Los piratas informáticos estatales de Corea del Norte robaron sumas récord de dinero de empresas criptográficas este año. Así es como el régimen convirtió los hackeos criptográficos en un modelo de negocio lucrativo.
Corea del Norte, en la foto un monumento al Partido de los Trabajadores en Pyongyang, es responsable de alrededor de una cuarta parte del robo de criptomonedas de este año.
El criptomundo no solo se ve sacudido por colapsos como el del criptoimperio FTX. 2022 también ha sido un año extremadamente bueno para los ladrones de criptomonedas de Corea del Norte hasta el momento. En los primeros nueve meses del año, los piratas informáticos estatales robaron $ 840 millones en monedas virtuales del imperio cerrado del líder Kim Jong Un, según el rastreador de blockchain Chainalysis.
Corea del Norte finalmente se ha convertido en una superpotencia de piratería. Los ladrones digitales de Kim han representado casi una cuarta parte de los robos de criptomonedas de este año hasta el momento. Entre sus éxitos estuvo incluso uno de los mayores hackeos en la historia reciente de las criptomonedas. En marzo, los ladrones digitales de Corea del Norte obtuvieron acceso a Ronin, una rama de la cadena de bloques Ethereum del videojuego Axie Infinity, y obtuvieron monedas digitales por valor de $620 millones en ese momento, según el FBI.
Los incidentes son mucho más que una vergüenza para las empresas involucradas y un perjuicio para los clientes. Los gobiernos de los EE. UU. y muchos países occidentales también ven riesgos tangibles para la seguridad global y el sistema financiero en general. “Lo preocupante de estas actividades es que se utilizan principalmente para financiar los programas de misiles y armas nucleares de Corea del Norte”, dijo Kim Soo, experto en Corea del Norte del grupo de expertos estadounidense Rand Corporation.
Anne Neuberger, asesora adjunta de seguridad cibernética del gobierno de EE. UU., dijo en julio que Corea del Norte «se estima que está recaudando hasta un tercio de los fondos para su programa de misiles a través de Internet». La todavía joven criptoindustria también está particularmente en riesgo. Porque es particularmente lucrativo para el ejército de piratas informáticos de Corea del Norte, que se estima en 6.000 a 7.000 expertos. «El criptomercado no es un área madura y completamente desarrollada», dijo Kim. «Esto permite a los ciberdelincuentes explotar vulnerabilidades».
Cómo el ejército de piratas informáticos de Corea del Norte se convirtió en un pionero ilegal
Los piratas informáticos de Corea del Norte se están moviendo rápidamente con los tiempos. En el pasado, habrían centrado sus ataques cibernéticos principalmente en los intercambios de criptomonedas donde los inversores estacionan e intercambian sus monedas digitales, explican los expertos de Chainalysis. Con una regulación estatal más estricta de las bolsas de valores, los piratas informáticos se hicieron cargo de un sector aún menos controlado.
Todo el botín de este año proviene de ataques al próximo invento en finanzas alternativas, finanzas descentralizadas o DeFi para abreviar. Este es el término general para las formas de financiación basadas en blockchain que no dependen de proveedores de servicios financieros centrales, como corredores, bolsas de valores o bancos. Sin embargo, no se ofrecen instrumentos financieros tradicionales, sino contratos inteligentes o NFT (Non-Fungible Token), que representan objetos reales o virtuales y pueden ser negociados.
El estatus de Corea del Norte como potencia principal en el reino de los ladrones no es una coincidencia, sino el resultado de una larga tradición de obtención ilegal de divisas. En la era analógica, la producción y el tráfico de drogas formaban parte de ella, pero siempre había ataques al mercado financiero. Por ejemplo, el gobierno estadounidense acusó al régimen de haber circulado billetes de dólar falsificados desde la década de 1980.
Con la llegada de los pagos electrónicos, el robo digital se ha vuelto más importante. Ya en 2013, el líder Kim describió a sus piratas informáticos como un arma para todo uso, que el régimen perfeccionó a un gran costo.
¿Quién está detrás de Lazarus, Kimsuky y los BeagleBoyz?
Según informes del gobierno de EE. UU., el régimen selecciona a los mejores talentos entre los 30.000 estudiantes de tecnología de la información y los capacita como programadores en el país y en el extranjero, principalmente en China y Rusia. El pequeño ejército de TI trabaja desde Corea del Norte u otros países como China y Rusia, y en menor medida en África y el sudeste asiático.
No todos ellos son piratas informáticos. Según el Departamento del Tesoro de EE. UU., muchos se contratan como programadores para empresas extranjeras, por ejemplo, para codificar videojuegos o aplicaciones. Por ejemplo, utilizan sitios de colocación de empleo globales o participan de forma encubierta en anuncios de trabajo como empresas de fachada o como parte de empresas reales.
