los servicios ya han sido restaurados. Los pagos, cuentas y venta de productos funcionan con normalidad.

Bitrefill colabora con autoridades policiales y empresas de ciberseguridad como Security Alliance, FearsOff Security, Recoveris.io y zeroShadow para investigar y resolver el incidente.

Bitrefill refuerza aún más su seguridad tras el incidente

En respuesta al ataque, Bitrefill ha intensificado sus medidas de seguridad. La empresa ha llevado a cabo auditorías de seguridad externas y ha implementado recomendaciones de expertos.

Además, se han endurecido los controles de acceso internos y se han mejorado los sistemas para detectar y abordar más rápidamente actividades sospechosas.

El ataque subraya que las empresas de criptomonedas siguen siendo un objetivo atractivo para hackers avanzados. A pesar de las mejoras en seguridad, los ciberdelincuentes continúan encontrando nuevas formas de infiltrarse en los sistemas.