En los últimos días, al menos tres fundadores de empresas en el sector de las criptomonedas han reportado intentos de fraude relacionados con sospechosos hackers norcoreanos. Los criminales informáticos habrían intentado robar datos sensibles a través de llamadas de Zoom falsificadas, utilizando una técnica sofisticada que explota la psicología de las víctimas.
Summary
El nuevo método de los hackers de Corea del Norte: falsas llamadas de Zoom con problemas técnicos
Nick Bax, miembro del grupo de hackers éticos Security Alliance, denunció el nuevo método de ataque con un post en X (antes Twitter) el 11 de marzo. Según Bax, esta estrategia ya ha llevado al robo de millones de dólares por parte de los estafadores.
El modus operandi prevé el contacto de la víctima con una propuesta de encuentro o colaboración. Una vez iniciada la videollamada, los malintencionados envían un mensaje señalando problemas de audio, mientras en la pantalla aparece un video pregrabado de un pseudo-inversor con aire aburrido. En ese momento, se envía a la víctima un enlace a una nueva llamada, explicando que es necesario para resolver el problema técnico.
Sin embargo, el nuevo enlace es en realidad un malware disfrazado, que pide al usuario instalar un parche para restaurar el correcto funcionamiento de audio/video. Bax destaca cómo esta técnica aprovecha la prisa y la presión psicológica del momento:
“Piensan que están encontrando inversores importantes y tratan de resolver el problema rápidamente, bajando la guardia. Pero una vez instalada la patch, están fregados.”
Fundadores de empresas crypto en la mira de los hackers norcoreanos
Después de la revelación de Bax, varios fundadores de empresas en el sector blockchain contaron experiencias similares. Giulio Xiloyannis, cofundador de la plataforma de gaming basada en blockchain Mon Protocol, informó que casi fue víctima del engaño. Según se informó, los hackers intentaron estafarlo a él y al responsable de marketing con una propuesta de asociación. Sin embargo, Xiloyannis intuyó el engaño cuando fue redirigido en el último momento a un enlace sospechoso, que pretendía no poder leer el audio para empujarlo a descargar un archivo peligroso.
Otro caso involucra a David Zhang, cofundador de Stably, una startup que se ocupa de stablecoin respaldadas por capital de riesgo estadounidense. También fue contactado por los estafadores, que inicialmente utilizaron su enlace personal de Google Meet. Sin embargo, poco después, con el pretexto de una reunión interna, le pidieron que se conectara a otra videollamada falsa.
Zhang, que respondió a la llamada desde su tablet, consideró que el malware de los hackers estaba diseñado principalmente para sistemas operativos de escritorio, ya que no notó anomalías evidentes en su dispositivo móvil.
Otra víctima del intento de ataque es Melbin Thomas, fundador de la plataforma descentralizada de inteligencia artificial Devdock AI, especializada en proyectos Web3. Después de iniciar por error la instalación del archivo infectado, Thomas logró bloquear el proceso a tiempo evitando ingresar la contraseña. Por precaución, desconectó el portátil y restableció el dispositivo a la configuración de fábrica, pero queda la duda de si los archivos transferidos a un disco duro externo habían sido comprometidos.
La alarma de Estados Unidos, Japón y Corea del Sur sobre los ciberataques norcoreanos
Estos episodios se insertan en un contexto más amplio de creciente amenaza cibernética por parte de grupos hacker norcoreanos. El 14 de enero, Estados Unidos, Japón y Corea del Sur emitieron un comunicado conjunto para advertir sobre el peligro representado por criminales informáticos vinculados a Corea del Norte, con especial atención hacia el sector de las criptovalute.
Entre los grupos de hackers más conocidos se encuentra Lazarus Group, acusado de estar involucrado en algunos de los robos más grandes en la historia de la blockchain. Se sospecha que el grupo ha orquestado ataques como el que afectó a Bybit, que resultó en la sustracción de 1,4 mil millones de dólares, y el de la red Ronin, que vio un robo de 600 millones de dólares.
Después de los numerosos ataques, los hackers de Lazarus han movido los fondos robados a través de plataformas de mixing, herramientas utilizadas para ofuscar la procedencia de las criptomonedas. Según CertiK, empresa especializada en seguridad blockchain, el grupo ha depositado recientemente 400 Ethereum (ETH), por un valor de aproximadamente 750.000 dólares, en el servicio de mixing Tornado Cash.
Conclusiones: un riesgo creciente para el mundo crypto
Los episodios reportados por los fundadores de empresas en el sector blockchain confirman que los hackers están afinando cada vez más sus técnicas, aprovechando la confianza y la prisa de las víctimas. La creciente frecuencia de estos ataques impulsa a los expertos en seguridad a reiterar la importancia de adoptar medidas preventivas, como verificar cada enlace antes de hacer clic y evitar instalar archivos de fuentes desconocidas.
Con la intensificación de las actividades de grupos como Lazarus, el mundo de las criptomonedas debe enfrentar un riesgo cada vez mayor relacionado con los ciberataques. La colaboración entre empresas, expertos en seguridad y gobiernos será fundamental para contrarrestar estas amenazas y proteger los capitales digitales de robos cada vez más sofisticados.
