Los piratas informáticos norcoreanos son cada vez más noticia. Su aparición mediática más reciente ha sido el mayor pirateo informático de la historia, cuando los delincuentes consiguieron roban activos digitales por valor de 1.500 millones de dólares de la bolsa de criptomonedas Bybit. Siguiente La bolsa OKX podría convertirse en una víctimaSin embargo, el equipo de la empresa se percató a tiempo de las posibles vulnerabilidades. En el plazo de un mes, los fondos robados a Bybit se blanquearon y se transfirieron a bitcoins, que ha convertido a Corea del Norte en el tercer país del mundo en términos de BTC. ¿Por qué necesita tanto dinero la RPDC? Normalmente, el dinero se utiliza para mantener la dictadura y apoyar el programa nuclear. Esto no es nada nuevo. Pero lo interesante es cómo las autoridades norcoreanas han conseguido encontrar y formar a hackers de tanto talento. ¿De dónde saca su equipo de alta tecnología si está sometido a sanciones de la mayoría de los países? Intentemos averiguarlo.
Contenido
El grande, el gallardo y el poderoso Grupo Lázaro
Sólo los perezosos no han oído hablar del grupo norcoreano Lazarus. Estos son los hackers detrás de los mayores robos. En total, en 2024, los hackers de la RPDC robaron alrededor de 800 millones de dólares en criptodivisas. La RPDC fue responsable del 35% de todos los activos digitales robados en 2024, y sus ataques fueron casi cinco veces mayores que los de sus colegas.
Los analistas señalaron que los métodos del Grupo Lazarus suelen incluir sofisticada ingeniería social, campañas de phishing y explotación de vulnerabilidades de software.
En el caso de los activos de Bybit, la velocidad del blanqueo de dinero fue sorprendente: en 48 horas, se retiraron al menos 160 millones de dólares por medios ilegales. Para ello se utilizaron múltiples monederos intermediarios, conversión a diversas criptodivisas, intercambios descentralizados y puentes de interconexión para cubrir sus huellas.
Un blanqueo de dinero tan rápido sugiere que Corea del Norte ha ampliado su infraestructura o sus redes financieras clandestinas, especialmente en China, o ha aumentado su capacidad para absorber y procesar fondos robados.
Normalmente, los ciberdelincuentes norcoreanos han recurrido a mezcladores como Tornado Cashpara ocultar el origen de los fondos robados antes de convertirlos en fiat. Sin embargo, en el caso de Bybit, los atacantes emplearon una estrategia multifacética utilizando múltiples monederos intermediarios, intercambios descentralizados y puentes entre cadenas para ocultar rápidamente el origen de los fondos.
Inicialmente, parte de las monedas Ethereum robadas pasaron por las redes Binance Smart Chain y Solana. Otra parte se convirtió en BTC. Actualmente, la mayoría de los bitcoins convertidos permanece intacta. Esto significa que los piratas informáticos se están preparando para una liquidación a gran escala o una mayor ocultación a través de las redes extrabursátiles (OTC).
Según el experto en Corea del Norte de TRM y ex especialista del FBI Nick Carlsen, «El exploit de Bybit indica que el régimen está mejorando la técnica de «inundar la zona» — abrumar a los equipos de cumplimiento, los analistas de blockchain y las fuerzas de seguridad con transacciones rápidas y de alta frecuencia a través de múltiples plataformas, lo que dificulta el seguimiento».
Durante décadas, Corea del Norte ha funcionado como un Estado paria debido a las sanciones internacionales impuestas por su programa nuclear, las violaciones de los derechos humanos y las actividades financieras ilícitas. Pyongyang se ha visto obligado a desarrollar una compleja red mundial de fuentes ilícitas de ingresos. Mucho antes de centrarse en el robo de criptomonedas, la RPDC se dedicaba a falsificar dólares estadounidenses y participaba en el contrabando de cigarrillos falsificados, el tráfico de drogas y la venta de armas.
La brecha del Banco de Bangladesh en 2016, cuando piratas informáticos norcoreanos penetraron en la red bancaria SWIFT, supuso un punto de inflexión. Solo consiguieron retirar 81 millones de dólares de los 1.000 millones previstos. Este fue el primer caso conocido de un Estado que comete un delito financiero utilizando tecnología cibernética a tan gran escala. Posteriormente, las actividades cibernéticas de Corea del Norte se trasladaron al ecosistema de los activos digitales. En pocos años, la RPDC se convirtió en el ciberdelincuente financiero más activo del mundo.
WazirX (2024)
Piratas informáticos de Corea del Norte robaron 235 dólares de la mayor bolsa de criptomonedas de la India, WazirX.
DMM Bitcoin (2024)
También retiraron 305 millones de dólares en bitcoins de la bolsa japonesa DMM Bitcoin.
¿De dónde proceden los talentosos hackers de Corea del Norte?
Las primeras escuelas de informática aparecieron en la RPDC en la década de 1980. La Guerra del Golfo ayudó al régimen a comprender la importancia de las tecnologías de Internet en la guerra moderna. Los alumnos superdotados en matemáticas fueron enviados a escuelas especializadas y eximidos del trabajo agrícola anual obligatorio, dijo The Economist Tae Yong Ho, un alto diplomático norcoreano que huyó a Occidente en 2016.
Al principio, Corea del Norte necesitaba fuerzas cibernéticas para el espionaje y el sabotaje, pero a mediados de la década de 2010 se centraron en la ciberdelincuencia. Se rumorea que Kim Jong-un se refirió a la guerra cibernética como una «espada universal».
A pesar de su pobreza, la RPDC tiene varias ventajas. Una de ellas es el talento. El acceso de los ciudadanos de a pie a Internet o a los ordenadores está muy limitado.
