La reciente operación de infiltración de seis meses de Corea del Norte en Drift ha sacudido una industria cripto que ya enfrentaba desafíos tras varios ataques que han resultado en pérdidas millonarias.
A medida que la noticia se asentó, surgió una pregunta aún más profunda: ¿por qué Corea del Norte continúa explorando el mundo cripto y qué hace que su enfoque sea tan diferente al de otras operaciones de hacking respaldadas por estados alrededor del mundo?
La respuesta breve, según expertos en seguridad, es que las criptomonedas proporcionan al régimen una fuente de ingresos vital que les ayuda a mantenerse a flote.
“Corea del Norte no tiene el lujo de esperar”, afirmó Dave Schwed, director de operaciones de SVRN y fundador del programa de maestría en ciberseguridad en la Universidad Yeshiva. “Están bajo sanciones internacionales severas y necesitan moneda dura para financiar programas de armamento. La ONU y múltiples agencias de inteligencia han confirmado que el robo de criptomonedas es un mecanismo clave de financiamiento para su desarrollo nuclear y de misiles balísticos.”
Esta urgencia explica una dinámica que ha desconcertado a los investigadores durante mucho tiempo: ¿por qué los hackers norcoreanos llevan a cabo robos a gran escala y rastreables en blockchains públicas, en lugar de utilizar criptomonedas de forma silenciosa para evadir sanciones, como lo hacen otros actores estatales?
La respuesta, sostiene Schwed, es estructural. Rusia todavía cuenta con una economía: petróleo, gas, exportaciones de materias primas y socios comerciales dispuestos a utilizar soluciones alternativas. Necesita las criptomonedas como infraestructura de pago, pero no para mucho más. Irán también tiene mercancías que mover: petróleo sancionado, redes de financiamiento por medio de proxies, e intermediarios dispuestos en el Medio Oriente. Corea del Norte, en cambio, ha agotado casi todos sus recursos para vender.
“Sus exportaciones están casi completamente sancionadas. No cuentan con una economía funcional que requiera un sistema de pago. Necesitan ingresos directos”, indicó Schwed. “El robo de criptomonedas les otorga acceso inmediato a valor líquido, a nivel global, sin la necesidad de contrapartes dispuestas a hacer negocios con ellos.”
Esta distinción — criptomonedas como infraestructura frente a criptomonedas como objetivo — es lo que separa a Corea del Norte no solo de Rusia, sino también de Irán. Mientras que Rusia utiliza las criptomonedas para sortear sanciones y Irán las usa para financiar redes de proxies en el Medio Oriente, Corea del Norte está llevando a cabo una operación más parecida a un robo respaldado por el estado.
“Sus objetivos son intercambios, proveedores de wallets, protocolos DeFi y los ingenieros y fundadores individuales que tienen la autoridad para firmar o acceder a la infraestructura”, explicó Alexander Urbelis, director de seguridad de la información en ENS Labs y profesor de ciberseguridad en el King’s College de Londres. “La víctima es quienquiera que tenga las llaves o el acceso a la infraestructura que resguarda estas llaves.”
En comparación, Rusia e Irán ven las criptomonedas como algo incidental, un medio para lograr fines geopolíticos más amplios.
“Rusia ataca elecciones, infraestructura energética y sistemas gubernamentales. Irán persigue disidentes y adversarios regionales”, señaló Urbelis. “Cuando cualquiera de ellos toca lo cripto, es para mover dinero, no para robarlo del ecosistema.”
Esta focalización singular ha llevado a los operativos norcoreanos a adoptar tácticas más propias de agencias de inteligencia que de hackers criminales: construcción de relaciones a lo largo de meses, identidades falsas e infiltración en cadenas de suministro.
La campaña en Drift es solo el ejemplo más reciente.
“No estás defendiendo contra un correo electrónico de phishing de un estafador al azar”, mencionó Urbelis. “Estás defendiendo contra alguien que pasó seis meses estableciendo una relación específicamente para comprometer a una persona que posee el acceso que necesitas proteger.”
La propia arquitectura del cripto lo convierte en un terreno de caza particularmente atractivo. En las finanzas tradicionales, incluso los ataques exitosos encuentran fricciones en forma de verificaciones de cumplimiento, controles de bancos corresponsales, retrasos en liquidaciones y la posibilidad de revertir transferencias fraudulentas. Cuando los hackers de Corea del Norte realizaron el robo al Banco de Bangladesh en 2016, la operación tardó días en procesarse y la mayor parte de los fondos fueron eventualmente recuperados o bloqueados. En el mundo cripto, ninguno de esos salvaguardias existe a nivel de protocolo.
“Una vez que una transacción es firmada y confirmada, es definitiva”, dijo Urbelis. El exploit de Bybit a principios del año pasado movió $1.5 mil millones en aproximadamente 30 minutos, un ritmo y escala que sería casi imposible en el sistema bancario tradicional.
Esta inmutabilidad cambia fundamentalmente el cálculo de seguridad. En el ámbito bancario, se puede construir una defensa razonable a través de prevención, detección y respuesta, porque siempre hay una ventana para congelar fondos o revertir una transferencia. En el mundo cripto, esa ventana apenas existe, lo que significa que detener un ataque antes de que ocurra no es solo preferible: es esencialmente la única opción.
Mientras que los bancos operan bajo años de guías regulatorias y requisitos de auditoría, muchos proyectos criptográficos todavía están improvisando, a menudo priorizando la velocidad y la innovación sobre la gobernanza y el control.
Dicha brecha crea un ambiente en el que incluso equipos sofisticados pueden ser vulnerables, particularmente a las tácticas de infiltración a largo plazo que Corea del Norte ha estado perfeccionando.
“Este es el problema más difícil de seguridad operativa en el cripto en este momento”, comentó Urbelis sobre el desafío de verificar contra identidades falsas sofisticadas e intermediarios de terceros. “No creo que la industria lo haya resuelto.”
Fuente: www.coindesk.com