• CoinDesk identificó más de una docena de empresas de criptomonedas que, sin saberlo, contrataron a trabajadores de TI de la República Popular Democrática de Corea (RPDC), incluidos proyectos de blockchain bien establecidos como Injective, ZeroLend, Fantom, Sushi, Yearn Finance y Cosmos Hub.

  • Los trabajadores usaron identificaciones falsas, aprobaron con éxito las entrevistas, pasaron las verificaciones de referencias y presentaron historiales laborales genuinos.

  • Contratar trabajadores de la RPDC es ilegal en Estados Unidos y otros países que sancionan a Corea del Norte. También presenta un riesgo de seguridad: CoinDesk encontró múltiples ejemplos de empresas que contrataron trabajadores de TI de la RPDC y luego fueron atacadas por piratas informáticos.

  • "Todo el mundo está luchando por filtrar a estas personas", dijo Zaki Manian, un destacado desarrollador de blockchain que dice que inadvertidamente contrató a dos trabajadores de TI de la RPDC para ayudar a desarrollar la cadena de bloques Cosmos Hub en 2021.

La empresa de criptomonedas Truflation todavía estaba en sus primeras etapas en 2023 cuando su fundador, Stefan Rust, sin saberlo, contrató a su primer empleado norcoreano.

"Siempre estábamos buscando buenos desarrolladores", dijo Rust desde su casa en Suiza. De repente, "apareció un desarrollador".

"Ryuhei" envió su currículum por Telegram y afirmó que residía en Japón. Poco después de ser contratado, comenzaron a surgir inconsistencias extrañas.

En un momento dado, "estaba hablando con el tipo y me dijo que había sufrido un terremoto", recordó Rust. Pero no había habido ningún terremoto reciente en Japón. Entonces el empleado empezó a perder llamadas y, cuando apareció, "no era él", dijo Rust. "Era otra persona". Quienquiera que fuera, había dejado de tener acento japonés.

Rust pronto se enteraría de que "Ryuhei" y otros cuatro empleados (más de un tercio de todo su equipo) eran norcoreanos. Sin saberlo, Rust había caído víctima de un plan coordinado por Corea del Norte para conseguir empleos remotos en el extranjero para su gente y canalizar las ganancias de vuelta a Pyongyang.

Las autoridades estadounidenses han intensificado recientemente sus advertencias de que los trabajadores de tecnología de la información (TI) de Corea del Norte se están infiltrando en empresas tecnológicas, incluidas las de criptomonedas, y están utilizando los ingresos para financiar el programa de armas nucleares del estado paria. Según un informe de las Naciones Unidas de 2024, estos trabajadores de TI recaudan hasta 600 millones de dólares anuales para el régimen de Kim Jon Un.

Contratar y pagar a los trabajadores, incluso sin darse cuenta, viola las sanciones de la ONU y es ilegal en Estados Unidos y en muchos otros países. También presenta un grave riesgo para la seguridad, porque se sabe que los piratas informáticos norcoreanos atacan a las empresas a través de trabajadores encubiertos.

Una investigación de CoinDesk ahora revela con qué agresividad y frecuencia los solicitantes de empleo norcoreanos han apuntado a empresas de criptomonedas en particular, superando con éxito las entrevistas, aprobando los controles de referencias e incluso presentando historiales impresionantes de contribuciones de código en el repositorio de software de código abierto GitHub.

CoinDesk habló con más de una docena de empresas de criptomonedas que dijeron que inadvertidamente contrataron trabajadores de TI de la República Popular Democrática de Corea (RPDC), como se llama oficialmente a la nación.

Estas entrevistas con fundadores, investigadores de blockchain y expertos de la industria revelan que los trabajadores de TI norcoreanos son mucho más frecuentes en la industria de las criptomonedas de lo que se creía anteriormente. Prácticamente todos los gerentes de contratación contactados por CoinDesk para esta historia reconocieron que habían entrevistado a presuntos desarrolladores norcoreanos, los habían contratado sin saberlo o conocían a alguien que lo había hecho.

"El porcentaje de los currículos que llegan, o de las personas que piden trabajo o quieren contribuir, cualquiera de esas cosas, que probablemente sean de Corea del Norte es superior al 50% en toda la industria de las criptomonedas", dijo Zaki Manian, un destacado desarrollador de cadenas de bloques que dice que contrató inadvertidamente a dos trabajadores de TI de la RPDC para ayudar a desarrollar la cadena de bloques Cosmos Hub en 2021. "Todo el mundo está luchando por filtrar a estas personas".

