Un grupo al servicio del ‘Amado y Respetado Líder’ consiguió sustraer 1.500 millones de dólares al portal de criptomonedas Bybit en un solo ataque “extremadamente sofisticado”.
Por Manuel G. Pascual
Todo sucedió de noche y en cuestión de minutos. El consejero delegado del portal de intercambio de criptomonedas Bybit, Ben Zhou, realizaba desde el ordenador de su casa una serie de transferencias rutinarias. Al cabo de un rato, recibió una llamada de su empresa: sus reservas de Ethereum —la segunda criptomoneda más usada tras Bitcoin—, por valor de 1.500 millones de dólares (cerca de 1.400 millones de euros), se habían esfumado. Para entonces, los ethers ya habían sido transferidos a miles de billeteras digitales ajenas. Acababan de sufrir el mayor robo de la historia del sector cripto.
Cinco días después, el FBI confirmó lo que algunos analistas sospechaban desde el principio: el golpe fue obra de Lazarus, un grupo de hackers respaldado por el gobierno de Corea del Norte, que se ha convertido en el azote de las plataformas de criptomonedas.
Zhou se esforzó en mostrarse tranquilo en redes sociales inmediatamente después del ciberataque, llegando incluso a compartir las pulsaciones que mostraba su reloj inteligente para transmitir que todo estaba bajo control. El empresario garantizó a los clientes afectados que recuperarían el 100 % de sus depósitos. Temerosos de que cundiera el pánico en el sector, algunos competidores de Bybit, como Byget, le prestaron ethers por valor de 100 millones de dólares, sin intereses, para ayudar a cubrir las pérdidas, según informó el New York Times.
Pero el daño ya estaba hecho. Menos de 24 horas después, los clientes de Bybit habían retirado criptomonedas por un valor aproximado de 10.000 millones de dólares, casi la mitad del volumen total que gestiona la plataforma. El precio de Bitcoin, la criptomoneda de referencia, cayó un 20 % al día siguiente del ataque, en su peor jornada desde la quiebra de FTX en 2022, el exchange dirigido por Sam Bankman-Fried.
Robar 1.500 millones de dólares de una sola vez no es tarea sencilla. Lazarus —nombre que agrupa a varios equipos de hackers financiados por Corea del Norte— se reafirma así como una referencia mundial en ciberdelincuencia. Antes del golpe a Bybit, el mayor robo conocido en el sector también fue suyo: 625 millones de dólares en ethers sustraídos en 2022 de una web relacionada con el videojuego Axie Infinity. Las criptomonedas se han convertido en un filón para Lazarus: solo en 2024 robaron criptoactivos por valor de 1.340 millones de dólares en 47 incidentes, según un informe de Chainalysis. En 2023, fueron 660 millones a través de 20 operaciones distintas.
El golpe del siglo
Ha pasado un mes desde el ataque, y los informes forenses han desvelado muchos detalles de la operación. Todos los analistas consultados coinciden en que se trató de un trabajo al alcance de muy pocos, tanto por su meticulosa planificación como por la precisión con la que se ejecutó.
“El golpe a Bybit mostró un nivel de sofisticación extremadamente alto por parte de Lazarus. Combinaron ingeniería social, conocimiento profundo de infraestructuras DeFi [finanzas descentralizadas] y técnicas de persistencia avanzada para ejecutar uno de los atracos cibernéticos más audaces hasta la fecha”, describe Hervé Lambert, director de operaciones globales de Panda Security.
La clave del éxito fue que los hackers lograron interceptar una billetera fría, aquellas que no tienen conexión a internet y que se consideran las más seguras para almacenar criptomonedas. Por eso, Bybit guardaba allí sus principales reservas de Ethereum. ¿Cómo lograron acceder? La plataforma necesitaba transferir periódicamente fondos desde la billetera fría a una billetera caliente (conectada a internet) para gestionar operaciones diarias. Eso fue lo que hizo Ben Zhou desde su casa el 21 de febrero.
