{"id":12998,"date":"2026-01-27T02:24:08","date_gmt":"2026-01-27T02:24:08","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/los-hackers-vinculados-a-corea-del-norte-utilizan-llamadas-de-video-deepfake-para-atacar-a-trabajadores-de-criptomonedas\/"},"modified":"2026-01-27T02:24:08","modified_gmt":"2026-01-27T02:24:08","slug":"los-hackers-vinculados-a-corea-del-norte-utilizan-llamadas-de-video-deepfake-para-atacar-a-trabajadores-de-criptomonedas","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/los-hackers-vinculados-a-corea-del-norte-utilizan-llamadas-de-video-deepfake-para-atacar-a-trabajadores-de-criptomonedas\/","title":{"rendered":"Los hackers vinculados a Corea del Norte utilizan llamadas de video deepfake para atacar a trabajadores de criptomonedas"},"content":{"rendered":"<h2>Introducci\u00f3n<\/h2>\n<p>Los <strong>hackers vinculados a Corea del Norte<\/strong> contin\u00faan utilizando <strong>llamadas de video en vivo<\/strong>, incluyendo <em>deepfakes generados por inteligencia artificial<\/em>, para enga\u00f1ar a desarrolladores y trabajadores de criptomonedas, induci\u00e9ndolos a instalar <strong>software malicioso<\/strong> en sus propios dispositivos.<\/p>\n<h2>Caso Reciente<\/h2>\n<p>En un caso reciente revelado por el cofundador de BTC Prague, <strong>Martin Kucha\u0159<\/strong>, los atacantes emplearon una cuenta de Telegram comprometida y una llamada de video simulada para propagar <strong>malware<\/strong> disfrazado como una soluci\u00f3n de audio para Zoom. Kucha\u0159 indic\u00f3 que esta <strong>\u00abcampa\u00f1a de hacking de alto nivel\u00bb<\/strong> parece estar <strong>\u00abdirigida a usuarios de Bitcoin y criptomonedas\u00bb<\/strong>.<\/p>\n<h2>T\u00e9cnica de Ataque<\/h2>\n<p>Los atacantes contactan a la v\u00edctima y organizan una llamada a trav\u00e9s de <strong>Zoom<\/strong> o <strong>Teams<\/strong>. Durante la llamada, utilizan un video generado por IA para hacerse pasar por alguien que la v\u00edctima conoce. Luego, afirman que hay un problema de audio y piden a la v\u00edctima que instale un complemento o archivo para solucionarlo. Una vez instalado, el malware otorga a los atacantes acceso completo al sistema, lo que les permite <strong>robar Bitcoin<\/strong>, apoderarse de cuentas de Telegram y utilizar esas cuentas para atacar a otros.<\/p>\n<h2>Impacto de las Estafas<\/h2>\n<p>Esto ocurre en un momento en que las <strong>estafas de suplantaci\u00f3n impulsadas por IA<\/strong> han llevado las p\u00e9rdidas relacionadas con criptomonedas a un r\u00e9cord de <strong>17 mil millones de d\u00f3lares en 2025<\/strong>, con atacantes que utilizan cada vez m\u00e1s video deepfake, clonaci\u00f3n de voz e identidades falsas para enga\u00f1ar a las v\u00edctimas y acceder a fondos, seg\u00fan datos de la firma de an\u00e1lisis de blockchain <strong>Chainalysis<\/strong>.<\/p>\n<h2>Investigaciones y Conclusiones<\/h2>\n<p>El ataque, tal como lo describi\u00f3 Kucha\u0159, coincide estrechamente con una t\u00e9cnica documentada por primera vez por la empresa de ciberseguridad <strong>Huntress<\/strong>, que inform\u00f3 en julio del a\u00f1o pasado que estos atacantes atraen a un trabajador de criptomonedas objetivo a una llamada de Zoom simulada despu\u00e9s de un contacto inicial en Telegram, a menudo utilizando un enlace de reuni\u00f3n falso alojado en un dominio de Zoom suplantado.<\/p>\n<p>Durante la llamada, los atacantes afirman que hay un problema de audio e instruyen a la v\u00edctima a instalar lo que parece ser una soluci\u00f3n relacionada con Zoom, que en realidad es un <strong>AppleScript malicioso<\/strong> que inicia una infecci\u00f3n en m\u00faltiples etapas de macOS, seg\u00fan Huntress. Una vez ejecutado, el script desactiva el historial de shell, verifica o instala <strong>Rosetta 2<\/strong> (una capa de traducci\u00f3n) en dispositivos Apple Silicon, y solicita repetidamente al usuario su contrase\u00f1a del sistema para obtener privilegios elevados.<\/p>\n<p>El estudio encontr\u00f3 que la cadena de malware instala m\u00faltiples cargas \u00fatiles, incluyendo <strong>puertas traseras persistentes<\/strong>, herramientas de registro de teclas y portapapeles, y <strong>robadores de billeteras de criptomonedas<\/strong>, una secuencia similar a la que Kucha\u0159 se\u00f1al\u00f3 cuando revel\u00f3 que su cuenta de Telegram hab\u00eda sido comprometida y luego utilizada para atacar a otros de la misma manera.