«Corea del Norte puede reunir a los mejores cerebros y decirles qué hacer. No tienen que preocuparse de que los empleados vayan a trabajar para Samsung»», explicó Kim Seung-ju, del departamento de ciberseguridad de la Universidad de Corea en Seúl.
Los hackers norcoreanos trabajan sin descanso y son audaces, porque no les importa el secretismo ni las consecuencias diplomáticas.
El proceso de encontrar talentos y entrenarlos recuerda a la forma en que se entrenaba a los olímpicos en la antigua URSS, escribe The New Yorker. A diferencia de la guerra tradicional, que requiere el desarrollo de armas costosas y sofisticadas, un programa de piratería informática sólo requiere un recurso: gente inteligente. Y a Corea del Norte «no le falta capital humano». En las escuelas se anima a los estudiantes más prometedores a utilizar ordenadores. Los que son buenos en matemáticas ingresan en escuelas especializadas. Los mejores estudiantes viajan al extranjero para competir en certámenes como la Olimpiada Internacional de Matemáticas (IMO).
Muchos ganadores de la Medalla Fields — el galardón más prestigioso en matemáticas para adolescentes — han obtenido buenos puestos en estas competiciones. Los participantes norcoreanos suelen demostrar resultados impresionantes en la OMI. De hecho, la RPDC ha sido el único país descalificado por sospechas de trampas: el equipo norcoreano ha sido excluido de la competición en dos ocasiones — en 1991 y 2010.
En la IMO de 2019, celebrada en Bath (Inglaterra), Kook Sung-hyun completó a la perfección las cinco primeras de las seis tareas y empató en el primer puesto con estudiantes de China, Corea del Sur, Polonia y Estados Unidos hasta que recibió una puntuación baja en la tarea final.
Dos universidades de Pyongyang — Universidad Tecnológica Kim Jong-un y Universidad Kim Il Sung — atraen a los adolescentes con más talento de escuelas especializadas en matemáticas e informática, donde se les enseñan métodos modernos de programación. Estas instituciones superan a menudo a las universidades estadounidenses y chinas en el International Collegiate Programming Contest (ICPC).
En el Concurso Internacional de Programación Colegial de 2019, un equipo de una universidad norcoreana obtuvo el octavo puesto, por delante de equipos de Cambridge, Harvard, Oxford y Stanford.
Estructura cibernética de la RPDC. Foto: Mandiant
Costin-Andrei Oncescu, que representó a la Universidad de Oxford en el CIPC 2019, afirmó que este tipo de competiciones se están convirtiendo en una plataforma de contratación de empresas tecnológicas punteras. Por ejemplo, Huawei fue patrocinador de la final de 2019. Muchos participantes han logrado importantes éxitos en programación.
Según diversas estimaciones, unas 7.000 personas participan en el programa cibernético del país. El personal se divide entre el Estado Mayor del Ejército, que apoya las operaciones militares, y la Oficina Principal de Inteligencia.
Según investigadores de la Universidad de Corea, una de las unidades del G.R.B., conocida como «Unidad 180», es responsable de «realizar ciberataques para robar dinero extranjero fuera de Corea del Norte». La unidad de hackers norcoreana más conocida es el Grupo Lazarus, aunque esta unidad puede incluir o ser parcialmente sustituida por otros grupos conocidos por las fuerzas de seguridad y las agencias de inteligencia occidentales como BeagleBoyz, Hidden Cobra y APT38 (abreviatura de Advanced Persistent Threat — Amenaza Persistente Avanzada «APT38).
No hay datos exactos sobre el número de empleados de cada grupo ni sobre sus robos.
Aquí hay algo más interesante: ¿Dónde operan exactamente los hackers norcoreanos? Un investigador de Harvard monitorizó los metadatos de usuarios de Internet de Corea del Norte entre 2017 y 2020. Descubrió que solo podían utilizarse unos cientos de direcciones IP. Basándose en estos y otros datos, llegó a la conclusión de que la mayoría de los programadores norcoreanos trabajan fuera de la RPDC — en China y algunas partes del sudeste asiático. Pero los mejores especialistas permanecen en Pyongyang o regresan allí para realizar las tareas más importantes del gobierno.
Los mejores hackers de la RPDC que participan en los planes más lucrativos son recompensados con coches, viviendas confortables u otros beneficios materiales conocidos como «Regalos Especiales de Kim Jong-un». Esto es algo que no está al alcance de los demás ciudadanos.
John Demers, del Departamento de Justicia de EEUU, sospecha que China está ayudando a Corea del Norte con ciberataques porque «no quiere que la RPDC fracase». También señaló que «Corea del Norte está conectada al mundo principalmente a través de infraestructuras rusas y chinas».
«Hay buenas razones para creer que Rusia y China son muy conscientes de lo que está ocurriendo e incluso han facilitado activamente algunas de las operaciones».
A través de las fronteras de Corea del Norte con Rusia y China, que históricamente han sido aliados, prosigue cierto comercio tanto legal como ilegal. Según la Agencia de Seguridad Cibernética y de Infraestructuras de Estados Unidos, ninguna institución financiera de Rusia o China ha sido atacada por piratas informáticos norcoreanos.
Los hackers norcoreanos, en particular el grupo Lazarus, siguen robando miles de millones en criptomonedas. Gracias a programadores de talento educados en escuelas especiales y a métodos de blanqueo de dinero digital ya establecidos, la RPDC financia su dictadura y su programa nuclear eludiendo las sanciones. No sin la ayuda de sus vecinos.
Spelling error report
The following text will be sent to our editors: