{"id":21619,"date":"2025-04-05T01:46:46","date_gmt":"2025-04-05T05:46:46","guid":{"rendered":"https:\/\/noticiasveraces.com\/?p=21619"},"modified":"2025-04-05T01:46:46","modified_gmt":"2025-04-05T05:46:46","slug":"el-gran-golpe-de-los-hackers-norcoreanos-de-kim-jong-un-asi-fue-el-mayor-robo-cibernetico-de-la-historia-tecnologia","status":"publish","type":"post","link":"https:\/\/noticiasveraces.com\/?p=21619","title":{"rendered":"El gran golpe de los hackers norcoreanos de Kim Jong-un: as\u00ed fue el mayor robo cibern\u00e9tico de la historia | Tecnolog\u00eda"},"content":{"rendered":"<p> \n<\/p>\n<div data-dtm-region=\"articulo_cuerpo\">\n<p class=\"\">Todo sucedi\u00f3 de noche y en cuesti\u00f3n de minutos. El consejero delegado del portal de cambio de criptomonedas Bybit, Ben Zhou, realiz\u00f3 desde el ordenador de su casa una serie de transferencias rutinarias. Al cabo de un rato, le llamaron de su empresa para decirle que se hab\u00edan esfumado sus reservas de Ethereum, la segunda criptomoneda m\u00e1s usada tras Bitcoin, por valor de 1.500 millones de d\u00f3lares (cerca de 1.400 millones de euros al cambio). Para entonces, los <i>\u00e9ter<\/i> ya se hab\u00edan transferido a miles de billeteras digitales ajenas. Acababan de sufrir el mayor robo de la historia. El FBI confirm\u00f3 cinco d\u00edas despu\u00e9s lo que algunos analistas sospechaban desde el primer momento: el golpe fue obra de Lazarus, un grupo de hackers apoyado por el gobierno de Corea del Norte que se ha convertido en el azote del sector <i>Cripto<\/i>.<\/p>\n<p class=\"\">Zhou se esforz\u00f3 en mostrarse tranquilo en las redes sociales inmediatamente despu\u00e9s del ciberataque, llegando incluso a compartir las pulsaciones que mostraba su reloj inteligente para transmitir que todo estaba bajo control. El empresario garantiz\u00f3 a sus clientes afectados por el robo que se les devolver\u00eda el 100% de sus dep\u00f3sitos. Temerosos de que cundiera el p\u00e1nico en el sector, algunos competidores de la plataforma o <i>intercambio<\/i> Bybit, como Byget, le prestaron sin intereses <i>\u00e9ter<\/i> por valor de 100 millones para que pudieran devolver los dep\u00f3sitos, seg\u00fan inform\u00f3 el <i>New York Times<\/i>.<\/p>\n<div id=\"sum_twitter\" data-oembed-type=\"twitter\" class=\"a_em _df\">\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Algunos de ustedes vieron que estoy usando un grito y me preguntaron c\u00f3mo es mi monitor de estr\u00e9s anoche. Aqu\u00ed est\u00e1, no dorm\u00ed nada, pero en realidad no se ve tan mal, supongo que estaba demasiado concentrado al mando de todas las reuniones. Olvid\u00e9 estresar &#8230; Creo que llegar\u00e1 pronto cuando yo &#8230; <a href=\"https:\/\/t.co\/MWypWyUSR9\">pic.twitter.com\/mwypwyusr9<\/a><\/p>\n<p>&#8211; Ben Zhou (@benbybit) <a href=\"https:\/\/twitter.com\/benbybit\/status\/1893141031342035411?ref_src=twsrc%5Etfw\">22 de febrero de 2025<\/a><\/p><\/blockquote>\n<\/div>\n<p class=\"\">Pero el da\u00f1o ya estaba hecho. Menos de 24 horas despu\u00e9s, los clientes de Bybit hab\u00edan retirado criptomonedas por valor de unos 10.000 millones de d\u00f3lares, casi la mitad del volumen total que gestiona la plataforma. El valor del bitcoin, la cripto de referencia, cay\u00f3 un 20% el d\u00eda despu\u00e9s del ciberataque en su peor jornada desde la bancarrota en 2022 de FTX, el <i>intercambio<\/i> dirigido por Sam Bankman-Fried, el <i>criptobro<\/i> de moda hasta ese momento.