Advertencia sobre ataques de hackers norcoreanos
El equipo de seguridad de Google, a través de Mandiant, ha advertido que los hackers norcoreanos están incorporando deepfakes generados por inteligencia artificial en reuniones de video falsas como parte de ataques cada vez más sofisticados contra empresas de criptomonedas, según un informe publicado el lunes.
Detalles del ataque
Mandiant indicó que recientemente investigó una intrusión en una empresa fintech, atribuyéndola a UNC1069, conocido como «CryptoCore», un actor de amenazas con alta confianza vinculado a Corea del Norte. El ataque utilizó una cuenta de Telegram comprometida, una reunión de Zoom falsificada y una técnica llamada ClickFix para engañar a la víctima y hacer que ejecutara comandos maliciosos. Los investigadores también encontraron evidencia de que se utilizó video generado por IA para engañar al objetivo durante la reunión falsa.
«Mandiant ha observado que UNC1069 emplea estas técnicas para atacar tanto a entidades corporativas como a individuos dentro de la industria de las criptomonedas, incluyendo empresas de software y sus desarrolladores, así como firmas de capital de riesgo y sus empleados o ejecutivos».
Crecimiento de robos de criptomonedas
La advertencia llega en un momento en que los robos de criptomonedas por parte de Corea del Norte continúan creciendo en escala. A mediados de diciembre, la firma de análisis de blockchain Chainalysis reportó que los hackers norcoreanos robaron 2.02 mil millones de dólares en criptomonedas en 2025, un aumento del 51% respecto al año anterior. La cantidad total robada por actores vinculados a la DPRK ahora asciende a aproximadamente 6.75 mil millones de dólares, a pesar de que el número de ataques ha disminuido.
Cambio en las tácticas de los cibercriminales
Estos hallazgos destacan un cambio más amplio en la forma en que operan los cibercriminales vinculados a estados. En lugar de depender de campañas masivas de phishing, CryptoCore y grupos similares se están enfocando en ataques altamente personalizados que explotan la confianza en interacciones digitales rutinarias, como invitaciones de calendario y videollamadas. De esta manera, Corea del Norte está logrando robos más grandes a través de incidentes menos frecuentes y más dirigidos.
Descripción del ataque
Según Mandiant, el ataque comenzó cuando la víctima fue contactada en Telegram por lo que parecía ser un ejecutivo de criptomonedas conocido cuya cuenta ya había sido comprometida. Después de establecer una relación, el atacante envió un enlace de Calendly para una reunión de 30 minutos que dirigió a la víctima a una llamada de Zoom falsa alojada en la infraestructura del grupo. Durante la llamada, la víctima informó haber visto lo que parecía ser un video deepfake de un conocido CEO de criptomonedas.
Una vez que comenzó la reunión, los atacantes afirmaron que había problemas de audio e instruyeron a la víctima a ejecutar comandos de «solución de problemas», una técnica ClickFix que finalmente activó la infección por malware. Un análisis forense identificó posteriormente siete familias distintas de malware en el sistema de la víctima, desplegadas en un aparente intento de recolectar credenciales, datos del navegador y tokens de sesión para el robo financiero y la futura suplantación.
Comentarios de expertos
Fraser Edwards, cofundador y CEO de la firma de identidad descentralizada cheqd, comentó que el ataque refleja un patrón que está viendo repetidamente contra personas cuyos trabajos dependen de reuniones remotas y coordinación rápida.
«La efectividad de este enfoque proviene de lo poco que tiene que parecer inusual».
Edwards añadió que el video deepfake se introduce típicamente en puntos de escalada, como llamadas en vivo, donde ver una cara familiar puede anular las dudas creadas por solicitudes inesperadas o problemas técnicos.
El futuro de la suplantación con IA
Además, Edwards advirtió que la IA ahora se está utilizando para apoyar la suplantación fuera de las llamadas en vivo.
«Se utiliza para redactar mensajes, corregir el tono de voz y reflejar la forma en que alguien normalmente se comunica con colegas o amigos».
Eso hace que los mensajes rutinarios sean más difíciles de cuestionar y reduce la posibilidad de que un destinatario se detenga el tiempo suficiente para verificar la interacción.
Edwards advirtió que el riesgo aumentará a medida que se introduzcan agentes de IA en la comunicación y la toma de decisiones cotidianas.
«Los agentes pueden enviar mensajes, programar llamadas y actuar en nombre de los usuarios a la velocidad de la máquina».
Si esos sistemas son abusados o comprometidos, el audio o video deepfake pueden ser desplegados automáticamente, convirtiendo la suplantación de un esfuerzo manual en un proceso escalable.
Es «irrealista» esperar que la mayoría de los usuarios sepan cómo detectar un deepfake, dijo Edwards, y agregó que
«la respuesta no es pedir a los usuarios que presten más atención, sino construir sistemas que los protejan por defecto».
Eso significa mejorar cómo se señala y verifica la autenticidad, para que los usuarios puedan entender rápidamente si el contenido es real, sintético o no verificado sin depender del instinto, la familiaridad o la investigación manual.