Entre los empleadores involuntarios de la RPDC identificados por CoinDesk se encuentran varios proyectos de blockchain bien establecidos, como Cosmos Hub, Injective, ZeroLend, Fantom, Sushi y Yearn Finance. “Todo esto ha estado sucediendo tras bastidores”, dijo Manian.

Esta investigación marca la primera vez que alguna de estas empresas reconoce públicamente que contrataron inadvertidamente a trabajadores de TI de la RPDC.

En muchos casos, los trabajadores norcoreanos llevaban a cabo su trabajo como empleados normales, por lo que, en cierto sentido, los empleadores recibían en su mayoría lo que pagaban. Pero CoinDesk encontró pruebas de que los trabajadores canalizaban posteriormente sus salarios a direcciones de blockchain vinculadas al gobierno norcoreano.

La investigación de CoinDesk también reveló varios casos en los que proyectos de criptomonedas que empleaban a trabajadores de TI de la RPDC luego fueron víctimas de ataques informáticos. En algunos de esos casos, CoinDesk pudo vincular los robos directamente con presuntos trabajadores de TI de la RPDC que estaban en la nómina de una empresa. Tal fue el caso de Sushi, un destacado protocolo de finanzas descentralizadas que perdió 3 millones de dólares en un incidente de piratería en 2021.

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos y el Departamento de Justicia comenzaron a publicitar los intentos de Corea del Norte de infiltrarse en la industria criptográfica de Estados Unidos en 2022. CoinDesk descubrió evidencia de que los trabajadores de TI de la RPDC comenzaron a trabajar en empresas criptográficas bajo identidades falsas mucho antes de esa fecha, al menos ya en 2018.

"Creo que mucha gente tiene la impresión equivocada de que esto es algo nuevo que sucedió de repente", dijo Manian. "Hay cuentas de GitHub y otras cosas con estas personas que se remontan a 2016, 2017, 2018". (GitHub, propiedad de Microsoft, es la plataforma en línea que muchas organizaciones de software utilizan para alojar código y permitir que los desarrolladores colaboren).

CoinDesk vinculó a los trabajadores de TI de la RPDC con las empresas utilizando varios métodos, incluidos registros de pago en blockchain, contribuciones de código público de GitHub, correos electrónicos de funcionarios del gobierno de EE. UU. y entrevistas directas con las empresas objetivo. Una de las redes de pago norcoreanas más grandes examinadas por CoinDesk fue descubierta por ZachXBT, un investigador de blockchain que publicó una lista de presuntos desarrolladores de la RPDC en agosto.

Anteriormente, los empleadores permanecían en silencio por temor a una publicidad no deseada o repercusiones legales. Ahora, frente a los extensos registros de pagos y otras pruebas descubiertas por CoinDesk, muchos de ellos decidieron presentarse y compartir sus historias por primera vez, exponiendo el éxito abrumador y la escala de los esfuerzos de Corea del Norte para penetrar en la industria de las criptomonedas.

Documentos falsos

Después de contratar a Ryuhei, el empleado aparentemente japonés, Rust's Truflation recibió una avalancha de nuevos postulantes. En apenas unos meses, Rust contrató sin darse cuenta a otros cuatro desarrolladores de la RPDC que dijeron tener su base en Montreal, Vancouver, Houston y Singapur.

El sector de las criptomonedas es especialmente propenso al sabotaje por parte de los trabajadores de TI de Corea del Norte. La fuerza laboral es particularmente global y las empresas de criptomonedas tienden a sentirse más cómodas que otras contratando desarrolladores completamente remotos, incluso anónimos.

CoinDesk revisó las solicitudes de empleo de la RPDC que las empresas de criptomonedas recibieron de una variedad de fuentes, incluidas plataformas de mensajería como Telegram y Discord, bolsas de trabajo específicas de criptomonedas como Crypto Jobs List y sitios de contratación como Indeed.

"Donde están teniendo más suerte a la hora de conseguir trabajo es entre estos equipos nuevos y realmente nuevos que están dispuestos a contratar a través de Discord", dijo Taylor Monahan, gerente de productos de la aplicación de billeteras criptográficas MetaMask, que publica con frecuencia investigaciones de seguridad relacionadas con la actividad criptográfica de Corea del Norte. "No tienen procesos establecidos para contratar personas con verificaciones de antecedentes. Muchas veces están dispuestos a pagar en criptomonedas".

Rust dijo que había realizado sus propias verificaciones de antecedentes de todos los nuevos empleados de Truflation. "Nos enviaron sus pasaportes y documentos de identidad, nos dieron repositorios de GitHub, pasaron por una prueba y luego, básicamente, los incorporamos".

Para el ojo inexperto, la mayoría de los documentos falsificados parecen indistinguibles de los pasaportes y visas auténticos, aunque los expertos dijeron a CoinDesk que probablemente habrían sido detectados por servicios profesionales de verificación de antecedentes.

Aunque es menos probable que las empresas emergentes recurran a verificadores de antecedentes profesionales, "también vemos trabajadores de TI norcoreanos en empresas más grandes, ya sea como empleados reales o al menos como contratistas", dijo Monahan.

Escondiéndose a plena vista

En muchos casos, CoinDesk descubrió trabajadores de TI de la RPDC en empresas que utilizan datos de blockchain disponibles públicamente.

En 2021, Manian, el desarrollador de blockchain, necesitaba ayuda en su empresa, Iqlusion. Buscó programadores independientes que pudieran ayudar con un proyecto para actualizar la popular blockchain Cosmos Hub. Encontró a dos reclutas que cumplieron con su tarea de manera competente.

Manian nunca conoció en persona a los trabajadores autónomos “Jun Kai” y “Sarawut Sanit”. Anteriormente habían trabajado juntos en un proyecto de software de código abierto financiado por THORChain, una red de cadenas de bloques estrechamente afiliada a ellos, y le dijeron a Manian que tenían su sede en Singapur.

"Hablé con ellos casi todos los días durante un año", dijo Manian. "Hicieron el trabajo y, francamente, quedé muy satisfecho".

Dos años después de que los trabajadores autónomos terminaran su trabajo, Manian recibió un correo electrónico de un agente del FBI que investigaba transferencias de tokens que parecían proceder de Iqlusion y que se dirigían a direcciones de monederos de criptomonedas de Corea del Norte sospechosas. Las transferencias en cuestión resultaron ser pagos de Iqlusion a Kai y Sanit.

El FBI nunca confirmó a Manian que los desarrolladores que había contratado eran agentes de la RPDC, pero la revisión de CoinDesk de las direcciones blockchain de Kai y Sanit mostró que a lo largo de 2021 y 2022, canalizaron sus ganancias a dos personas en la lista de sanciones de la OFAC: Kim Sang Man y Sim Hyon Sop.

Según la OFAC, Sim es representante de Kwangson Banking Corp, un banco norcoreano que blanquea fondos de trabajadores de TI para ayudar a "financiar los programas de armas de destrucción masiva y misiles balísticos de la RPDC". Sarawut parece haber canalizado todas sus ganancias a Sim y otras billeteras blockchain vinculadas a Sim.

Mientras tanto, Kai canalizó casi 8 millones de dólares directamente a Kim. Según un aviso de la OFAC de 2023, Kim es representante de la Compañía de Cooperación en Tecnología de la Información Chinyong, operada por la RPDC, que, "a través de empresas bajo su control y sus representantes, emplea delegaciones de trabajadores de TI de la RPDC que operan en Rusia y Laos".

El salario de Iqlusion a Kai representó menos de $50,000 de los casi $8 millones que le envió a Kim, y algunos de los fondos restantes provenían de otras compañías de criptomonedas.

Por ejemplo, CoinDesk descubrió pagos de la Fundación Fantom, que desarrolla la cadena de bloques Fantom ampliamente utilizada, a "Jun Kai" y otro desarrollador vinculado a la RPDC.

"Fantom identificó a dos personas externas involucradas con Corea del Norte en 2021", dijo un portavoz de la Fundación Fantom a CoinDesk. "Sin embargo, los desarrolladores en cuestión trabajaron en un proyecto externo que nunca se terminó ni se implementó".

Según la Fundación Fantom, "los dos individuos en cuestión fueron despedidos, nunca aportaron código malicioso ni tuvieron acceso al código base de Fantom, y ningún usuario de Fantom se vio afectado". Uno de los trabajadores de la DPRK intentó atacar los servidores de Fantom, pero fracasó porque no tenía el acceso necesario, según el portavoz.

Según la base de datos OpenSanctions, las direcciones de blockchain de Kim vinculadas a la RPDC no fueron publicadas por ningún gobierno hasta mayo de 2023, más de dos años después de que Iqlusion y Fantom realizaran sus pagos.

Se da margen de maniobra

Estados Unidos y la ONU sancionaron la contratación de trabajadores de TI de la RPDC en 2016 y 2017, respectivamente.

Es ilegal pagar a trabajadores norcoreanos en Estados Unidos, independientemente de si uno lo está haciendo o no: un concepto legal llamado "responsabilidad estricta".

Tampoco importa necesariamente dónde tenga su sede una empresa: contratar trabajadores de la RPDC puede entrañar riesgos legales para cualquier empresa que haga negocios en países que apliquen sanciones contra Corea del Norte.

Sin embargo, Estados Unidos y otros estados miembros de la ONU aún no han procesado a ninguna empresa de criptomonedas por contratar trabajadores de TI norcoreanos.

El Departamento del Tesoro de Estados Unidos abrió una investigación sobre Iqlusion, que tiene su sede en Estados Unidos, pero Manian dice que la investigación concluyó sin ninguna sanción.

Las autoridades estadounidenses han sido indulgentes a la hora de presentar cargos contra las empresas, reconociendo en cierto modo que fueron víctimas, en el mejor de los casos, de un tipo de fraude de identidad inusualmente elaborado y sofisticado o, en el peor, de una estafa prolongada y del tipo más humillante.

Dejando de lado los riesgos legales, pagar a los trabajadores de TI de la RPDC también es "malo porque estás pagando a personas que básicamente están siendo explotadas por el régimen", explicó Monahan de MetaMask.

Según el informe de 615 páginas del Consejo de Seguridad de la ONU, los trabajadores de TI de la RPDC sólo se quedan con una pequeña parte de sus salarios. "Los que menos ganan se quedan con el 10 por ciento, mientras que los que más ganan podrían quedarse con el 30 por ciento", afirma el informe.

Aunque estos salarios pueden ser altos en relación con el promedio en Corea del Norte, "no me importa dónde vivan", dijo Monahan. "Si le pago a alguien y literalmente se le obliga a enviar todo su salario a su jefe, eso me haría sentir muy incómodo. Me haría sentir aún más incómodo si su jefe es, ya saben, el régimen norcoreano".

CoinDesk se comunicó con varios presuntos trabajadores de TI de la RPDC durante el transcurso del informe, pero no obtuvo respuesta.

Avanzando

CoinDesk identificó más de dos docenas de empresas que emplearon a posibles trabajadores de TI de la RPDC al analizar los registros de pago de blockchain a entidades sancionadas por la OFAC. Doce empresas a las que se les presentaron los registros confirmaron a CoinDesk que anteriormente habían descubierto a presuntos trabajadores de TI de la RPDC en sus nóminas.

Algunos se negaron a hacer más comentarios por temor a repercusiones legales, pero otros aceptaron compartir sus historias con la esperanza de que otros pudieran aprender de sus experiencias.

En muchos casos, resultó más fácil identificar a los empleados de la RPDC después de haber sido contratados.

Eric Chen, director ejecutivo de Injective, un proyecto centrado en las finanzas descentralizadas, dijo que contrató a un desarrollador independiente en 2020, pero lo despidió rápidamente por bajo rendimiento.

"No duró mucho", dijo Chen. "Escribía un código de mala calidad que no funcionaba bien". No fue hasta el año pasado, cuando una "agencia gubernamental" de Estados Unidos se puso en contacto con Injective, que Chen se enteró de que el empleado estaba vinculado con Corea del Norte.

Varias empresas dijeron a CoinDesk que despidieron a un empleado incluso antes de saber de algún vínculo con la RPDC, por ejemplo, debido a un trabajo deficiente.

'Nómina de leche para unos meses'

Sin embargo, los trabajadores de TI de la RPDC son similares a los desarrolladores típicos en que sus aptitudes pueden variar.

Por un lado, hay empleados que "se presentan, pasan un proceso de entrevistas y simplemente se aprovechan de la nómina para conseguir unos meses de salario", dijo Manian. "También hay otra cara de la moneda, y es que te encuentras con personas que, cuando las entrevistas, sus capacidades técnicas son realmente sólidas".

