Corea del Norte apuesta por infiltración y hackeos para obtener millones

Una nueva investigación sobre el hackeo en la bolsa descentralizada Drift, donde se robaron 285 millones de dólares, revela un inquietante método de ataque. Los hackers no comenzaron detrás de una computadora, sino en el piso de conferencias internacionales de criptomonedas. Durante seis meses se hicieron pasar por una empresa de comercio profesional y establecieron relaciones con empleados de Drift.

De un apretón de manos a un hackeo

Según la firma de análisis blockchain TRM Labs, los atacantes se acercaron a varios empleados en conferencias en distintos países. Lo que parecía un networking normal resultó ser una infiltración sofisticada. Los atacantes invirtieron medio año en ganarse la confianza antes de actuar.

Este enfoque es nuevo. Anteriormente, en la mayoría de los grandes hackeos en el sector cripto, el ataque era principalmente digital: mediante phishing, software comprometido o falsas ofertas de trabajo. En el caso de Drift, el primer contacto fue cara a cara, lo que hacía más difícil identificar la amenaza.

Un token falso como arma final

Una vez ganada la confianza, siguió el ataque técnico. Los hackers introdujeron un token falso, el CarbonVote Token, y generaron artificialmente volumen de comercio para hacerlo parecer legítimo. El sistema de Drift aceptó el token como garantía, lo que permitió que se aumentaran los límites de retiro y se sustrajeran 285 millones de dólares.

Según TRM Labs, el blanqueo de dinero se llevó a cabo de manera más rápida y agresiva que en el hackeo de Bybit de 1,4 mil millones de dólares ocurrido a principios de este año.

Corea del Norte construye una red de infiltración

El ataque forma parte de un patrón más amplio. Los grupos norcoreanos combinan cada vez más hackeos a gran escala con infiltraciones prolongadas. Se hacen pasar por desarrolladores de software, solicitan empleo en empresas tecnológicas y ganan hasta un millón de dólares al mes mediante identidades falsas. Desde noviembre, han recaudado más de 3,5 millones de dólares a través de estas estructuras.

Los atacantes utilizan computadoras en otros países, lo que hace que sus actividades parezcan locales. Según las Naciones Unidas, los beneficios se utilizan para financiar el programa de armamento de Corea del Norte.

Conferencias como nuevo frente de ataque

Para el sector cripto, la lección es clara. La seguridad ya no se limita solo a códigos, cortafuegos y gestión de claves. La manipulación social y el contacto personal se han convertido en parte del arsenal de ataque de los hackers estatales.

Las empresas deben entrenar a sus empleados para que también estén alertas fuera de línea. Un interlocutor profesional en una conferencia puede ser tanto un agente norcoreano como un potencial cliente. El hackeo de Drift demuestra que la línea entre el networking y la infiltración es más delgada que nunca.