Bitrefill Sufre Ataque Cibernético Atribuido al Lazarus Group Norcoreano

La plataforma de comercio con criptomonedas Bitrefill confirmó este martes que fue víctima de un ciberataque el pasado 1 de marzo, cuyos métodos coinciden con los del infame Lazarus Group de Corea del Norte. La empresa informó del robo de fondos y del acceso a datos de clientes, pero aseguró haber absorbido las pérdidas con su capital operativo y reforzado sus sistemas de seguridad.

Detalles del Ataque y Presunta Autoría

El ataque se caracterizó por el uso de técnicas sofisticadas. Según la investigación interna de Bitrefill, los atacantes emplearon malware y rastreo en cadena (on-chain tracing), además de reutilizar infraestructura de direcciones IP y correo electrónico previamente vinculada a grupos de hackers. El vector de entrada inicial fue el compromiso del portátil de un empleado.

A través de este acceso, los atacantes lograron consultar aproximadamente 18.500 registros de compra, con el consiguiente riesgo de exposición de información limitada de clientes. En su comunicado, Bitrefill señaló que los métodos utilizados se asemejan notablemente a los del Lazarus Group, un grupo de hacking patrocinado por el estado norcoreano.

La empresa también mencionó que el BlueNoroff Group, una subdivisión o entidad vinculada a Lazarus, pudo estar involucrada o ser la única responsable.

Este grupo tiene un historial de ataques de alto perfil en la industria de las criptomonedas. Su operación más notoria reciente fue el hackeo al intercambio Bybit en febrero de 2025, que resultó en un robo estimado de 1.400 millones de dólares.

Impacto y Respuesta Inmediata de Bitrefill

El motivo del ataque parece haber sido principalmente financiero. Los hackers lograron drenar fondos de las carteras calientes de Bitrefill, utilizadas para transacciones frecuentes. Sin embargo, la empresa aclaró que no hay evidencia de que extrajeran la base de datos completa.

Bitrefill optó por no divulgar el monto exacto de fondos sustraídos, pero enfatizó que asumiría todas las pérdidas para que ningún cliente se viera afectado financieramente. Tras descubrir la intrusión, la empresa activó su protocolo de respuesta, que incluyó:

• La desconexión de sistemas críticos para contener la brecha.
• El contacto con agencias de aplicación de la ley.
• La colaboración con firmas especializadas en seguridad criptográfica como Security Alliance, FearsOff Security, Recoveris.io y zeroShadow para la investigación forense.

Estado Actual y Refuerzo de la Seguridad

Bitrefill informó que sus operaciones comerciales se han normalizado tras el incidente. “Casi todo ha vuelto a la normalidad: pagos, stock, cuentas… Los volúmenes de ventas también están de vuelta a la normalidad”, declaró la empresa.

Como parte de las lecciones aprendidas, Bitrefill anunció haber “mejorado significativamente” sus prácticas de ciberseguridad. Las nuevas medidas implementadas incluyen:

• Revisiones exhaustivas de seguridad realizadas por investigadores externos.
• La implementación de sus recomendaciones.
• Controles de acceso interno más estrictos.
• Mejores estrategias de monitoreo proactivo para una detección y respuesta más rápidas.

Contexto: La Amenaza Persistente en la Industria Cripto

Este incidente subraya la amenaza persistente que enfrenta la industria de las criptomonedas. Grupos de hackers sofisticados y con recursos estatales, como el Lazarus Group, continúan buscando y explotando vulnerabilidades, manteniéndose como una de las amenazas cibernéticas más formidables a nivel global para este sector.

Bitrefill, fundada en 2014, es una plataforma que permite a los usuarios utilizar criptomonedas para comprar una variedad de productos del mundo real, incluyendo tarjetas de regalo digitales, recargas de teléfono y vouchers de servicios.