El exchange de criptomonedas Bybit sufrió un robo histórico de 1.500 millones de dólares en Ethereum, perpetrado por el grupo de hackers norcoreano Lazarus. El ataque, de alta sofisticación, involucró la interceptación de transferencias desde una billetera fría mediante un código malicioso insertado en la plataforma Safe{Wallet}. Este incidente generó pánico en el mercado, con una caída del 20% en el valor de Bitcoin y una retirada masiva de fondos de Bybit. El caso pone de manifiesto la creciente amenaza de Corea del Norte en el ciberespacio y su interés en las criptomonedas como fuente de financiación.
Todo sucedió de noche y en cuestión de minutos. El consejero delegado del portal de cambio de criptomonedas Bybit, Ben Zhou, realizó desde el ordenador de su casa una serie de transferencias rutinarias. Al cabo de un rato, le llamaron de su empresa para decirle que se habían esfumado sus reservas de Ethereum, la segunda criptomoneda más usada tras Bitcoin, por valor de 1.500 millones de dólares (cerca de 1.400 millones de euros al cambio). Para entonces, los *ethers* ya se habían transferido a miles de billeteras digitales ajenas. Acababan de sufrir el mayor robo de la historia. El FBI confirmó cinco días después lo que algunos analistas sospechaban desde el primer momento: el golpe fue obra de Lazarus, un grupo de hackers apoyado por el gobierno de Corea del Norte que se ha convertido en el azote del sector *cripto*.
Zhou se esforzó en mostrarse tranquilo en las redes sociales inmediatamente después del ciberataque, llegando incluso a «compartir las pulsaciones» que mostraba su reloj inteligente para transmitir que todo estaba bajo control. El empresario garantizó a sus clientes afectados por el robo que se les devolvería el 100% de sus depósitos. Temerosos de que cundiera el pánico en el sector, algunos competidores de la plataforma o *exchange* Bybit, como Byget, le prestaron sin intereses *ethers* por valor de 100 millones para que pudieran devolver los depósitos, según informó el *New York Times*.
Pero el daño ya estaba hecho. Menos de 24 horas después, los clientes de Bybit habían retirado criptomonedas por valor de unos 10.000 millones de dólares, casi la mitad del volumen total que gestiona la plataforma. El valor del bitcoin, la cripto de referencia, cayó un 20% el día después del ciberataque en su peor jornada desde la bancarrota en 2022 de FTX, el *exchange* dirigido por Sam Bankman-Fried, el *criptobro* de moda hasta ese momento.
### El Botín del Siglo Cripto: Lazarus Ataca de Nuevo
Robar 1.500 millones de dólares de una sola vez no es sencillo. Lazarus, el término paraguas que engloba a los distintos equipos de hackers financiados por Corea del Norte, se reafirma como referencia mundial en la ciberdelincuencia. Antes del golpe de Bybit, el mayor robo cibernético del que se tenía constancia, de 2022, también era suyo: 625 millones de dólares en *ethers* sustraídos a una web relacionada con el videojuego Axie Infinity. Las criptomonedas son un filón para Lazarus: en 2024, robaron criptos por valor de 1.340 millones de dólares en 47 incidentes, según un informe de Chainalysis. En 2023, fueron 660 millones obtenidos a través de 20 acciones distintas.
Ha pasado un mes del gran golpe y los informes forenses han desvelado muchos detalles de la operación de Lazarus. Todos los analistas consultados coinciden en describirlo como un trabajo al alcance de muy pocos, tanto por su minuciosa planificación como por la precisión con la que se llevó a cabo. «El golpe a Bybit mostró un nivel de sofisticación extremadamente alto por parte de Lazarus. Combinaron ingeniería social, conocimiento profundo de infraestructuras DeFi [finanzas descentralizadas] y técnicas de persistencia avanzada para ejecutar uno de los atracos cibernéticos más audaces hasta la fecha», describe Hervé Lambert, director de operaciones globales de Panda Security.
La clave del éxito de los hackers norcoreanos es que fueron capaces de interceptar una billetera fría, las que no tienen conexión a internet, consideradas hasta ahora las más seguras para guardar criptomonedas. De ahí que Bybit almacenara en una de ellas sus grandes reservas de Ethereum. ¿Cómo lograron acceder a esos fondos? Bybit debía transferir periódicamente criptomonedas de la billetera fría a una billetera caliente (conectada a internet) para gestionar operaciones diarias. Eso es lo que hizo desde su casa Ben Zhou el pasado 21 de febrero.
O, mejor dicho, eso es lo que pensó que estaba haciendo. Los hackers de Lazarus lograron interceptar las transferencias y redirigirlas a varias cuentas bajo su poder. Para conseguirlo, atacaron a un tercero: al proveedor de la billetera que usa el *exchange*, la plataforma Safe{Wallet}. Lazarus consiguió hacerse con el control del equipo de uno de los desarrolladores de software de Safe{Wallet} y, una vez dentro de la infraestructura de esa plataforma, insertaron un código malicioso oculto en su aplicación. Es lo que en la jerga se conoce como un *supply chain attack*, un ataque a un socio tecnológico de la víctima.
