Así fue el mayor robo cripto: hackers norcoreanos de Kim Jong-un sustraen 1.500 millones en minutos

Todo sucedió de noche y en cuestión de minutos. El consejero delegado del portal de cambio de criptomonedas Bybit, Ben Zhou, realizó desde el ordenador de su casa una serie de transferencias rutinarias. 

• Rusia, China y Corea del Norte elevaron reclutamiento de cibercrimanales, dice Microsoft

Al cabo de un rato, le llamaron de su empresa para decirle que se habían esfumado sus reservas de Ethereum, la segunda criptomoneda más usada tras Bitcoin, por valor de  USD 1.500 millones. Para entonces, los ethers ya se habían transferido a miles de billeteras digitales ajenas. Acababan de sufrir el mayor robo de la historia.

El FBI confirmó cinco días después lo que algunos analistas sospechaban desde el primer momento: el golpe fue obra de Lazarus, un grupo de hackers apoyado por el gobierno de Corea del Norte que se ha convertido en el azote del sector cripto.

Zhou se esforzó en mostrarse tranquilo en las redes sociales inmediatamente después del ciberataque, llegando incluso a compartir las pulsaciones que mostraba su reloj inteligente para transmitir que todo estaba bajo control. El empresario garantizó a sus clientes afectados por el robo que se les devolvería el 100% de sus depósitos.

Temerosos de que cundiera el pánico en el sector, algunos competidores de la plataforma o exchange Bybit, como Byget, le prestaron sin intereses ethers por valor de 100 millones para que pudieran devolver los depósitos, según informó el medio estadounidense New York Times.

Pero el daño ya estaba hecho. Menos de 24 horas después, los clientes de Bybit habían retirado criptomonedas por valor de unos USD 10.000 millones, casi la mitad del volumen total que gestiona la plataforma.

El valor del bitcoin, la cripto de referencia, cayó un 20% el día después del ciberataque en su peor jornada desde la bancarrota en 2022 de FTX, el exchange dirigido por Sam Bankman-Fried, el criptobro de moda hasta ese momento.

Robar USD 1.500 millones de una sola vez no es sencillo. Lazarus, el término paraguas que engloba a los distintos equipos de hackers financiados por Corea del Norte, se reafirma como referencia mundial en la ciberdelincuencia. Antes del golpe de Bybit, el mayor robo cibernético del que se tenía constancia, de 2022, también era suyo: 

USD 625 millones en ethers sustraídos a una web relacionada con el videojuego Axie Infinity. Las criptomonedas son un filón para Lazarus: en 2024, robaron criptos por valor de USD 1.340 millones en 47 incidentes, según un informe de Chainalysis. En 2023, fueron 660 millones obtenidos a través de 20 acciones distintas.

El golpe del siglo

Ha pasado un mes del gran golpe y los informes forenses han desvelado muchos detalles de la operación de Lazarus. Todos los analistas consultados coinciden en describirlo como un trabajo al alcance de muy pocos, tanto por su minuciosa planificación como por la precisión con la que se llevó a cabo. 

“El golpe a Bybit mostró un nivel de sofisticación extremadamente alto por parte de Lazarus. Combinaron ingeniería social, conocimiento profundo de infraestructuras DeFi [finanzas descentralizadas] y técnicas de persistencia avanzada para ejecutar uno de los atracos cibernéticos más audaces hasta la fecha”, describe Hervé Lambert, director de operaciones globales de Panda Security.

La clave del éxito de los hackers norcoreanos es que fueron capaces de interceptar una billetera fría, que son dispositivos o métodos para guardar claves de criptomonedas sin conexión a internet, consideradas hasta ahora las más seguras. De ahí que Bybit almacenara en una de ellas sus grandes reservas de Ethereum.

¿Cómo lograron acceder a esos fondos? Bybit debía transferir periódicamente criptomonedas de la billetera fría a una billetera caliente (conectada a internet) para gestionar operaciones diarias. Eso es lo que hizo desde su casa Ben Zhou el  21 de febrero de 2025.

O, mejor dicho, eso es lo que pensó que estaba haciendo. Los hackers de Lazarus lograron interceptar las transferencias y redirigirlas a varias cuentas bajo su poder. Para conseguirlo, atacaron a un tercero: al proveedor de la billetera que usa el exchange, la plataforma Safe{Wallet}. 

Lazarus consiguió hacerse con el control del equipo de uno de los desarrolladores de software de Safe{Wallet} y, una vez dentro de la infraestructura de esa plataforma, insertaron un código malicioso oculto en su aplicación. Es lo que en la jerga se conoce como un supply chain attack, un ataque a un socio tecnológico de la víctima.

“Ese malware de precisión quirúrgica fue diseñado para activarse solo bajo condiciones específicas, pasando inadvertido a las defensas habituales”, explica Lambert. Cuando Zhou inició las transferencias rutinarias desde la billetera fría, el código malicioso se ejecutó, manipulando las transacciones para enviarlas a las carteras de los atacantes en lugar de a las legítimas. 

“Inmediatamente después de realizarse la transacción, los hackers borraron sus huellas: en dos minutos subieron nuevas versiones limpias del código JavaScript al repositorio de Safe{Wallet} en [la nube de] AWS, eliminando la puerta trasera que habían usado. Todo el ataque ocurrió con tal rapidez y sutileza que, para cuando Bybit detectó el anómalo drenaje de sus fondos, ya era demasiado tarde: los ethers estaban controlados por Lazarus”, agrega.

Bybit lanzó una serie de recompensas para quienes logren bloquear las criptomonedas robadas, impidiendo su intercambio. “Este tipo de programas es habitual, por ejemplo, a la hora de encontrar vulnerabilidades en software o hardware (bug bounty), pero su aplicación como respuesta a un incidente de seguridad es, cuanto menos, curiosa”, opina José Rosell, consejero delegado de S2Grupo.

No han conseguido mucho por esta vía: cinco días después del ataque, “ya se habían blanqueado 400 millones mediante transferencias a través de múltiples monederos intermediarios, la conversión en diferentes criptomonedas y el uso de intercambios descentralizados y puentes entre cadenas para ofuscar el rastro”, según estima un informe de la consultora especializada TRM Labs.

Es precisamente el anonimato y la liquidez rápida que ofrecen las criptomonedas, si se las compara con el dinero bancario tradicional, lo que las hace tan atractivas para las actividades ilícitas.

Robar para mayor gloria del régimen

Aunque ninguno lo reconoce oficialmente, muchos países financian y apoyan a grupos de hackers de élite, conocidos como APT (amenazas avanzadas persistentes). Se trata de organizaciones muy bien estructuradas y con profesionales de primer nivel, cuyas capacidades suelen estar a la par que la de los servicios secretos de las grandes potencias. 

Con una diferencia: actúan, supuestamente, sin bandera. Suelen dedicarse al espionaje industrial, el sabotaje o la obtención de documentos militares o de valor estratégico.

La aproximación de Corea del Norte es distinta. Sus equipos de hackers están principalmente enfocados a obtener fondos para el régimen. Y han encontrado en las criptomonedas una fuente de ingresos importante. El reciente golpe de Bybit (USD 1.500 millones) y el de Axie Infinity (USD 660 millones) son buena prueba de ello. 

El portal especializado TRM Labs calcula que los hackers norcoreanos se han hecho al menos con USD 5.000 millones en criptomonedas solo desde 2021. Y un informe del Consejo de Seguridad de Naciones Unidas estima que los fondos aportados por estos grupos suponen la mitad de las divisas que llegan a Corea del Norte.

Fue Kim Jong-un, nieto del fundador de la dinastía de dictadores, quien dedujo que el régimen le podía sacar mucho partido al ciberespacio. Según cuenta la periodista Anna Fifield en su libro 'El gran sucesor' (Capitán Swing, 2021), apostó por ello nada más heredar las riendas del país, en 2009.

“Los estudiantes que muestran posibles aptitudes [para la informática], algunos de tan solo 11 años, son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang”, donde “a lo largo de cinco años se les enseña a hackear sistemas y a crear virus informáticos”, escribe Fifield.

Los servicios secretos de Estados Unidos y Reino Unido, así como Microsoft, le atribuyen a Lazarus el lanzamiento en 2017 de WannaCry 2.0, el mayor ransomware de la historia (un virus que impide el acceso a tus archivos y exige un pago para devolverte el control). Ese virus informático secuestró unos 300.000 ordenadores de 150 países, incluyendo los del sistema sanitario de Reino Unido, y pidió un rescate a cambio de su liberación. 

Fue muy sonado también el ciberataque contra Sony Pictures de 2014, productora a la que atacó por hacer un filme que se mofaba del Amado y Respetado Líder, una de las formas oficiales de dirigirse a Kim Jong-un. Más recientemente, se supo que fueron capaces de colocar a sus hackers como empleados en un centenar de empresas tecnológicas para robar información sensible y dinero.

“Nuestro equipo de investigación ha identificado nuevas campañas que muestran un nivel de sofisticación de este grupo”, dice Marc Rivero, responsable de investigación de seguridad de Kaspersky.

“Un ejemplo es la operación DreamJob, también conocida como DeathNote, en la que han utilizado malware avanzado para comprometer a empleados de una empresa nuclear en Brasil”.

Contenido publicado el 03 de abril de 2025 en El País, ©EDICIONES EL PAÍS S.L.U.. Se reproduce este contenido con exclusividad para Ecuador por acuerdo editorial con PRISA MEDIA.