<\/p>\n<aside class=\"a_ei\">\n<header class=\"a_ei_h _db\">M\u00e1s informaci\u00f3n<\/header>\n<\/aside>\n<p class=\"\">Robar 1.500 millones de d\u00f3lares de una sola vez no es sencillo. Lazarus, el t\u00e9rmino paraguas que engloba a los distintos equipos de hackers financiados por Corea del Norte, se reafirma como referencia mundial en la ciberdelincuencia. Antes del golpe de Bybit, el mayor robo cibern\u00e9tico del que se ten\u00eda constancia, de 2022, tambi\u00e9n era suyo: 625 millones de d\u00f3lares en <i>\u00e9ter<\/i> sustra\u00eddos a una web relacionada con el videojuego Axie Infinity. Las criptomonedas son un fil\u00f3n para Lazarus: en 2024, robaron criptos por valor de 1.340 millones de d\u00f3lares en 47 incidentes, seg\u00fan un informe de Chainalysis. En 2023, fueron 660 millones obtenidos a trav\u00e9s de 20 acciones distintas.<\/p>\n<h3 class=\"\">El golpe del siglo<\/h3>\n<p class=\"\">Ha pasado un mes del gran golpe y los informes forenses han desvelado muchos detalles de la operaci\u00f3n de Lazarus. Todos los analistas consultados coinciden en describirlo como un trabajo al alcance de muy pocos, tanto por su minuciosa planificaci\u00f3n como por la precisi\u00f3n con la que se llev\u00f3 a cabo. \u201cEl golpe a Bybit mostr\u00f3 un nivel de sofisticaci\u00f3n extremadamente alto por parte de Lazarus. Combinaron ingenier\u00eda social, conocimiento profundo de infraestructuras DeFi [finanzas descentralizadas] y t\u00e9cnicas de persistencia avanzada para ejecutar uno de los atracos cibern\u00e9ticos m\u00e1s audaces hasta la fecha\u201d, describe Herv\u00e9 Lambert, director de operaciones globales de Panda Security.<\/p>\n<p class=\"\">La clave del \u00e9xito de los hackers norcoreanos es que fueron capaces de interceptar una billetera fr\u00eda, las que no tienen conexi\u00f3n a internet, consideradas hasta ahora las m\u00e1s seguras para guardar criptomonedas. De ah\u00ed que Bybit almacenara en una de ellas sus grandes reservas de Ethereum. \u00bfC\u00f3mo lograron acceder a esos fondos? Bybit deb\u00eda transferir peri\u00f3dicamente criptomonedas de la billetera fr\u00eda a una billetera caliente (conectada a internet) para gestionar operaciones diarias. Eso es lo que hizo desde su casa Ben Zhou el pasado 21 de febrero.<\/p>\n<p class=\"\">O, mejor dicho, eso es lo que pens\u00f3 que estaba haciendo. Los hackers de Lazarus lograron interceptar las transferencias y redirigirlas a varias cuentas bajo su poder. Para conseguirlo, atacaron a un tercero: al proveedor de la billetera que usa el <i>intercambio<\/i>la plataforma Safe{Wallet}. Lazarus consigui\u00f3 hacerse con el control del equipo de uno de los desarrolladores de software de Safe{Wallet} y, una vez dentro de la infraestructura de esa plataforma, insertaron un c\u00f3digo malicioso oculto en su aplicaci\u00f3n. Es lo que en la jerga se conoce como un <i>ataque de la cadena de suministro<\/i>un ataque a un socio tecnol\u00f3gico de la v\u00edctima.<\/p>\n<p class=\"\">\u201cEse <i>malware<\/i> de precisi\u00f3n quir\u00fargica fue dise\u00f1ado para activarse solo bajo condiciones espec\u00edficas, pasando inadvertido a las defensas habituales\u201d, explica Lambert. Cuando Zhou inici\u00f3 las transferencias rutinarias desde la billetera fr\u00eda, el c\u00f3digo malicioso se ejecut\u00f3, manipulando las transacciones para enviarlas a las carteras de los atacantes en lugar de a las leg\u00edtimas. \u201cInmediatamente despu\u00e9s de realizarse la transacci\u00f3n, los hackers borraron sus huellas: en dos minutos subieron nuevas versiones limpias del c\u00f3digo JavaScript al repositorio de Safe{Wallet} en [la nube de] AWS, eliminando la puerta trasera que hab\u00edan usado. Todo el ataque ocurri\u00f3 con tal rapidez y sutileza que, para cuando Bybit detect\u00f3 el an\u00f3malo drenaje de sus fondos, ya era demasiado tarde: los <i>\u00e9ter<\/i> estaban controlados por Lazarus\u201d.