Rust recordó que en Truflation había tenido "un desarrollador realmente bueno" que decía ser de Vancouver, pero resultó ser de Corea del Norte. "Era un muchacho muy joven", dijo Rust. "Parecía que acababa de salir de la universidad. Un poco inexperto, muy entusiasta, muy emocionado por trabajar en una oportunidad".

En otro caso, Cluster, una startup de finanzas descentralizadas, despidió a dos desarrolladores en agosto después de que ZachXBT se comunicara con ellos con evidencia de que estaban vinculados con la RPDC.

"Es realmente una locura lo mucho que sabían estos tipos", dijo a CoinDesk el fundador seudónimo de Cluster, z3n. En retrospectiva, hubo algunas "claras señales de alerta". Por ejemplo, "cada dos semanas cambiaban su dirección de pago y cada mes más o menos cambiaban su nombre de Discord o de Telegram".

Cámara web apagada

En conversaciones con CoinDesk, muchos empleadores dijeron que notaron anomalías que tenían más sentido cuando se enteraron de que sus empleados probablemente eran norcoreanos.

A veces las pistas eran sutiles, como empleados que trabajaban en horarios que no coincidían con su supuesto lugar de trabajo.

Otros empleadores, como Truflation, notaron indicios de que un empleado era un grupo de varias personas que se hacían pasar por un solo individuo, algo que el empleado intentaba ocultar manteniendo su cámara web apagada (casi siempre son hombres).

Una empresa contrató a un empleado que se presentaba a las reuniones por la mañana pero parecía olvidar todo lo que se discutía más tarde durante el día, una peculiaridad que tenía más sentido cuando el empleador se dio cuenta de que había estado hablando con varias personas.

Cuando Rust planteó sus preocupaciones sobre Ryuhei, su empleado "japonés", a un inversor con experiencia en el seguimiento de redes de pago criminales, el inversor identificó rápidamente a los otros cuatro presuntos trabajadores de TI de la RPDC en la nómina de Truflation.

"Cortamos nuestros vínculos de inmediato", dijo Rust, y agregó que su equipo realizó una auditoría de seguridad de su código, mejoró sus procesos de verificación de antecedentes y cambió ciertas políticas. Una nueva política fue exigir a los trabajadores remotos que enciendan sus cámaras.

Un truco de 3 millones de dólares

Muchos de los empleadores consultados por CoinDesk tenían la impresión errónea de que los trabajadores de TI de la RPDC operan independientemente del brazo de piratería de Corea del Norte, pero los datos de blockchain y las conversaciones con expertos revelan que las actividades de piratería del régimen y los trabajadores de TI están frecuentemente vinculados.

En septiembre de 2021, MISO, una plataforma creada por Sushi para lanzar tokens criptográficos, perdió 3 millones de dólares en un robo que tuvo una amplia repercusión. CoinDesk encontró pruebas de que el ataque estaba relacionado con la contratación por parte de Sushi de dos desarrolladores con registros de pago de blockchain vinculados a Corea del Norte.

En el momento del hackeo, Sushi era una de las plataformas de las que más se hablaba en el mundo emergente de las finanzas descentralizadas (DeFi). Se habían depositado más de 5 mil millones de dólares en SushiSwap, que sirve principalmente como un "intercambio descentralizado" para que la gente intercambie criptomonedas sin intermediarios.

Joseph Delong, director de tecnología de Sushi en ese momento, rastreó el robo de MISO hasta dos desarrolladores independientes que ayudaron a construirlo: individuos que usaban los nombres Anthony Keller y Sava Grujic. Delong dijo que los desarrolladores, que ahora sospecha que eran una sola persona u organización, inyectaron código malicioso en la plataforma MISO, redirigiendo fondos a una billetera que ellos controlaban.

Cuando Keller y Grujic fueron contratados por Sushi DAO, la organización autónoma descentralizada que gobierna el protocolo Sushi, proporcionaron credenciales que parecían bastante típicas, incluso impresionantes, para desarrolladores principiantes.

Keller operaba bajo el seudónimo "eratos1122" en público, pero cuando solicitó trabajar en MISO utilizó lo que parecía ser su nombre real, "Anthony Keller". En un currículum que Delong compartió con CoinDesk, Keller afirmó residir en Gainesville, Georgia, y haberse graduado de la Universidad de Phoenix con una licenciatura en ingeniería informática. (La universidad no respondió a una solicitud de confirmación de si había un graduado con ese nombre).

El currículum de Keller incluía referencias genuinas a trabajos anteriores. Entre los más impresionantes se encontraba Yearn Finance, un protocolo de inversión en criptomonedas extremadamente popular que ofrece a los usuarios una forma de ganar intereses a través de una variedad de estrategias de inversión predefinidas. Banteg, un desarrollador principal de Yearn, confirmó que Keller trabajó en Coordinape, una aplicación creada por Yearn para ayudar a los equipos a colaborar y facilitar los pagos. (Banteg dice que el trabajo de Keller se limitaba a Coordinape y que no tenía acceso al código base de Yearn).

Según Delong, Keller recomendó a Grujic a MISO y ambos se presentaron como “amigos”. Al igual que Keller, Grujic proporcionó un currículum con su supuesto nombre real en lugar de su seudónimo en línea, “AristoK3”. Afirmó ser de Serbia y graduado de la Universidad de Belgrado con una licenciatura en informática. Su cuenta de GitHub estaba activa y su currículum enumeraba su experiencia con varios proyectos criptográficos más pequeños y nuevas empresas de juegos.

Rachel Chu, ex desarrolladora principal de Sushi que trabajó estrechamente con Keller y Grujic antes del robo, dijo que ya "sospechaba" de ambos antes de que se produjera cualquier ataque.

A pesar de que afirmaban vivir en el otro lado del mundo, Grujic y Keller "tenían el mismo acento" y la "misma forma de enviar mensajes de texto", dijo Chu. "Cada vez que hablábamos, había algún ruido de fondo, como si estuvieran en una fábrica", agregó. Chu recordó haber visto la cara de Keller, pero nunca la de Grujic. Según Chu, la cámara de Keller estaba "ampliada" para que ella nunca pudiera distinguir lo que había detrás de él.

Keller y Grujic finalmente dejaron de contribuir a MISO casi al mismo tiempo. "Pensamos que Anthony y Sava son la misma persona", dijo Delong, "así que dejamos de pagarles". Esto fue en el apogeo de la pandemia de COVID-19, y no era extraño que los desarrolladores de criptomonedas remotos se hicieran pasar por varias personas para extraer dinero extra de la nómina.

Después de que Keller y Grujic fueron despedidos en el verano de 2021, el equipo de Sushi se olvidó de revocar su acceso a la base de código MISO.

El 2 de septiembre, Grujic cometió un código malicioso en la plataforma MISO bajo su nombre de pantalla "Aristok3", redirigiendo $3 millones a una nueva billetera de criptomonedas, según una captura de pantalla proporcionada a CoinDesk.

El análisis de CoinDesk de los registros de pagos en blockchain sugiere un posible vínculo entre Keller, Grujic y Corea del Norte. En marzo de 2021, Keller publicó una dirección de blockchain en un tuit que ahora fue eliminado. CoinDesk descubrió múltiples pagos entre esta dirección, la dirección del hacker de Grujic y las direcciones que Sushi tenía registradas para Keller. La investigación interna de Sushi concluyó finalmente que la dirección pertenecía a Keller, según Delong.

CoinDesk descubrió que la dirección en cuestión envió la mayoría de sus fondos a "Jun Kai" (el desarrollador de Iqlusion que envió dinero a Kim Sang Man, sancionado por la OFAC) y otra billetera que parece servir como proxy de la RPDC (porque también le pagó a Kim).

Para dar más credibilidad a la teoría de que Keller y Grujic eran norcoreanos, la investigación interna de Sushi descubrió que ambos operaban frecuentemente utilizando direcciones IP en Rusia, que es donde, según la OFAC, a veces se encuentran los trabajadores de TI de la RPDC de Corea del Norte. (El número de teléfono estadounidense que figura en el currículum de Keller está fuera de servicio, y sus cuentas de Github y Twitter "eratos1122" han sido eliminadas).

Además, CoinDesk descubrió pruebas de que Sushi empleó a otro supuesto contratista de TI de la RPDC al mismo tiempo que Keller y Grujic. El desarrollador, identificado por ZachXBT como "Gary Lee", codificó bajo el seudónimo LightFury y canalizó sus ganancias a "Jun Kai" y otra dirección proxy vinculada a Kim.

