{"id":36406,"date":"2025-04-04T18:18:04","date_gmt":"2025-04-04T22:18:04","guid":{"rendered":"https:\/\/elradar.info\/?p=36406"},"modified":"2025-04-04T18:18:05","modified_gmt":"2025-04-04T22:18:05","slug":"el-gran-golpe-de-los-hackers-norcoreanos-de-kim-jong-un-asi-fue-el-mayor-robo-cibernetico-de-la-historia","status":"publish","type":"post","link":"https:\/\/elradar.info\/?p=36406","title":{"rendered":"El gran golpe de los hackers norcoreanos de Kim Jong-un: as\u00ed fue el mayor robo cibern\u00e9tico de la historia"},"content":{"rendered":"\n

Un grupo al servicio del \u2018Amado y Respetado L\u00edder\u2019 consigui\u00f3 sustraer 1.500 millones de d\u00f3lares al portal de criptomonedas Bybit en un solo ataque \u201cextremadamente sofisticado\u201d.<\/em><\/p>\n\n\n\n

Por Manuel G. Pascual

Todo sucedi\u00f3 de noche y en cuesti\u00f3n de minutos. El consejero delegado del portal de intercambio de criptomonedas Bybit, Ben Zhou, realizaba desde el ordenador de su casa una serie de transferencias rutinarias. Al cabo de un rato, recibi\u00f3 una llamada de su empresa: sus reservas de Ethereum \u2014la segunda criptomoneda m\u00e1s usada tras Bitcoin\u2014, por valor de 1.500 millones de d\u00f3lares (cerca de 1.400 millones de euros), se hab\u00edan esfumado. Para entonces, los ethers ya hab\u00edan sido transferidos a miles de billeteras digitales ajenas. Acababan de sufrir el mayor robo de la historia del sector cripto.<\/p>\n\n\n\n

Cinco d\u00edas despu\u00e9s, el FBI confirm\u00f3 lo que algunos analistas sospechaban desde el principio: el golpe fue obra de Lazarus, un grupo de hackers respaldado por el gobierno de Corea del Norte, que se ha convertido en el azote de las plataformas de criptomonedas.<\/p>\n\n\n\n

Zhou se esforz\u00f3 en mostrarse tranquilo en redes sociales inmediatamente despu\u00e9s del ciberataque, llegando incluso a compartir las pulsaciones que mostraba su reloj inteligente para transmitir que todo estaba bajo control. El empresario garantiz\u00f3 a los clientes afectados que recuperar\u00edan el 100 % de sus dep\u00f3sitos. Temerosos de que cundiera el p\u00e1nico en el sector, algunos competidores de Bybit, como Byget, le prestaron ethers por valor de 100 millones de d\u00f3lares, sin intereses, para ayudar a cubrir las p\u00e9rdidas, seg\u00fan inform\u00f3 el New York Times<\/em>.<\/p>\n\n\n\n

Pero el da\u00f1o ya estaba hecho. Menos de 24 horas despu\u00e9s, los clientes de Bybit hab\u00edan retirado criptomonedas por un valor aproximado de 10.000 millones de d\u00f3lares, casi la mitad del volumen total que gestiona la plataforma. El precio de Bitcoin, la criptomoneda de referencia, cay\u00f3 un 20 % al d\u00eda siguiente del ataque, en su peor jornada desde la quiebra de FTX en 2022, el exchange dirigido por Sam Bankman-Fried.<\/p>\n\n\n\n

Robar 1.500 millones de d\u00f3lares de una sola vez no es tarea sencilla. Lazarus \u2014nombre que agrupa a varios equipos de hackers financiados por Corea del Norte\u2014 se reafirma as\u00ed como una referencia mundial en ciberdelincuencia. Antes del golpe a Bybit, el mayor robo conocido en el sector tambi\u00e9n fue suyo: 625 millones de d\u00f3lares en ethers sustra\u00eddos en 2022 de una web relacionada con el videojuego Axie Infinity<\/em>. Las criptomonedas se han convertido en un fil\u00f3n para Lazarus: solo en 2024 robaron criptoactivos por valor de 1.340 millones de d\u00f3lares en 47 incidentes, seg\u00fan un informe de Chainalysis. En 2023, fueron 660 millones a trav\u00e9s de 20 operaciones distintas.<\/p>\n\n\n\n

El golpe del siglo<\/h3>\n\n\n\n

Ha pasado un mes desde el ataque, y los informes forenses han desvelado muchos detalles de la operaci\u00f3n. Todos los analistas consultados coinciden en que se trat\u00f3 de un trabajo al alcance de muy pocos, tanto por su meticulosa planificaci\u00f3n como por la precisi\u00f3n con la que se ejecut\u00f3.<\/p>\n\n\n\n