<\/p>\n<figure class=\"a_m a_m-h \"><span class=\"_db a_m_w\"><img alt=\"Estudiantes norcoreanos utilizan ordenadores en el Complejo Sci-Tech de Pyongyang, en junio de 2017.\" decoding=\"auto\" class=\"_re lazyload a_m-h\" height=\"276\" srcset=\"https:\/\/imagenes.elpais.com\/resizer\/v2\/L4YADYJVVZNF3LGBSFOPHB47G4.jpg?auth=094c446a33cf9558871d48b0a2a07f118c524addfb7ed2ae56b96cbedbb34eb1&amp;width=414 414w,https:\/\/imagenes.elpais.com\/resizer\/v2\/L4YADYJVVZNF3LGBSFOPHB47G4.jpg?auth=094c446a33cf9558871d48b0a2a07f118c524addfb7ed2ae56b96cbedbb34eb1&amp;width=828 640w,https:\/\/imagenes.elpais.com\/resizer\/v2\/L4YADYJVVZNF3LGBSFOPHB47G4.jpg?auth=094c446a33cf9558871d48b0a2a07f118c524addfb7ed2ae56b96cbedbb34eb1&amp;width=980 1000w,https:\/\/imagenes.elpais.com\/resizer\/v2\/L4YADYJVVZNF3LGBSFOPHB47G4.jpg?auth=094c446a33cf9558871d48b0a2a07f118c524addfb7ed2ae56b96cbedbb34eb1&amp;width=1960 1960w\" width=\"414\" sizes=\"auto, (min-width:1199px) 1155px,(min-width:1001px) calc(100vw - 44px),(min-width:768px) 767px, 100vw\" src=\"https:\/\/imagenes.elpais.com\/resizer\/v2\/L4YADYJVVZNF3LGBSFOPHB47G4.jpg?auth=094c446a33cf9558871d48b0a2a07f118c524addfb7ed2ae56b96cbedbb34eb1&amp;width=414\" loading=\"lazy\"\/><\/span><figcaption class=\"a_m_p\" aria-hidden=\"true\"><span>Estudiantes norcoreanos utilizan ordenadores en el Complejo Sci-Tech de Pyongyang, en junio de 2017.<\/span><span class=\"a_m_m\">Maye-e (AP)<\/span><\/figcaption><\/figure>\n<p class=\"\">Bybit lanz\u00f3 una serie de recompensas para quienes logren bloquear las criptomonedas robadas, impidiendo su intercambio. \u201cEste tipo de programas es habitual, por ejemplo, a la hora de encontrar vulnerabilidades en software o hardware (<i>recompensa de insectos<\/i>), pero su aplicaci\u00f3n como respuesta a un incidente de seguridad es, cuanto menos, curiosa\u201d, opina Jos\u00e9 Rosell, consejero delegado de S2Grupo. No han conseguido mucho por esta v\u00eda: cinco d\u00edas despu\u00e9s del ataque, \u201cya se hab\u00edan blanqueado 400 millones mediante transferencias a trav\u00e9s de m\u00faltiples monederos intermediarios, la conversi\u00f3n en diferentes criptomonedas y el uso de intercambios descentralizados y puentes entre cadenas para ofuscar el rastro\u201d, seg\u00fan estima un informe de la consultora especializada TRM Labs. Es precisamente el anonimato y la liquidez r\u00e1pida que ofrecen las criptomonedas, si se las compara con el dinero bancario tradicional, lo que las hace tan atractivas para las actividades il\u00edcitas.<\/p>\n<h3 class=\"\">Robar para mayor gloria del r\u00e9gimen<\/h3>\n<p class=\"\">Aunque ninguno lo reconoce oficialmente, muchos pa\u00edses financian y apoyan a grupos de hackers de \u00e9lite, conocidos como APT (amenazas avanzadas persistentes). Se trata de organizaciones muy bien estructuradas y con profesionales de primer nivel, cuyas capacidades suelen estar a la par que la de los servicios secretos de las grandes potencias. Con una diferencia: act\u00faan, supuestamente, sin bandera. Suelen dedicarse al espionaje industrial, el sabotaje o la obtenci\u00f3n de documentos militares o de valor estrat\u00e9gico.<\/p>\n<p class=\"\">La aproximaci\u00f3n de Corea del Norte es distinta. Sus equipos de hackers est\u00e1n principalmente enfocados a obtener fondos para el r\u00e9gimen. Y han encontrado en las criptomonedas una fuente de ingresos importante. El reciente golpe de Bybit (1.500 millones de d\u00f3lares) y el de Axie Infinity (660 millones) son buena prueba de ello. El portal especializado TRM Labs calcula que los hackers norcoreanos se han hecho al menos con 5.000 millones de d\u00f3lares en criptomonedas solo desde 2021. Y un informe del Consejo de Seguridad de Naciones Unidas estima que los fondos aportados por estos grupos suponen la mitad de las divisas que llegan a Corea del Norte.