Además, el Departamento del Tesoro de EE. UU. ha advertido que los norcoreanos también están solicitando puestos de trabajo directamente a empresas occidentales con otros nombres. Aquí hay un doble riesgo. Si los programadores son contratados, tienen acceso a la TI de la empresa. O infectan los ordenadores de las empresas a las que entrevistan con documentos Word o PDF infectados.
La mayoría de los honorarios y salarios regresan al régimen de las empresas más legales, al igual que el botín de las redadas de los grupos de piratas informáticos. Los grupos más conocidos de compradores de divisas de Corea del Norte terminaron en las listas de buscados de las agencias de seguridad occidentales como Lazarus, Kimsuky y BeagleBoyz.
Estas son las principales estafas de ladrones digitales de Corea del Norte
El trabajo se prolongó en secreto durante mucho tiempo, hasta que Lazarus estuvo a punto de lograr uno de los robos a bancos más grandes de la historia. Después de mucho trabajo preparatorio, los actores pudieron penetrar el sistema de TI del banco central de Bangladesh con un CV infectado. Luego, en 2016, instruyeron a la Fed de EE. UU. a transferir allí los depósitos del banco asiático -no menos de USD 951 millones- a cuentas en el extranjero.
Por coincidencia y un error tipográfico, la mayoría de los fondos fueron retenidos. Pero los piratas informáticos aún se salieron con la suya con $ 81 millones, de los cuales lavaron $ 50 millones a través de casinos filipinos. En última instancia, el Banco de Bangladesh perdió irremediablemente 34 millones de dólares.
Durante este tiempo, los norcoreanos también incursionaron en el próspero espacio criptográfico. Según el Centro Belfer para la Ciencia y los Asuntos Internacionales de la Escuela Kennedy de Harvard, había otras tres fuentes de ingresos además de los hacks: la minería de criptomonedas, el cryptojacking, es decir, tomar el control de la computadora de otra persona para la propia criptominería, y la emisión fraudulenta de monedas digitales.
Durante este tiempo, sin embargo, los BeagleBoyz también lograron participar ilegalmente en transacciones de pago internacionales. En 2018, el gobierno de EE. UU. advirtió que el grupo también había ganado decenas de millones de dólares en todo el mundo a través de retiros de tarjetas de crédito en cajeros automáticos.
Los investigadores llamaron al método FastCash, en el que los ladrones utilizaban servidores infectados que reconocían como correctos los números de identificación de las tarjetas de crédito utilizadas. Desde 2018 a más tardar, los piratas informáticos de Kim han estado persuadiendo a inversores y empresas desprevenidos para que descarguen el malware AppleJeus a través de sitios web que parecen legítimos, desviando así fondos.
La obra maestra: el atraco de Ronin
El llamado robo de Ronin fue entonces la guinda del pastel para los especialistas en TI de Corea del Norte. Los piratas informáticos utilizaron Linkedin para contactar a los empleados de Sky Davis, el desarrollador del videojuego Axie Infinity. En el proceso, lograron acceder al sistema de TI a través de un PDF infectado y llevaron a cabo su robo.
Esto se hizo más fácil para ellos por el hecho de que Axie Infinity no era un servicio financiero seguro, sino un juego basado en navegador de generación criptográfica. Las figuras y las criaturas opuestas son NFT y se pueden cambiar por criptomonedas.
Para procesar las transacciones, Sky Davis había desarrollado la cadena de bloques Ronin, basada en el popular Ethereum. Los piratas ahora han logrado burlar los mecanismos de seguridad y capturar 173,600 éteres y 25,5 millones de tokens USDC.
Las criptomonedas generalmente son fáciles de rastrear porque todas las transacciones se llevan a cabo en la cadena de bloques. Sin embargo, los norcoreanos usaron los llamados «puentes» y «mezcladores» para hacer esto más difícil.
Un puente permite el intercambio de criptomonedas entre diferentes cadenas de bloques. Y los mezcladores hacen lo que dice el nombre: mezclan diferentes transacciones digitales. Esto también ayuda a ofuscar las transacciones. Las monedas robadas pueden venderse como bienes robados.
Por lo tanto, es difícil decir cuánto dinero realmente trajo este truco a Corea del Norte. Además, la reciente caída de las criptomonedas también ha devaluado el tesoro digital de Kim. Ni esta pérdida de valor debería impedir que Corea del Norte continúe empujando a sus piratas informáticos en giras de robo, ni ninguna sanción. El experto Kim advierte que la disuasión mediante sanciones no funciona en Corea del Norte. «El país ya es un extraño en el sistema internacional», dijo Kim. «Así que realmente no tiene nada que perder al participar en estas actividades ilegales».