Después de que Sushi atribuyó públicamente el ataque al seudónimo de Keller, "eratos1122", y amenazó con involucrar al FBI, Grujic devolvió los fondos robados. Si bien puede parecer contradictorio que un trabajador de TI de la RPDC se preocupe por proteger una identidad falsa, los trabajadores de TI de la RPDC parecen reutilizar ciertos nombres y construir su reputación con el tiempo al contribuir a muchos proyectos, tal vez como una forma de ganar credibilidad ante futuros empleadores.

Alguien podría haber decidido que proteger el alias de Anthony Keller era más lucrativo a largo plazo: en 2023, dos años después del incidente de Sushi, alguien llamado "Anthony Keller" presentó una solicitud para trabajar en Truflation, la empresa de Stefan Rust.

Los intentos de contactar con "Anthony Keller" y "Sava Grujic" para obtener comentarios fueron infructuosos.

Robos al estilo de la RPDC

Según la ONU, Corea del Norte ha robado más de 3.000 millones de dólares en criptomonedas a través de ataques informáticos en los últimos siete años. De los ataques informáticos que la firma de análisis de cadenas de bloques Chainalysis ha rastreado en la primera mitad de 2023 y que cree que están relacionados con la RPDC, “aproximadamente la mitad de ellos involucraron robos relacionados con trabajadores de TI”, dijo Madeleine Kennedy, portavoz de la firma.

Los ciberataques norcoreanos no suelen parecerse a la versión hollywoodense del hackeo, donde programadores con capucha entran a los mainframes usando un sofisticado código informático y terminales de computadora de color negro y verde.

Los ataques al estilo de la RPDC son decididamente de baja tecnología. Por lo general, implican alguna versión de ingeniería social, en la que el atacante se gana la confianza de una víctima que posee las claves de un sistema y luego extrae esas claves directamente a través de algo tan simple como un enlace de correo electrónico malicioso.

"Hasta la fecha, nunca hemos visto a la DPRK llevar a cabo un ataque real", dijo Monahan. "Siempre se trata de ingeniería social, para luego comprometer el dispositivo y luego las claves privadas".

Los trabajadores de TI están en una buena posición para contribuir a los robos de la RPDC, ya sea extrayendo información personal que podría usarse para sabotear un objetivo potencial o obteniendo acceso directo a sistemas de software repletos de dinero digital.

Una serie de coincidencias

El 25 de septiembre, cuando este artículo estaba a punto de publicarse, CoinDesk tenía programada una videollamada con Rust de Truflation. El plan era verificar algunos detalles que había compartido anteriormente.

Rust se unió a la llamada con 15 minutos de retraso, nervioso. Acababan de hackearlo.

CoinDesk contactó a más de dos docenas de proyectos que aparentemente habían sido engañados para contratar trabajadores de TI de la RPDC. Solo en las últimas dos semanas de informes, dos de esos proyectos fueron hackeados: Truflation y una aplicación de préstamos de criptomonedas llamada Delta Prime.

Es demasiado pronto para determinar si alguno de los ataques estuvo directamente relacionado con alguna contratación involuntaria de trabajadores de TI de la RPDC.

Delta Prime fue la primera en sufrir una vulneración, el 16 de septiembre. CoinDesk había descubierto previamente pagos y contribuciones de código que conectaban a Delta Prime con Naoki Murano, uno de los desarrolladores vinculados a la RPDC publicitados por ZachXBT, el detective seudónimo de blockchain.

El proyecto perdió más de 7 millones de dólares, oficialmente debido a "una clave privada comprometida". Delta Prime no respondió a numerosas solicitudes de comentarios.

El hackeo de Truflation se produjo menos de dos semanas después. Rust notó que los fondos salían de su billetera de criptomonedas unas dos horas antes de la llamada con CoinDesk. Acababa de regresar a casa de un viaje a Singapur y estaba tratando de entender qué había hecho mal. "No tengo idea de cómo sucedió", dijo. "Tenía mis cuadernos guardados bajo llave en la caja fuerte de la pared de mi hotel. Tenía mi teléfono conmigo todo el tiempo".

Mientras hablaba, millones de dólares salían de las billeteras personales de cadena de bloques de Rust. "Es una verdadera mierda. Es la escuela de mis hijos; las cuotas de pensión".

Truflation y Rust acabaron perdiendo unos 5 millones de dólares. La causa oficial fue el robo de una clave privada.