Ciberataques de deepfake por hackers norcoreanos amenazan la industria cripto

Un grupo de hackers norcoreanos utiliza inteligencia artificial, deepfakes y nuevo malware para atacar a empresas de criptomonedas. Expertos advierten sobre el peligro.

Los ataques se centran en empresas e inversores del sector Web3 y se hacen cada vez más difíciles de detectar. Esto se desprende de un nuevo informe de Mandiant, parte de Google Cloud. Según la empresa de ciberseguridad, la amenaza ha aumentado significativamente en los últimos meses.

Nuevas familias de malware en circulación

Bajo el nombre en clave UNC1069, Mandiant describe a un grupo de hackers profesionales que en una sola campaña emplea siete nuevos tipos de malware. Entre las herramientas utilizadas se encuentran SILENCELIFT, DEEPBREATH y CHROMEPUSH.

Estos programas están diseñados para eludir la seguridad y robar credenciales de inicio de sesión y datos del sistema. Según Mandiant, CHROMEPUSH y DEEPBREATH son especialmente capaces de penetrar profundamente en los sistemas operativos.

Reuniones deepfake engañan a las víctimas

Destaca el uso de vídeos deepfake durante reuniones falsas a través de Zoom. En uno de los ataques, una víctima fue contactada mediante la cuenta comprometida de Telegram de un conocido fundador de criptomonedas. Durante la conversación en Zoom, se mostró un video generado por IA en el que el orador supuestamente tenía problemas de audio.

En ese momento se solicitó a la víctima que ejecutara comandos ‘de resolución de problemas’ en su computadora. En realidad, esto inició la instalación de malware. Este método se conoce como un ataque ClickFix.

La IA hace los ataques más creíbles

Según Mandiant, el grupo ha sido monitoreado desde 2018. Desde finales de 2025, los atacantes han utilizado tecnología de IA para refinar y escalar sus métodos. Esto les permite crear identidades y videos digitales realistas, lo que dificulta que las víctimas reconozcan el fraude.

Sector cripto, nuevamente objetivo de Corea del Norte

El sector de las criptomonedas ha sido durante años un objetivo importante para los grupos norcoreanos debido a la naturaleza digital y el alto valor de las criptos. En junio de 2025, cuatro agentes norcoreanos trabajaron bajo identidades falsas como desarrolladores freelance en empresas de criptomonedas, donde lograron robar 900.000 dólares en criptoactivos.

Anteriormente, se vinculó al infame Grupo Lazarus con el hackeo a la criptobolsa Bybit, en el que se robaron aproximadamente 1.400 millones de dólares, una de las mayores robos de criptomonedas de la historia.

Aumenta la presión sobre la ciberseguridad en fintech

Los hallazgos de Mandiant muestran que la seguridad tradicional a menudo no es suficiente frente a los ataques modernos. Especialmente la combinación de malware técnico y trucos psicológicos dificulta la detección oportuna de estas amenazas.

Para las empresas de criptomonedas, es crucial capacitar a los empleados para reconocer la ingeniería social y monitorear activamente los sistemas. La IA hace que los ataques sean más sofisticados, y por lo tanto, más peligrosos.