Una reciente investigación de seguridad de seis meses apoyada por el programa ETH Rangers de Ethereum descubrió alrededor de 100 presuntos operativos de TI de Corea del Norte trabajando en compañías de Web3 y criptomonedas. Los hallazgos señalaron un cambio en las tácticas de infiltración cibernética, marcando un mayor riesgo de amenazas internas en el sector de las criptomonedas.
La investigación revela infiltración generalizada en empresas cripto
El Proyecto Ketman, conocido por su enfoque en rastrear el cibercrimen en criptomonedas, dirigió la investigación con el respaldo de ETH Rangers. ETH Rangers es una iniciativa de seguridad notable conectada con la Fundación Ethereum y financia a investigadores expertos para evaluar vulnerabilidades en plataformas descentralizadas.
El equipo del proyecto identificó a unos 100 individuos sospechosos de tener vínculos con Corea del Norte que obtenían roles en empresas de criptomonedas, principalmente presentando nombres falsos e historiales de trabajo fabricados. Los investigadores observaron que estos operativos se infiltraron en las organizaciones a través de procesos de contratación estándar, haciendo que los equipos de recursos humanos tuvieran dificultades para detectarlos.
Los investigadores notaron que la actividad parecía coordinada en lugar de aislada, con muchos sospechosos ocupando roles en varias firmas del sector. Este patrón indicó un enfoque sistemático para infiltrarse en el espacio cripto en lugar de apuntar a entidades individuales.
La iniciativa más amplia ha respaldado a 17 investigadores independientes, ayudado a identificar más de 785 vulnerabilidades y manejado 36 operaciones de respuesta a incidentes hasta ahora, según ETH Rangers. El programa también ha ayudado a recuperar o bloquear $5.8 millones en fondos cripto comprometidos, subrayando su papel central en los esfuerzos de seguridad continua de los activos digitales.
El riesgo interno y las contrataciones se convierten en nuevos puntos focales
Tradicionalmente, los ciberataques de Corea del Norte se centraban en hackear intercambios y explotar técnicamente desde el exterior. La evidencia reciente, sin embargo, muestra que los perpetradores están aumentando sus esfuerzos para acceder internamente a través del empleo.
Una vez dentro, estos trabajadores adquieren acceso a sistemas críticos, repositorios de código y herramientas de flujo de trabajo, a menudo permaneciendo sin ser detectados durante períodos prolongados. Las tácticas que evolucionan significan que la seguridad perimetral convencional, como cortafuegos y protectores de billetera, es menos efectiva contra el abuso interno.
Estos desarrollos han generado preocupación sobre la efectividad de los protocolos de reclutamiento estándar. Los expertos en seguridad enfatizaron que las verificaciones de identidad rigurosas son ahora esenciales, a raíz de casos como el de la casa de cambio cripto Stabble, donde una persona vinculada a la DPRK se unió a la gestión de la compañía, resultando en una alerta de retiro.
Casos como estos han resaltado cómo el acceso a información sensible puede extenderse a posiciones de liderazgo dentro de la empresa, poniendo los activos de los usuarios y la integridad operativa en mayor riesgo.
El sector enfrenta presión renovada tras robos récord
Las pérdidas financieras atribuidas al crimen cripto vinculado a Corea del Norte siguen siendo significativas. En 2025, se reportó que $2.02 mil millones fueron robados por actores asociados, reflejando un aumento del 51% en comparación con el año anterior. Las pérdidas totales vinculadas a estos incidentes han alcanzado ahora $6.75 mil millones.
En abril de 2026, la plataforma Drift Protocol sufrió un exploit valorado en $285 millones, descrito como el mayor hackeo de finanzas descentralizadas (DeFi) del año. Las investigaciones sobre estos activos robados continúan, como lo destacó los hallazgos de la investigación de seguridad.
Los casos en aumento de infiltración y robo han llevado a las empresas de criptomonedas a fortalecer el monitoreo interno y ajustar el acceso a billeteras y sistemas sensibles. Los observadores de la industria anticipan que los reguladores también podrían intensificar el escrutinio sobre la contratación remota y los procedimientos de verificación de empleados a medida que evoluciona el panorama de amenazas.
