Los hackers respaldados por el estado de Corea del Norte rompieron récords en 2024, robando criptomonedas por un valor de 1.34 mil millones de dólares en solo 47 ataques. Eso es más del doble de los 660.5 millones de dólares que robaron en 20 incidentes en 2023, según un nuevo informe de Chainalysis.

Estos ladrones digitales ahora representan el 61% de todo el cripto robado a nivel mundial este año, consolidando el lugar de Pyongyang como el principal actor en el crimen cripto. Funcionarios estadounidenses e internacionales advierten que estos fondos robados financian los programas de misiles y armas de Corea del Norte, eludiendo sanciones y poniendo en peligro la seguridad global.

El tiempo entre hacks exitosos se ha acortado drásticamente, especialmente para golpes de alto valor de 50 millones de dólares o más. Los operativos cibernéticos de Pyongyang han cambiado su estrategia, enfocándose más en robos a gran escala mientras mantienen un flujo constante de operaciones más pequeñas de alrededor de 10,000 dólares.

Armas de robo cripto con infiltración interna

Las tácticas que emplean estos hackers son una clase magistral en engaño. Cada vez más, los trabajadores de TI de Corea del Norte se infiltran en empresas legítimas, explotando oportunidades de trabajo remoto para infiltrarse en redes. Se hacen pasar por profesionales altamente calificados, utilizando identidades falsas y intermediarios turbios para conseguir empleos.

Una vez dentro, saquean información propietaria e incluso roban directamente de las cuentas de la empresa. El Departamento de Justicia de EE. UU. recientemente acusó a 14 norcoreanos que llevaron a cabo este esquema exacto, robando 88 millones de dólares mientras se hacían pasar por empleados de empresas estadounidenses.

El panorama más amplio es aún más oscuro. Los cibercriminales de Pyongyang están apuntando no solo a empresas, sino a la propia infraestructura del mundo cripto. En uno de los hackeos más audaces del año, atacaron la bolsa japonesa DMM Bitcoin, robando 4,502.9 Bitcoin, que en ese momento valían 305 millones de dólares.

Al explotar debilidades en la infraestructura de la bolsa, canalizaron los activos robados a través de mezcladores y puentes entre cadenas, haciéndolos casi imposibles de rastrear. Las consecuencias obligaron a DMM Bitcoin a cerrar, transfiriendo sus operaciones a otra bolsa bajo un importante conglomerado financiero.

Este tipo de ataque no es raro. Los hackers de Corea del Norte utilizan malware avanzado, esquemas de phishing y ingeniería social para acceder a los sistemas.

Han perfeccionado literalmente el arte de mover fondos robados a través de complejas cadenas de lavado, a menudo utilizando servicios de mezcla CoinJoin y mercados en línea oscuros para ocultar el rastro del dinero.

Un cambio de estrategia después de julio

La primera mitad de 2024 vio a los hackers de Pyongyang operando a toda máquina, pero su actividad cayó drásticamente después de una cumbre de alto perfil a finales de junio. El presidente de Rusia, Vladimir Putin, y el líder supremo de Corea del Norte, Kim Jong Un, se reunieron en Pyongyang para firmar un pacto de defensa mutua.

El informe dice que poco después de eso, hubo una fuerte caída en el valor robado por los hackers norcoreanos, bajando un 53.73% en la segunda mitad del año en comparación con la primera. Mientras tanto, los hackeos no norcoreanos vieron un ligero aumento.

Los analistas son cautelosos al establecer un vínculo directo entre la cumbre y la desaceleración de los ataques, pero hay que admitir que la coincidencia es difícil de ignorar. Rusia liberó millones de dólares en activos norcoreanos congelados alrededor de la misma época, lo que podría haber proporcionado a Pyongyang fuentes de financiamiento alternativas.

Por otro lado, Corea del Norte desplegó tropas en Ucrania y supuestamente buscó tecnología militar avanzada de Moscú, por lo que sus recursos pueden haber sido redirigidos hacia el conflicto.

De Cero a Pro de Web3: Tu Plan de Lanzamiento Profesional de 90 Días