Infiltración de Ciudadanos Norcoreanos en Startup de Blockchain
Cuatro ciudadanos norcoreanos se infiltraron en una startup de blockchain con sede en Atlanta y robaron casi un millón de dólares en criptomonedas haciéndose pasar por desarrolladores remotos, anunciaron el lunes los fiscales federales del Distrito Norte de Georgia. Los cargos incluyen cinco delitos de fraude electrónico y lavado de dinero.
Operaciones y Estrategias
Los acusados operaron inicialmente como un equipo en los Emiratos Árabes Unidos antes de infiltrarse en empresas de criptomonedas en Estados Unidos y Serbia como trabajadores de TI remotos. Tras ganar la confianza de sus empleadores, robaron 175,000 y 740,000 dólares en dos incidentes separados en 2022, lavando los fondos a través de mezcladores y exchanges utilizando documentos de identificación falsos.
«Supuestamente denominados como ‘trabajadores de TI norcoreanos’, estos individuos operan ‘infiltrándose dentro de estas organizaciones’ para ‘recopilar inteligencia, manipular protocolos de seguridad e incluso facilitar violaciones internas»
afirmó Andrew Fierman, jefe de seguridad nacional en la firma de análisis de blockchain Chainalysis, en una entrevista con Decrypt. La criptomoneda robada desapareció a través de un laberinto de transacciones diseñadas para oscurecer su origen, un sofisticado manual que Corea del Norte ha perfeccionado a lo largo de años de operaciones cibernéticas delictivas.
Patrones de Amenaza y Vulnerabilidades
Estas tácticas forman «un patrón que se ha convertido cada vez más en un procedimiento operativo estándar«, dijo Fierman. Los actores de la amenaza son contratados utilizando documentación falsificada y «enmascarando su nexo norcoreano», explicó. Además de enviar su compensación «de vuelta al régimen», los trabajadores también «esperan pacientemente la oportunidad de acceder a los fondos de la empresa Web3 que han infiltrado» para robar más, añadió Fierman.
Este esquema expone una vulnerabilidad en la cultura remota de las criptomonedas, donde las empresas que contratan a nivel global pueden omitir verificaciones de antecedentes, permitiendo que actores patrocinados por el estado con identidades falsas exploten las brechas.
«Desafortunadamente, muchos equipos evitan las reuniones en persona y prefieren contratar a desarrolladores más ‘baratos’ que a personas bien conocidas en nuestro sector»
comentó Vladimir Sobolev, investigador de amenazas en la firma de seguridad blockchain Hexens, en declaraciones a Decrypt. «Este es un problema fundamental».
Acciones Legales y Consecuencias
Sobolev describió las operaciones cibernéticas de Corea del Norte como un «esfuerzo a largo plazo», señalando que el país ha estado involucrado en estas actividades durante mucho tiempo, incluso «antes de la popularidad de blockchain y Web3». A principios de este mes, los fiscales federales detallaron en una demanda civil cómo «decenas de millones fueron explotados en un esquema más grande de criptomonedas de trabajadores de TI norcoreanos», según Fierman, quien compartió documentos revisados por Decrypt.
En un comunicado de prensa separado, el DOJ informó que realizó redadas coordinadas en 16 estados, incautando 29 cuentas financieras, 21 sitios web fraudulentos y aproximadamente 200 computadoras de «granjas de laptops» que apoyaban esquemas de TI norcoreanos, incluidos los cuatro mencionados anteriormente.
Las acciones de aplicación revelaron cómo los agentes norcoreanos utilizaron estas granjas de laptops como puntos de acceso remoto, permitiendo a los operativos modificar contratos inteligentes y drenar fondos de criptomonedas mientras parecían trabajar desde ubicaciones en Estados Unidos.
«La capacidad de las organizaciones para reconocer estas amenazas y proteger su empresa contra ellas será crítica»
advirtió Fierman. Editado por Sebastián Sinclair.