O, al menos, eso creyó estar haciendo. Lazarus interceptó las transferencias y las redirigió a billeteras bajo su control. Para lograrlo, atacaron a un tercero: el proveedor de la billetera que usa Bybit, la plataforma Safe{Wallet}. Tras comprometer el equipo de uno de los desarrolladores de software de Safe{Wallet}, insertaron un código malicioso en la aplicación, lo que se conoce como un supply chain attack o ataque a la cadena de suministro.
“Ese malware de precisión quirúrgica fue diseñado para activarse solo bajo condiciones específicas, pasando inadvertido ante las defensas habituales”, explica Lambert.
Cuando Zhou inició las transferencias desde la billetera fría, el código se ejecutó, redirigiendo los fondos a las billeteras de los atacantes. Acto seguido, los hackers eliminaron sus huellas: en dos minutos subieron una nueva versión limpia del código JavaScript al repositorio de Safe{Wallet} en la nube de AWS, eliminando la puerta trasera. Todo ocurrió con tal rapidez y sutileza que, para cuando Bybit detectó el drenaje anómalo de fondos, ya era demasiado tarde.
Una respuesta sin precedentes
Bybit lanzó una campaña de recompensas para quienes logren bloquear las criptomonedas robadas e impedir su intercambio.
“Este tipo de programas es habitual para encontrar vulnerabilidades en software o hardware (bug bounty), pero su uso como respuesta a un incidente de seguridad es, cuanto menos, curioso”, opina José Rosell, consejero delegado de S2Grupo.
No ha tenido demasiado éxito: cinco días después del ataque, ya se habían blanqueado 400 millones de dólares mediante transferencias entre múltiples monederos intermediarios, conversiones en distintas criptomonedas y el uso de intercambios descentralizados y puentes entre cadenas, según la consultora especializada TRM Labs. Es precisamente el anonimato y la liquidez inmediata que ofrecen las criptomonedas, en comparación con el dinero bancario tradicional, lo que las hace tan atractivas para la actividad ilícita.
Robar para financiar al régimen
Aunque pocos países lo reconocen oficialmente, muchos financian grupos de hackers de élite, conocidos como APT (Amenazas Persistentes Avanzadas). Estas organizaciones, comparables en capacidades a los servicios secretos, suelen dedicarse al espionaje, sabotaje o robo de información estratégica.
La aproximación de Corea del Norte es distinta: sus grupos se enfocan en generar ingresos para el régimen. Y han encontrado en las criptomonedas una mina de oro. El ataque a Bybit (1.500 millones) y el de Axie Infinity (660 millones) son prueba de ello. Según TRM Labs, desde 2021 han robado al menos 5.000 millones de dólares en criptoactivos. Un informe del Consejo de Seguridad de la ONU estima que esos fondos representan la mitad de las divisas que ingresan al país.
Fue Kim Jong-un quien, tras asumir el poder en 2009, apostó por el ciberespacio como una vía de financiación. Según relata la periodista Anna Fifield en El gran sucesor (Capitán Swing, 2021), los niños con aptitudes en informática —algunos de tan solo 11 años— son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang, donde durante cinco años aprenden a hackear y crear virus informáticos.
Los servicios secretos de EE. UU. y Reino Unido, así como Microsoft, atribuyen a Lazarus el ransomware WannaCry 2.0, que en 2017 secuestró unos 300.000 ordenadores en 150 países, incluidos los del sistema sanitario británico. También se les vincula con el ataque a Sony Pictures en 2014, en represalia por una película que satirizaba al “Amado y Respetado Líder”. Más recientemente, se ha descubierto que infiltraron a sus hackers como empleados en empresas tecnológicas para robar información sensible y dinero.
“Nuestro equipo ha identificado nuevas campañas que muestran un nivel de sofisticación creciente”, afirma Marc Rivero, investigador de Kaspersky. “Un ejemplo es la operación DreamJob —también conocida como DeathNote—, donde utilizaron malware avanzado para comprometer a empleados de una planta nuclear en Brasil”.