<\/p>\n<h2>Conclusiones de Expertos<\/h2>\n<p>Los investigadores de seguridad de Huntress han atribuido la intrusi\u00f3n con alta confianza a una <strong>amenaza persistente avanzada<\/strong> vinculada a Corea del Norte, rastreada como <strong>TA444<\/strong>, tambi\u00e9n conocida como <strong>BlueNoroff<\/strong> y por varios otros alias que operan bajo el t\u00e9rmino paraguas <strong>Grupo Lazarus<\/strong>, un grupo patrocinado por el estado enfocado en el robo de criptomonedas desde al menos 2017.<\/p>\n<p>Cuando se le pregunt\u00f3 sobre los objetivos operacionales de estas campa\u00f1as, <strong>Sh\u0101n Zhang<\/strong>, director de seguridad de la informaci\u00f3n de la firma de seguridad blockchain <strong>Slowmist<\/strong>, dijo a Decrypt que el \u00faltimo ataque a Kucha\u0159 est\u00e1 <strong>\u00abposiblemente\u00bb<\/strong> conectado a campa\u00f1as m\u00e1s amplias del Grupo Lazarus. <\/p>\n<blockquote><p>\u00abHay una clara reutilizaci\u00f3n a trav\u00e9s de las campa\u00f1as. Vemos consistentemente el objetivo de billeteras espec\u00edficas y el uso de scripts de instalaci\u00f3n muy similares\u00bb<\/p><\/blockquote>\n<p>, coment\u00f3 <strong>David Liberman<\/strong>, co-creador de la red de computaci\u00f3n descentralizada de IA <strong>Gonka<\/strong>, a Decrypt.<\/p>\n<p>Las im\u00e1genes y videos <strong>\u00abya no pueden ser tratados como prueba confiable de autenticidad\u00bb<\/strong>, dijo Liberman, a\u00f1adiendo que el contenido digital <strong>\u00abdeber\u00eda estar firmado criptogr\u00e1ficamente por su creador, y tales firmas deber\u00edan requerir autorizaci\u00f3n multifactorial\u00bb<\/strong>. Las narrativas, en contextos como este, se han convertido en <strong>\u00abuna se\u00f1al importante para rastrear y detectar\u00bb<\/strong> dado c\u00f3mo estos ataques <strong>\u00abdependen de patrones sociales familiares\u00bb<\/strong>, agreg\u00f3.<\/p>\n<p>El Grupo Lazarus de Corea del Norte est\u00e1 vinculado a campa\u00f1as contra empresas de criptomonedas, trabajadores y desarrolladores, utilizando <strong>malware a medida<\/strong> y una <strong>ingenier\u00eda social sofisticada<\/strong> para robar activos digitales y credenciales de acceso.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Introducci\u00f3n Los hackers vinculados a Corea del Norte contin\u00faan utilizando llamadas de video en vivo, incluyendo deepfakes generados por inteligencia artificial, para enga\u00f1ar a desarrolladores y trabajadores de criptomonedas, induci\u00e9ndolos a instalar software malicioso en sus propios dispositivos. Caso Reciente En un caso reciente revelado por el cofundador de BTC Prague, Martin Kucha\u0159, los atacantes emplearon una cuenta de Telegram comprometida y una llamada de video simulada para propagar malware disfrazado como una soluci\u00f3n de audio para Zoom. Kucha\u0159 indic\u00f3 que esta \u00abcampa\u00f1a de hacking de alto nivel\u00bb parece estar \u00abdirigida a usuarios de Bitcoin y criptomonedas\u00bb. T\u00e9cnica de Ataque<\/p>\n","protected":false},"author":3,"featured_media":12997,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,64],"tags":[11,76,65,71,72,2732,1923,8355],"class_list":["post-12998","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-chainalysis","tag-hack","tag-lazarus","tag-north-korea","tag-slowmist","tag-telegram","tag-zoom"],"yoast_description":"Los hackers vinculados a Corea del Norte explotan llamadas de video deepfake para enga\u00f1ar a trabajadores de criptomonedas y hacer que instalen malware, atacando activos digitales y cuentas privadas.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/12998","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=12998"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/12998\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/12997"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=12998"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=12998"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=12998"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}