Ciberoperadores de Corea del Norte y los crecientes riesgos para la infraestructura criptográfica

La industria de las criptomonedas, una vez aclamada como un bastión de la descentralización y la soberanía financiera, ahora enfrenta un enemigo en la sombra: los ciberoperadores de Corea del Norte. En los últimos dos años, grupos de piratería patrocinados por el estado como Lazarus, APT38 y Kimsuky han intensificado sus ataques a la infraestructura criptográfica, robando más de $2,17 mil millones solo en la primera mitad de 2025. Estas operaciones no son acciones aleatorias de caos: son campañas meticulosamente orquestadas para financiar las ambiciones nucleares de Corea del Norte mientras explotan las vulnerabilidades de las plataformas centralizadas y descentralizadas. Para los inversores y las empresas de blockchain, las implicaciones son nefastas. Los riesgos se extienden más allá de la pérdida financiera a la integridad operativa, particularmente en las prácticas de contratación que inadvertidamente crean puntos de entrada para los enemigos.

Las tácticas: del phishing a la ingeniería social impulsada por IA

Los hackers norcoreanos dominan un enfoque de múltiples vectores. En 2025, ampliaron su libro de jugadas para incluir ofertas de trabajo falsas en plataformas como LinkedIn yTrabajo en marchaUPWK--, presentándose como contratistas de firmas acreditadas para atraer a sus víctimas a participar en páginas web oscuras y entrevistas por video[1]. Estas campañas, dirigidas a más de 230 personas entre enero y marzo de 2025, a menudo incorporan malware como BeaverTail e InvisibleFerret para comprometer los sistemas[3].

La sofisticación de estos ataques se amplifica aún más gracias a la IA. De acuerdo con un informe de Anthropic, los operativos norcoreanos ahora usan herramientas de IA para la creación de perfiles de víctimas, la generación de correos electrónicos de phishing e incluso el análisis de datos para identificar objetivos de alto valor.[4] Por ejemplo, el hackeo de $1.5 mil millones de ByBit en febrero de 2025 explotó una vulnerabilidad en el software de la billetera de terceros y es probable que la IA ayude a identificar rápidamente las debilidades[2]

Riesgo operativo en la contratación de la cadena de bloques

La tendencia más alarmante es cómo grupos norcoreanos explotan las brechas operativas en la contratación. Pasando por trabajadores remotos, acceden a los sistemas internos evitando las medidas de seguridad tradicionales. Un ejemplo de esto es el robo de 19,5 millones de dólares de la plataforma de intercambio Lykke con sede en Reino Unido en junio de 2024, en donde los atacantes se infiltraron en la infraestructura de TI de la empresa a través de una cuenta comprometida de empleado.[3].

Para las empresas de blockchains, el riesgo es doble:
1.Vulnerabilidades de terceros: Muchas plataformas criptográficas dependen de proveedores de terceros para el software de billetera, las plataformas de intercambio o la infraestructura. Los ciberdelincuentes norcoreanos han demostrado una habilidad especial para aprovechar estas conexiones débiles, como lo demostró el incidente de ByBit.[2].
2.Amenazas internas: El trabajo desde casa y los equipos descentralizados incrementan la exposición. Un único empleado comprometido, sea mediante engaño o ingeniería social, puede otorgar acceso a sistemas críticos[1].

Debida diligencia: mitigar la amenaza

La solución radica en una sólida diligencia debida y en la gestión de riesgos operativos. De esta forma las empresas pueden defenderse:

1. Pruebas mejoradas para funciones remotas:
2. Aplicar verificaciones rigurosas de antecedentes para contrataciones a distancia, incluida la verificación de credenciales y referencias cruzadas con listas de sanciones globales.

3. Utilice herramientas impulsadas por IA para detectar anomalías en los patrones de comunicación o solicitudes de acceso.

4. Arquitectura de confianza cero.:

5. Adopte un modelo de confianza cero en el que no se confíe automáticamente en ningún usuario, interno o externo. La autenticación multifactor (MFA) y los controles de acceso basados en roles (RBAC) deberían ser obligatorios.

6. Seguridad de la cadena de suministro:

7. Auditar a proveedores externos para verificar el cumplimiento de los estándares de ciberseguridad. Por ejemplo, el hackeo de ByBit explotó una vulnerabilidad en el software de la cartera, lo que pone de relieve la necesidad de revisiones rigurosas del código y pruebas de penetraciónYo no nací en EE. UU.2].

8. Capacitación de empleados:

9. Forme regularmente a los empleados para que puedan detectar los intentos de phishing y las tácticas de ingeniería social. Los ataques de simulación pueden ayudar a identificar las lagunas en la conciencia.

10. Colaboración con empresas de ciberseguridad:

11. Asociaros a marcas tales como Chainalysis y Kroll para aprovechar la inteligencia de amenazas y los sistemas de detección de fraude impulsados por IA[2]

Los horizontes generales: un llamado a la acción en toda la industria.

Si bien las empresas individuales pueden robustecer sus defensas, la naturaleza descentralizada de las criptomonedas exige una respuesta coordinada. Los gobiernos y los organismos reguladores deben imponer protocolos KYC y AML más rigurosos, particularmente para los intercambios que operan en jurisdicciones con supervisión laxa. Los recientes cargos del Departamento de Justicia de EE.UU. contra cuatro norcoreanos por un esquema de robo valorado en 1 millón de USD resaltan la necesidad de cooperación internacional.[5].

Conclusión

Los ciberoperadores de Corea del Norte no son solo una amenaza técnica, son estratégicos. Su capacidad para explotar vulnerabilidades humanas y operativas subraya la fragilidad incluso de la infraestructura criptográfica más avanzada. Para los inversores, la lección es clara: la diligencia debida debe extenderse más allá de las auditorías financieras para incluir evaluaciones rigurosas del riesgo operativo. En una industria construida sobre sistemas sin confianza, el eslabón más débil sigue siendo el elemento humano.

Fuente:
[1] Único: Cómo los hackers de Corea del Norte están usando ofertas de trabajo falsas para robar criptomonedas[[https://www.reuters.com/world/asia-pacific/how-north-korean-hackers-are-using-fake-job-offers-steal-cryptocurrency-2025-09-04 Cómo usan los hackers norcoreanos ofertas de trabajo fraudulentas para robar criptomonedas]
[2] Actualización de mitad de año sobre el crimen criptográfico 2025[[Actualización de vuelta a la mitad del año: 2025, crimen encriptado]
[3] Alarma: piratas informáticos de Corea del Norte robaron criptomonedas por 19,5 millones de dólares[https://www.mexc.co/es-AR/Noticias/Averiguadores norcoreanos perturban el mercado con un robo de criptodivisas de $19,5 millones en Lykke]
[4] Detectar y combatir el uso indebido de IA: agosto de 2025[[Detectando y contrarrestando la desinformación en 2025]
[5] Cuatro norcoreanos acusados de robo de criptomonedas por casi $1 millón[https://www.justice.gov/usao-ndga/pr/cuatro-norcoreanos-cargados-en-esquema de robo de criptomonedas de casi 1 millón]