\n

\u201cEl golpe a Bybit mostr\u00f3 un nivel de sofisticaci\u00f3n extremadamente alto por parte de Lazarus. Combinaron ingenier\u00eda social, conocimiento profundo de infraestructuras DeFi [finanzas descentralizadas] y t\u00e9cnicas de persistencia avanzada para ejecutar uno de los atracos cibern\u00e9ticos m\u00e1s audaces hasta la fecha\u201d, describe Herv\u00e9 Lambert, director de operaciones globales de Panda Security.<\/p>\n<\/blockquote>\n\n\n\n

La clave del \u00e9xito fue que los hackers lograron interceptar una billetera fr\u00eda<\/em>, aquellas que no tienen conexi\u00f3n a internet y que se consideran las m\u00e1s seguras para almacenar criptomonedas. Por eso, Bybit guardaba all\u00ed sus principales reservas de Ethereum. \u00bfC\u00f3mo lograron acceder? La plataforma necesitaba transferir peri\u00f3dicamente fondos desde la billetera fr\u00eda a una billetera caliente<\/em> (conectada a internet) para gestionar operaciones diarias. Eso fue lo que hizo Ben Zhou desde su casa el 21 de febrero.<\/p>\n\n\n\n

O, al menos, eso crey\u00f3 estar haciendo. Lazarus intercept\u00f3 las transferencias y las redirigi\u00f3 a billeteras bajo su control. Para lograrlo, atacaron a un tercero: el proveedor de la billetera que usa Bybit, la plataforma Safe{Wallet}. Tras comprometer el equipo de uno de los desarrolladores de software de Safe{Wallet}, insertaron un c\u00f3digo malicioso en la aplicaci\u00f3n, lo que se conoce como un supply chain attack<\/em> o ataque a la cadena de suministro.<\/p>\n\n\n\n

\n

\u201cEse malware de precisi\u00f3n quir\u00fargica fue dise\u00f1ado para activarse solo bajo condiciones espec\u00edficas, pasando inadvertido ante las defensas habituales\u201d, explica Lambert.<\/p>\n<\/blockquote>\n\n\n\n

Cuando Zhou inici\u00f3 las transferencias desde la billetera fr\u00eda, el c\u00f3digo se ejecut\u00f3, redirigiendo los fondos a las billeteras de los atacantes. Acto seguido, los hackers eliminaron sus huellas: en dos minutos subieron una nueva versi\u00f3n limpia del c\u00f3digo JavaScript al repositorio de Safe{Wallet} en la nube de AWS, eliminando la puerta trasera. Todo ocurri\u00f3 con tal rapidez y sutileza que, para cuando Bybit detect\u00f3 el drenaje an\u00f3malo de fondos, ya era demasiado tarde.<\/p>\n\n\n\n

Una respuesta sin precedentes<\/h3>\n\n\n\n

Bybit lanz\u00f3 una campa\u00f1a de recompensas para quienes logren bloquear las criptomonedas robadas e impedir su intercambio.<\/p>\n\n\n\n

\n

\u201cEste tipo de programas es habitual para encontrar vulnerabilidades en software o hardware (bug bounty<\/em>), pero su uso como respuesta a un incidente de seguridad es, cuanto menos, curioso\u201d, opina Jos\u00e9 Rosell, consejero delegado de S2Grupo.<\/p>\n<\/blockquote>\n\n\n\n

No ha tenido demasiado \u00e9xito: cinco d\u00edas despu\u00e9s del ataque, ya se hab\u00edan blanqueado 400 millones de d\u00f3lares mediante transferencias entre m\u00faltiples monederos intermediarios, conversiones en distintas criptomonedas y el uso de intercambios descentralizados y puentes entre cadenas, seg\u00fan la consultora especializada TRM Labs. Es precisamente el anonimato y la liquidez inmediata que ofrecen las criptomonedas, en comparaci\u00f3n con el dinero bancario tradicional, lo que las hace tan atractivas para la actividad il\u00edcita.<\/p>\n\n\n\n

Robar para financiar al r\u00e9gimen<\/h3>\n\n\n\n

Aunque pocos pa\u00edses lo reconocen oficialmente, muchos financian grupos de hackers de \u00e9lite, conocidos como APT (Amenazas Persistentes Avanzadas). Estas organizaciones, comparables en capacidades a los servicios secretos, suelen dedicarse al espionaje, sabotaje o robo de informaci\u00f3n estrat\u00e9gica.<\/p>\n\n\n\n

La aproximaci\u00f3n de Corea del Norte es distinta: sus grupos se enfocan en generar ingresos para el r\u00e9gimen. Y han encontrado en las criptomonedas una mina de oro. El ataque a Bybit (1.500 millones) y el de Axie Infinity<\/em> (660 millones) son prueba de ello. Seg\u00fan TRM Labs, desde 2021 han robado al menos 5.000 millones de d\u00f3lares en criptoactivos. Un informe del Consejo de Seguridad de la ONU estima que esos fondos representan la mitad de las divisas que ingresan al pa\u00eds.<\/p>\n\n\n\n

Fue Kim Jong-un quien, tras asumir el poder en 2009, apost\u00f3 por el ciberespacio como una v\u00eda de financiaci\u00f3n. Seg\u00fan relata la periodista Anna Fifield en El gran sucesor<\/em> (Capit\u00e1n Swing, 2021), los ni\u00f1os con aptitudes en inform\u00e1tica \u2014algunos de tan solo 11 a\u00f1os\u2014 son enviados a escuelas especiales y luego a la Universidad de Automatizaci\u00f3n de Pyongyang, donde durante cinco a\u00f1os aprenden a hackear y crear virus inform\u00e1ticos.<\/p>\n\n\n\n

Los servicios secretos de EE. UU. y Reino Unido, as\u00ed como Microsoft, atribuyen a Lazarus el ransomware WannaCry 2.0<\/em>, que en 2017 secuestr\u00f3 unos 300.000 ordenadores en 150 pa\u00edses, incluidos los del sistema sanitario brit\u00e1nico. Tambi\u00e9n se les vincula con el ataque a Sony Pictures en 2014, en represalia por una pel\u00edcula que satirizaba al \u201cAmado y Respetado L\u00edder\u201d. M\u00e1s recientemente, se ha descubierto que infiltraron a sus hackers como empleados en empresas tecnol\u00f3gicas para robar informaci\u00f3n sensible y dinero.<\/p>\n\n\n\n

\u201cNuestro equipo ha identificado nuevas campa\u00f1as que muestran un nivel de sofisticaci\u00f3n creciente\u201d, afirma Marc Rivero, investigador de Kaspersky. \u201cUn ejemplo es la operaci\u00f3n DreamJob<\/em> \u2014tambi\u00e9n conocida como DeathNote<\/em>\u2014, donde utilizaron malware avanzado para comprometer a empleados de una planta nuclear en Brasil\u201d.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un grupo al servicio del \u2018Amado y Respetado L\u00edder\u2019 consigui\u00f3 sustraer 1.500 millones de d\u00f3lares al portal de criptomonedas Bybit en un solo ataque \u201cextremadamente sofisticado\u201d. Por Manuel G. Pascual Todo sucedi\u00f3 de noche y en cuesti\u00f3n de minutos. El consejero delegado del portal de intercambio de criptomonedas Bybit, Ben Zhou, realizaba desde el ordenador de su casa una serie de transferencias rutinarias. Al cabo de un rato, recibi\u00f3 una llamada de su empresa: sus reservas de Ethereum \u2014la segunda criptomoneda m\u00e1s usada tras Bitcoin\u2014, por valor de 1.500 millones de d\u00f3lares (cerca de 1.400 millones de euros), se hab\u00edan<\/p>\n","protected":false},"author":1,"featured_media":36409,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[174],"tags":[109,313,113,293,1094,167],"class_list":["post-36406","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-opinion","tag-bolivia","tag-cochabamba","tag-internacional","tag-la-paz","tag-nacional","tag-santa-cruz"],"jetpack_featured_media_url":"https:\/\/elradar.info\/wp-content\/uploads\/2025\/04\/kim-portada2.jpg","jetpack_sharing_enabled":true,"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/elradar.info\/index.php?rest_route=\/wp\/v2\/posts\/36406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elradar.info\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/elradar.info\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/elradar.info\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elradar.info\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=36406"}],"version-history":[{"count":1,"href":"https:\/\/elradar.info\/index.php?rest_route=\/wp\/v2\/posts\/36406\/revisions"}],"predecessor-version":[{"id":36410,"href":"https:\/\/elradar.info\/index.php?rest_route=\/wp\/v2\/posts\/36406\/revisions\/36410"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elradar.info\/index.php?rest_route=\/wp\/v2\/media\/36409"}],"wp:attachment":[{"href":"https:\/\/elradar.info\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=36406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/elradar.info\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=36406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/elradar.info\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=36406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}