El Caballo de Troya de la ciberseguridad: Cómo hackers norcoreanos se infiltraron en una plataforma cripto desde el interior

Lo que hace que este ataque sea particularmente inquietante es su modus operandi. No fue un ataque externo, sino una operación de "caballo de Troya". Los hackers crearon 31 identidades falsas y, con cuentas falsas en LinkedIn y Upwork, se hicieron pasar por talentosos desarrolladores. Para construir su fachada, incluso afirmaron haber trabajado en proyectos de alto perfil como Polygon, OpenSea y Chainlink.

Una operación meticulosamente planificada

La sofisticación de la operación va más allá de las identidades falsas. Los hackers norcoreanos utilizaron una configuración corporativa detallada para pasar desapercibidos:

• Usaron Google Docs para la gestión de tareas.

• Alquilaron VPN y ordenadores para simular una ubicación y origen legítimos.

• Su presupuesto fue controlado al detalle, lo que les permitió mantener su fachada sin levantar sospechas.

Una vez que se infiltraron en el equipo, instalaron puertas traseras, accedieron a las claves privadas de la compañía y robaron los fondos, disfrazando las transacciones como operaciones normales. El famoso investigador on-chain ZachXBT confirmó que se trataba de un robo interno, no de un ataque externo.

La amenaza real detrás de los ataques

Este incidente no es un caso aislado, sino un pequeño vistazo a un problema de mayor magnitud. Las operaciones de hackers norcoreanos se han convertido en una fuente clave de financiación para el programa de armas del régimen. Solo en 2024, robaron $1.34 mil millones, lo que representa el 60% de los ataques globales. En febrero de 2025, robaron $1.5 mil millones en ETH de Bybit.

Se estima que hay 8,400 agentes informáticos norcoreanos que se hacen pasar por autónomos, buscando oportunidades para infiltrarse y robar. La lección de este ataque es clara: no todas las amenazas provienen del exterior; algunas ya están en nómina.