Guerra invisible: los hackers norcoreanos han penetrado el 20% de las empresas de encriptación

Autor: Pedro Solimano, DL News

Compilado por: Shenchao TechFlow

Pablo Sabbatella, miembro de SEAL y fundador de la empresa de auditoría Web3 opsek.

Fuente: Pedro Solimano

Los agentes norcoreanos ya han infiltrado entre el 15% y el 20% de las empresas de criptomonedas.

Según un miembro de SEAL, entre el 30% y el 40% de las solicitudes de empleo en la industria de las criptomonedas podrían provenir de agentes norcoreanos.

“La industria de las criptomonedas ha sido criticada por tener la “operación de seguridad (opsec) más débil de toda la industria informática”, dijo Pablo Sabbatella.”

El grado de infiltración de Corea del Norte en la industria de las criptomonedas supera con creces la percepción de la gente.

Pablo Sabbatella, fundador de la empresa de auditoría Web3 Opsek y actual miembro de Security Alliance, reveló en la conferencia Devconnect en Buenos Aires que los agentes de Corea del Norte podrían haber infiltrado hasta el 20% de las empresas de criptomonedas.

“La situación en Corea del Norte es mucho peor de lo que la gente imagina”, dijo Sabbatella en una entrevista con DL News. Señaló, además, de manera más impactante, que entre el 30% y el 40% de las solicitudes de empleo en la industria de las criptomonedas podrían provenir de agentes norcoreanos que intentan infiltrarse en las organizaciones pertinentes.

Si estas estimaciones son ciertas, su potencial destructivo sería increíble.

Lo más importante es que la infiltración de Corea del Norte no solo se trata de robar fondos a través de técnicas de hacking, aunque ya han sustraído miles de millones de dólares mediante complejos malware y técnicas de ingeniería social. El problema mayor es que estos agentes son contratados por empresas legítimas, obtienen permisos de sistema y manipulan la infraestructura que sostiene a las principales empresas de criptomonedas.

Según un informe del Departamento del Tesoro de EE. UU. en noviembre del año pasado, los hackers norcoreanos han robado más de 3 mil millones de dólares en criptomonedas en los últimos tres años. Estos fondos se han utilizado luego para apoyar el programa de armas nucleares de Pyongyang.

¿Cómo infiltran los agentes norcoreanos la industria de las criptomonedas?

Los trabajadores norcoreanos generalmente no solicitan puestos directamente, ya que las sanciones internacionales les impiden participar en el proceso de contratación con su verdadera identidad.

Por el contrario, buscarán a trabajadores remotos globales que no tengan idea de lo que está sucediendo para actuar como “agentes”. Algunos de estos agentes incluso se han transformado en reclutadores, ayudando a los agentes norcoreanos a utilizar identidades robadas para contratar más colaboradores en el extranjero.

Según un informe reciente de Security Alliance, estos reclutadores contactan a personas de todo el mundo a través de plataformas de trabajo freelance (como Upwork y Freelancer), con un enfoque principal en Ucrania, Filipinas y otros países en desarrollo.

Su “transacción” es muy simple: proporcionar pruebas de cuenta verificadas o permitir que agentes norcoreanos usen su identidad de forma remota. A cambio, el colaborador puede obtener el 20% de los ingresos, mientras que el agente norcoreano retiene el 80%.

Sabbatella indicó que muchos de los hackers norcoreanos tienen como objetivo a Estados Unidos.

“Su enfoque es encontrar estadounidenses como su 'frente',” explicó Sabbatella, “fingen ser personas de China que no hablan inglés y necesitan ayuda para participar en una entrevista.”

Luego, infectarán las computadoras del personal de “frontend” con malware para obtener direcciones IP de Estados Unidos y acceder a más recursos de internet de los que podrían acceder estando en Corea del Norte.

Una vez contratados, estos hackers generalmente no son despedidos, ya que su desempeño satisface a la empresa.

“Tienen una alta eficiencia en el trabajo, largas horas de trabajo y nunca se quejan”, dijo Sabbatella en una entrevista con DL News.

Sabbatella ofreció un método de prueba simple: “Pregúntales si piensan que Kim Jong-un es un raro o si hay algo malo en él.” Dijo: “No se les permite decir nada malo.”

Vulnerabilidades de seguridad operativa

Sin embargo, el éxito de Corea del Norte no se basa únicamente en una ingeniosa ingeniería social.

Las empresas de criptomonedas, así como los usuarios, hacen que todo sea más fácil.

“La industria de las criptomonedas puede ser la que peor opera en términos de seguridad operativa (opsec) en toda la industria de la computación”, dijo Sabbatella. Criticó que los fundadores de la industria de las criptomonedas “están completamente expuestos (fully doxxed), tienen un mal desempeño en la protección de claves privadas y son fácilmente víctimas de ingeniería social.”

La seguridad operativa (Operational Security, abreviada como OPSEC) es un proceso sistemático utilizado para identificar y proteger información crítica de las amenazas de los oponentes.

La falta de seguridad en las operaciones puede dar lugar a un entorno de alto riesgo. “Casi todas las computadoras de las personas se infectan con malware al menos una vez en su vida”, dijo Sabbatella.

Notas de actualización

Actualización: Este artículo ha sido actualizado con la aclaración de Sabbatella, quien señaló que Corea del Norte no controla el 30%-40% de las aplicaciones criptográficas, y que la proporción mencionada se refiere en realidad al porcentaje de agentes norcoreanos en las solicitudes de empleo en la industria cripto.