<\/p>\n<p class=\"\">Fue Kim Jong-un, nieto del fundador de la dinast\u00eda de dictadores, quien dedujo que el r\u00e9gimen le pod\u00eda sacar mucho partido al ciberespacio. Seg\u00fan cuenta la periodista Anna Fifield en su libro <i>El gran sucesor<\/i> (Capit\u00e1n Swing, 2021), apost\u00f3 por ello nada m\u00e1s heredar las riendas del pa\u00eds, en 2009. \u201cLos estudiantes que muestran posibles aptitudes [para la inform\u00e1tica]algunos de tan solo 11 a\u00f1os, son enviados a escuelas especiales y luego a la Universidad de Automatizaci\u00f3n de Pyongyang\u201d, donde \u201ca lo largo de cinco a\u00f1os se les ense\u00f1a a <i>cortar<\/i> sistemas y a crear virus inform\u00e1ticos\u201d, escribe Fifield.<\/p>\n<p class=\"\">Los servicios secretos de EE UU y Reino Unido, as\u00ed como Microsoft, le atribuyen a Lazarus el lanzamiento en 2017 de WannaCry 2.0, el mayor <i>ransomware<\/i> de la historia. Ese virus inform\u00e1tico secuestr\u00f3 unos 300.000 ordenadores de 150 pa\u00edses, incluyendo los del sistema sanitario de Reino Unido, y pidi\u00f3 un rescate a cambio de su liberaci\u00f3n. Fue muy sonado tambi\u00e9n el ciberataque contra Sony Pictures de 2014, productora a la que atac\u00f3 por hacer un filme que se mofaba del Amado y Respetado L\u00edder, una de las formas oficiales de dirigirse a Kim Jong-un. M\u00e1s recientemente, se supo que fueron capaces de colocar a sus hackers como empleados en un centenar de empresas tecnol\u00f3gicas para robar informaci\u00f3n sensible y dinero.<\/p>\n<p class=\"\">\u201cNuestro equipo de investigaci\u00f3n ha identificado nuevas campa\u00f1as que muestran un nivel de sofisticaci\u00f3n de este grupo\u201d, dice Marc Rivero, responsable de investigaci\u00f3n de seguridad de Kaspersky. \u201cUn ejemplo es la operaci\u00f3n DreamJob, tambi\u00e9n conocida como DeathNote, en la que han utilizado <i>malware<\/i> avanzado para comprometer a empleados de una empresa nuclear en Brasil\u201d.<\/p>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/>\n","protected":false},"excerpt":{"rendered":"<p>Todo sucedi\u00f3 de noche y en cuesti\u00f3n de minutos. El consejero delegado del portal de cambio de criptomonedas Bybit, Ben Zhou, realiz\u00f3 desde el ordenador de su casa una serie de transferencias rutinarias. Al cabo de un rato, le llamaron de su empresa para decirle que se hab\u00edan esfumado sus reservas de Ethereum, la segunda &hellip;<\/p>\n","protected":false},"author":1,"featured_media":21620,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"fifu_image_url":"https:\/\/imagenes.elpais.com\/resizer\/v2\/AFEIU4T7P5N67CSPJIFHC2RGPY.jpg?auth=3b7ef4d74ea1c9995b5f91e45050fda77e13dd2826ab81968fcf418b12b43e62&width=1200","fifu_image_alt":"","footnotes":""},"categories":[2],"tags":[],"class_list":["post-21619","post","type-post","status-publish","format-standard","has-post-thumbnail","","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/posts\/21619","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21619"}],"version-history":[{"count":0,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/posts\/21619\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=\/wp\/v2\/media\/21620"}],"wp:attachment":[{"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/noticiasveraces.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}