Ripple comparte información sobre hackers norcoreanos con el sector cripto

Ripple compartirá su conocimiento interno sobre hackers norcoreanos con el sector cripto. Así lo anunció la empresa el lunes. Esta medida destaca un cambio de enfoque en cómo el sector enfrenta la amenaza en rápida evolución de Corea del Norte.

Las amenazas pasan del código a las personas

Entre 2022 y 2024, la mayoría de los ataques a DeFi se centraron en vulnerabilidades de código. Los hackers explotaron errores en los contratos inteligentes, logrando robar millones en criptomonedas en poco tiempo.

Con el refuerzo de la seguridad, el enfoque ha cambiado. Los ataques ahora se dirigen cada vez más a las personas en lugar de a la tecnología.

Según Ripple, los hackers norcoreanos intentan activamente infiltrarse en empresas de criptomonedas. Solicitan empleo, pasan por procesos de selección y construyen confianza a través de reuniones y entrevistas antes de atacar.

El peligro reside precisamente en este enfoque: el atacante ya está dentro. Por lo tanto, estas operaciones suelen pasar desapercibidas para los sistemas de seguridad tradicionales.

Ataque a Drift fue una infiltración de meses

Un ejemplo claro es el ataque al protocolo DeFi Drift en abril. No se encontró ninguna vulnerabilidad en el código ni se explotó ningún contrato inteligente.

En su lugar, los hackers norcoreanos se infiltraron durante meses en la organización. Ganaron confianza con los empleados, instalaron software malicioso sin ser detectados y obtuvieron acceso a sistemas sensibles.

Cuando finalmente se robaron 285 millones de dólares, ningún sistema de alarma se activó. El ataque fue interno, manteniéndose fuera del radar.

Esta reconstrucción cuenta con el respaldo de Ripple y Crypto ISAC, el grupo colaborativo para el intercambio de información en el sector cripto.

Ripple comparte perfiles de cuentas sospechosas

Ripple compartirá con Crypto ISAC información de perfiles que ayuden a identificar estos ataques más rápidamente. Se incluirán perfiles de LinkedIn, direcciones de correo electrónico, ubicaciones y números de teléfono.

Con estos datos, los equipos de seguridad pueden establecer conexiones entre solicitantes sospechosos. Así, alguien rechazado por una empresa puede ser identificado inmediatamente si intenta ingresar en otra.

“La seguridad más fuerte en cripto es la seguridad compartida,” manifestó Ripple en X. “Un atacante rechazado por una empresa solicita la misma semana en varias otras. Sin el intercambio de información, cada empresa comienza de cero cada vez.”

Disputa legal sobre Ethereum congelado

La influencia del grupo Lazarus, una conocida organización de hackers norcoreanos, va más allá de los ciberataques. También afecta procedimientos legales.

Un abogado que representa a víctimas de terrorismo norcoreano envió el lunes un requerimiento a Arbitrum DAO. Según él, los 30.765 Ethereum congelados tras el ataque a Kelp pertenecen legalmente a Corea del Norte. Así, según la ley estadounidense, podrían utilizarse para compensar a las víctimas.

La plataforma de préstamos Aave se opone a este razonamiento y apoya a Arbitrum. Según el enfoque de la plataforma, las criptomonedas robadas siguen siendo propiedad del propietario original. “Un ladrón no se convierte en propietario legítimo por robar,” sostiene.

En el ataque a Kelp se sustrajeron aproximadamente 292 millones de dólares en Ethereum, una operación también atribuida al grupo Lazarus. Junto con el ataque a Drift, el total vinculado a este grupo en un mes supera los quinientos millones de dólares.