Una importante investigación de seguridad respaldada por la Fundación Ethereum ha identificado a 100 personas con vínculos con Corea del Norte trabajando secretamente dentro de una variedad de empresas de criptomonedas. La iniciativa de seis meses reveló una infiltración persistente de equipos de desarrolladores Web3 por parte de operativos que utilizan identidades falsas, lo que genera serias preocupaciones sobre la seguridad operativa en redes descentralizadas.
Red de desarrolladores encubierta abarca organizaciones globales de Web3
La Fundación Ethereum, una organización sin fines de lucro que apoya el desarrollo y la investigación en la blockchain de Ethereum desde su fundación en 2014, lanzó el programa ETH Rangers a finales de 2024. Este programa canaliza fondos a expertos en seguridad independientes enfocados en defender la infraestructura de Ethereum. Una de estas iniciativas, el Proyecto Ketman, comenzó una investigación detallada para rastrear actividades sospechosas de desarrolladores.
El Proyecto Ketman se centró en identificar individuos que adoptan múltiples identidades fabricadas para integrarse en organizaciones Web3. Durante seis meses, el equipo rastreó a 100 contribuyentes conectados con Corea del Norte, distribuidos en proyectos de criptomonedas en todo el mundo. El equipo de investigación alertó a 53 proyectos de blockchain que se cree que contrataron involuntariamente a estas personas.
Para ayudar al sector a contrarrestar tales amenazas, los investigadores crearon una plataforma de código abierto capaz de señalar patrones inusuales de contribuyentes en GitHub y repositorios de proyectos. Esta herramienta es parte de los esfuerzos continuos para fortalecer la resiliencia de web3 ante brechas de seguridad coordinadas.
Amenaza a largo plazo vinculada al Grupo Lazarus y robos de miles de millones de dólares
Los investigadores mapearon la actividad norcoreana en el sector de criptomonedas varios años atrás, con evidencia que relaciona a muchos desarrolladores con el Grupo Lazarus, una infame organización de ciberdelincuencia respaldada por el estado. Sus operaciones a menudo implican integrarse en equipos de proyectos centrales utilizando credenciales y habilidades técnicas convincentes.
Desde 2017, los ciberataques atribuidos a estos agentes vinculados a la RPDC han resultado en un total de alrededor de $7 mil millones obtenidos de plataformas de criptomonedas. Incidentes importantes incluyeron la violación del Puente Ronin y el hackeo de WazirX, destacando cómo estas tácticas han llevado a pérdidas financieras sustanciales.
Los expertos en seguridad han observado que estos operativos suelen ser técnicamente competentes, lo que les permite generar confianza y asumir responsabilidades clave de desarrollo dentro de los ecosistemas críticos de DeFi y blockchain. Este problema no solo plantea riesgos aislados, sino también una vulnerabilidad sistémica en todo el sector de criptomonedas.
La simple decepción impulsa la infiltración extendida
La investigación encontró que los operativos en gran medida dependían de comunes tácticas de trabajo remoto, como enviar solicitudes de trabajo estándar, construir perfiles profesionales en línea y navegar entrevistas por video. Estos métodos sencillos les permitieron obtener credibilidad y acceso dentro de los equipos de desarrollo.
Las señales de alerta identificadas por los investigadores incluían el uso repetido de fotos de perfil estándar o recicladas, preferencias de idioma no coincidentes entre las cuentas y revelaciones accidentales de direcciones de correo electrónico no relacionadas. Las pistas ocasionalmente surgían durante las revisiones de código o sesiones de colaboración en línea, ofreciendo indicios sutiles sobre las verdaderas identidades.
Para abordar la amenaza, el Proyecto Ketman se asoció con la Alianza de Seguridad, una coalición de ciberseguridad que sirve a la industria web3, para desarrollar directrices y compartir estrategias de detección. La colaboración ha mejorado la capacidad de las organizaciones de blockchain para identificar y responder a posibles brechas de seguridad vinculadas a actores encubiertos respaldados por el estado.