«Ese *malware* de precisión quirúrgica fue diseñado para activarse solo bajo condiciones específicas, pasando inadvertido a las defensas habituales», explica Lambert. Cuando Zhou inició las transferencias rutinarias desde la billetera fría, el código malicioso se ejecutó, manipulando las transacciones para enviarlas a las carteras de los atacantes en lugar de a las legítimas. «Inmediatamente después de realizarse la transacción, los hackers borraron sus huellas: en dos minutos subieron nuevas versiones limpias del código JavaScript al repositorio de Safe{Wallet} en [la nube de] AWS, eliminando la puerta trasera que habían usado. Todo el ataque ocurrió con tal rapidez y sutileza que, para cuando Bybit detectó el anómalo drenaje de sus fondos, ya era demasiado tarde: los *ethers* estaban controlados por Lazarus».
### ¿Qué Pretende Corea del Norte Con Tanto Cripto-Choreo?
Bybit lanzó una serie de recompensas para quienes logren bloquear las criptomonedas robadas, impidiendo su intercambio. «Este tipo de programas es habitual, por ejemplo, a la hora de encontrar vulnerabilidades en software o hardware (*bug bounty*), pero su aplicación como respuesta a un incidente de seguridad es, cuanto menos, curiosa», opina José Rosell, consejero delegado de S2Grupo. No han conseguido mucho por esta vía: cinco días después del ataque, «ya se habían blanqueado 400 millones mediante transferencias a través de múltiples monederos intermediarios, la conversión en diferentes criptomonedas y el uso de intercambios descentralizados y puentes entre cadenas para ofuscar el rastro», según estima un informe de la consultora especializada TRM Labs. Es precisamente el anonimato y la liquidez rápida que ofrecen las criptomonedas, si se las compara con el dinero bancario tradicional, lo que las hace tan atractivas para las actividades ilícitas.
Aunque ninguno lo reconoce oficialmente, muchos países financian y apoyan a grupos de *hackers* de élite, conocidos como APT (amenazas avanzadas persistentes). Se trata de organizaciones muy bien estructuradas y con profesionales de primer nivel, cuyas capacidades suelen estar a la par que la de los servicios secretos de las grandes potencias. Con una diferencia: actúan, supuestamente, sin bandera. Suelen dedicarse al espionaje industrial, el sabotaje o la obtención de documentos militares o de valor estratégico.
La aproximación de Corea del Norte es distinta. Sus equipos de hackers están principalmente enfocados a obtener fondos para el régimen. Y han encontrado en las criptomonedas una fuente de ingresos importante. El reciente golpe de Bybit (1.500 millones de dólares) y el de Axie Infinity (660 millones) son buena prueba de ello. El portal especializado TRM Labs calcula que los hackers norcoreanos se han hecho al menos con 5.000 millones de dólares en criptomonedas solo desde 2021. Y un informe del Consejo de Seguridad de Naciones Unidas estima que los fondos aportados por estos grupos suponen la mitad de las divisas que llegan a Corea del Norte.
Fue Kim Jong-un, nieto del fundador de la dinastía de dictadores, quien dedujo que el régimen le podía sacar mucho partido al ciberespacio. Según cuenta la periodista Anna Fifield en su libro *El gran sucesor* (Capitán Swing, 2021), apostó por ello nada más heredar las riendas del país, en 2009. «Los estudiantes que muestran posibles aptitudes [para la informática], algunos de tan solo 11 años, son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang», donde «a lo largo de cinco años se les enseña a *hackear* sistemas y a crear virus informáticos», escribe Fifield.
Los servicios secretos de EE UU y Reino Unido, así como Microsoft, le atribuyen a Lazarus el lanzamiento en 2017 de WannaCry 2.0, el mayor *ransomware* de la historia. Ese virus informático secuestró unos 300.000 ordenadores de 150 países, incluyendo los del sistema sanitario de Reino Unido, y pidió un rescate a cambio de su liberación. Fue muy sonado también el ciberataque contra Sony Pictures de 2014, productora a la que atacó por hacer un filme que se mofaba del Amado y Respetado Líder, una de las formas oficiales de dirigirse a Kim Jong-un. Más recientemente, se supo que fueron capaces de colocar a sus hackers como empleados en un centenar de empresas tecnológicas para robar información sensible y dinero.
«Nuestro equipo de investigación ha identificado nuevas campañas que muestran un nivel de sofisticación de este grupo», dice Marc Rivero, responsable de investigación de seguridad de Kaspersky. «Un ejemplo es la operación DreamJob, también conocida como DeathNote, en la que han utilizado *malware* avanzado para comprometer a empleados de una empresa nuclear en Brasil».
