Cómo los hackers norcoreanos robaron 285 millones fingiendo ser comerciantes de confianza
El otoño pasado, personas que representaban a una supuesta firma de trading cuantitativo asistieron a un gran evento de criptomonedas. Se acercaron a desarrolladores de Drift Protocol—un intercambio descentralizado (DEX) construido sobre la cadena de bloques Solana—y entablaron conversaciones como cualquier socio comercial serio. Intercambiaron contactos, se unieron a grupos de Telegram y hasta hicieron un depósito de 1 millón de dólares en el ecosistema de Drift para demostrar su legitimidad.
Pero nada de eso era real. Según la investigación de Drift, estas personas formaban parte del grupo UNC4736, vinculado a Corea del Norte. Su objetivo no era solo robar; era fundirse tan completamente con el entorno que no sonara ninguna alarma hasta que ya era demasiado tarde.
Cómo funcionó realmente el hack
Los atacantes no rompieron contraseñas ni adivinaron códigos secretos. En cambio, utilizaron tres tácticas sutilmente peligrosas:
- Herramientas de desarrollo falsas: Crearon versiones maliciosas de software de programación popular (como VSCode o Cursor) que parecían normales pero ejecutaban código dañino en segundo plano.
- Aplicaciones móviles falsas: Distribuyeron una app falsa en TestFlight—el sistema de Apple para probar software antes de su lanzamiento—que engañó a los usuarios para instalar malware.
- Un repositorio de código falso: Los desarrolladores descargaron código de una fuente que tenía un aspecto similar, pero incluía puertas traseras ocultas.
Una vez dentro, los hackers crearon lo que llamaron un "Cofre del Ecosistema"—una cuenta especial destinada a grandes socios—y la usaron para desencadenar el robo. Tras vaciar 285 millones de dólares, borraron todas las huellas: los chats de Telegram desaparecieron, el malware se autodestruyó y sus identidades online desaparecieron sin dejar rastro.
Por qué esto no es solo un problema de una plataforma
Este ataque sigue una tendencia creciente. El mismo grupo—también conocido como AppleJeus o Citrine Sleet—se sospecha implicado en otros robos masivos de cripto, incluyendo la brecha de Radiant Capital en 2024. Los expertos en seguridad dicen que los actores ligados a Corea del Norte suelen usar intermediarios no coreanos en reuniones presenciales, lo que dificulta aún más su detección.
Peor aún, este método evita las defensas tradicionales. Incluso los monederos multisignatura—donde varias personas deben aprobar una transacción—fallaron aquí porque los firmantes fueron engañados para aprobar algo que parecía inofensivo. Como dijo un experto: "El problema no es cuántas personas firman—es si entienden lo que están firmando."
¿Qué significa esto para las personas comunes?
Si usas aplicaciones de cripto—even si es de forma indirecta a través de exchanges o billeteras—estás afectado por esta clase de amenaza. Cuando los hackers comprometen las herramientas en las que confían los desarrolladores, todos los usuarios posteriores corren riesgo. Es como si un chef usara ingredientes envenenados sin saberlo: la comida parece normal, pero es peligrosa.
No necesitas entrar en pánico, pero es un recordatorio de que la confianza en espacios digitales debe verificarse, no asumirse. Los sistemas más seguros ahora simulan transacciones antes de ejecutarse, mostrando exactamente qué cambiará en la cadena de bloques—sin importar cuán amable parezca la solicitud.
Puntos clave
- Hackers norcoreanos infiltraron Drift Protocol durante seis meses usando identidades falsas y encuentros presenciales.
- Explotaron herramientas y apps de desarrollo confiables para insertar código malicioso sin ser detectados.
- El robo de 285 millones tuvo éxito porque las personas fueron manipuladas socialmente, no solo por fallos técnicos.
- La seguridad multisignatura puede fallar si los usuarios no comprenden lo que aprueban.
- La lección general: en cripto, ver no siempre significa creer—las transacciones deben verificarse independientemente.
— Editorial Team