Vinculan a hackers norcoreanos con un robo cripto récord de 1.500 millones de dólares

Seúl, 26 feb (EFE).- Hackers norcoreanos están detrás del mayor robo en criptomonedas realizado hasta ahora en un sólo ciberataque, que ha afectado a la plataforma de intercambio Bybit y en el que se sustrajeron 1.500 millones de dólares, según han informado varias firmas de seguridad del sector.

El ataque informático se produjo el pasado 21 de febrero en la plataforma con sede en Dubái, con más de 40 millones de usuarios, y afectó a activos ethereum (ETH), detalló la empresa Chainalysis, que analiza frecuentemente las actividades de los piratas informáticos afiliados a Corea del Norte.

La cantidad supone la mayor sustraída en un solo ciberataque a este tipo de plataformas y supera los 1.340 millones de dólares que los agentes del régimen norcoreano sustrajeron en todo 2024 en 47 ataques, de acuerdo a los datos de la mencionada firma de seguridad.

"Los atacantes comprometieron una de las billeteras frías (cold wallet) fuera de línea de Bybit en lo que posiblemente fue un ataque a la cadena de suministro, una amenaza interna o una sofisticada puesta en compromiso de clave privada", señaló por su parte la plataforma de detección de delitos vinculados a criptomonedas TRM Labs.

Ambas plataformas llegaron a la conclusión de que el ciberataque fue probablemente perpetrado por hackers norcoreanos, con base en la táctica utilizada y robos previos de estos agentes.

"Este ataque pone de relieve una estrategia común utilizada por la RPDC (siglas del nombre oficial del país, República Popular Democrática de Corea): orquestar ataques de ingeniería social y emplear intrincados métodos de lavado de dinero en un intento de mover fondos robados sin ser detectados", destacó Chainalysis en su informe sobre el incidente.

"Los fondos vulnerados de Bybit también se han consolidado en direcciones que contienen fondos de otros ataques conocidos vinculados a la RPDC, lo que proporciona más pruebas de que los actores del Estado-nación están detrás de este último incidente", añadió.

Las siglas RPDC hacen referencia a la República Popular Democrática de Corea, nombre oficial de Corea del Norte.

Tras el ataque, el fundador de Bybit, Ben Zhou, envió un mensaje de tranquilidad a sus usuarios, asegurando que sólo la billetera fría de ethereum se vio comprometida y que el resto de transacciones eran normales, a la par que aseguró que la empresa era solvente y podía cubrir las pérdidas sufridas por el ciberataque.

Tres días después del incidente, Bybit había cerrado por completo la brecha de ETH, dijo Zhou, que aseguró que en los próximos días lanzarán "algo para ayudarnos a nosotros y a la industria a luchar contra los piratas informáticos y para abordar los problemas de recuperación de fondos", escribió en su perfil de la red social X.

Los analistas llevan años advirtiendo de que el hermético país asiático usa criptomonedas para financiar sus programas de armas y en años recientes ha aumentado el volumen y el número de ataques para robar este tipo de activos pese a los esfuerzos de países como Corea del Sur y Estados Unidos por frenar estas actividades.

Señas de identidad del temido grupo Lazarus

La firma de investigación Arkham Intelligence, que también ha analizado este robo récord, ha vinculado expresamente al temido grupo Lazarus, respaldado por el Gobierno norcoreano, con el ciberataque.

El investigador ZachXBT llevó a cabo un análisis detallado de las transacciones y halló conexiones entre las billeteras utilizadas para el hackeo de Bybit y un ataque anterior de Lazarus a la plataforma singapurense Phemex.

Lazarus es el grupo de ciberdelincuentes más destacado al servicio del régimen norcoreano, sujeto a sanciones de gobiernos como el de Estados Unidos por su papel para contribuir a los ingresos de Corea del Norte para sortear las sanciones económicas que pesan sobre el propio país para frenar la financiación de su desarrollo de armas.

El grupo saltó a la fama por infiltrarse en noviembre de 2014 en el sistema informático de Sony Pictures, lo que le provocó pérdidas económicas y filtraciones de datos de altos ejecutivos de Hollywood, por la producción de la película 'The Interview', en la que Pionyang considera que su líder, Kim Jong-un, queda reflejado de forma ofensiva.

En años recientes, Lazarus ha sido vinculado con ciberataques multimillonarios a plataformas de criptomonedas como las surcoreanas Bithumb y Youbit, o la japonesa DMM Bitcoin. EFE

co-mra/ahg/rml