Arturo TrenardCorea del Norte intensifica su ofensiva cripto: del hackeo de $285M a la infiltración silenciosa
El ataque de $285 millones al exchange descentralizado Drift en abril de 2026, el mayor hackeo DeFi del año, ha expuesto una peligrosa evolución en las tácticas de los ciberespías norcoreanos. Por primera vez, utilizaron un acercamiento presencial en conferencias de la industria para ganar confianza, marcando un salto desde los ataques remotos. Paralelamente, una red de trabajadores de TI vinculados a Corea del Norte se ha infiltrado en empresas de cripto y tecnología, generando ingresos estables de más de $1 millón mensual para financiar el programa armamentístico del régimen, según investigaciones de TRM Labs y ZachXBT.
El ataque a Drift: un nuevo paradigma de ingeniería social
El protocolo Drift confirmó en una declaración pública en X (antes Twitter) que el ataque del 1 de abril fue precedido por un meticuloso proceso de ingeniería social. En el otoño de 2025, individuos haciéndose pasar por representantes de una firma de trading cuantitativo se acercaron en persona al equipo de Drift durante una gran conferencia internacional de criptomonedas.
De la conferencia al hackeo: la estrategia de acercamiento
Este acercamiento presencial, que se repitió de forma persistente durante seis meses en múltiples eventos del sector, representa un cambio significativo en el modus operandi de los grupos respaldados por Corea del Norte, tradicionalmente basado en ataques remotos. La táctica, dirigida y sostenida, no levantó sospechas inmediatas, permitiendo a los atacantes establecer una relación de aparente confianza con su objetivo.
La ejecución técnica del exploit de $285M
Según el análisis de la firma de inteligencia blockchain TRM Labs, este ataque no solo es el mayor hackeo DeFi de 2026, sino también el segundo más grande en la historia de Solana. Los atacantes iniciaron la operación con fondos procedentes del mezclador de criptomonedas Tornado Cash.
Posteriormente, crearon un token falso llamado CarbonVote Token (CVT) y, aprovechando la confianza ganada, obtuvieron permisos elevados en transacciones multisig del protocolo. La mecánica del exploit consistió en minar una gran cantidad de CVT e inflar artificialmente su volumen de trading para manipular a los oráculos de precios de Drift, haciéndoles creer que era un activo legítimo y valioso.
El 1 de abril, ejecutaron transacciones pre-aprobadas, utilizaron el CVT sin valor real como colateral y retiraron activos genuinos como USDC. El ataque provocó que el valor total bloqueado (TVL) de Drift cayera más del 50% en apenas 12 minutos.
Más allá del hackeo: la estrategia de infiltración a largo plazo
Mientras el sector analizaba el ataque a Drift, una investigación paralela del analista blockchain ZachXBT reveló una estrategia de infiltración a más largo plazo y de menor perfil.
La red de TI falsa que genera millones
ZachXBT documentó la existencia de una red de trabajadores de tecnología de la información, presuntamente vinculados a Corea del Norte, que se infiltran en empresas de cripto y tecnología como desarrolladores remotos. Esta red, activa desde al menos noviembre de 2025, genera ingresos constantes de aproximadamente $1 millón al mes, sumando más de $3.5 millones en total, según el rastreo de transacciones.
Su método opera utilizando identidades falsificadas y rutas de pago compartidas entre múltiples “empleados”. Los fondos en criptomonedas obtenidos como salario son convertidos a moneda fiduciaria y enviados a cuentas bancarias en China, a menudo a través de servicios como Payoneer. El rastreo de algunas de estas carteras cripto las ha vinculado a direcciones asociadas con actividad norcoreana conocida anteriormente.
Objetivo y contexto geopolítico
El objetivo último de estas actividades está claramente identificado por organismos internacionales. Un informe del Consejo de Seguridad de la ONU afirma que los fondos obtenidos a través de criptocrímenes por Corea del Norte están destinados a financiar su programa de armas de destrucción masiva y misiles balísticos.
Este contexto geopolítico se vio reforzado cuando, casi en la misma fecha del ataque a Drift, medios estatales norcoreanos reportaron nuevas pruebas de armas electromagnéticas y del misil balístico Hwasong-11.
La investigadora de seguridad Taylor Monahan señaló que la infiltración en protocolos DeFi por parte de presuntos operativos norcoreanos no es un fenómeno nuevo, estimando que alrededor de 40 protocolos diferentes han tenido contacto con ellos en el pasado.
La respuesta de la industria: estrategias de defensa y detección
Frente a esta amenaza evolutiva, la industria de la criptografía ha desarrollado y compartido tácticas para identificar y rechazar a estos actores maliciosos.
Tácticas de evasión y métodos de detección
Una investigación de 2025 del periodista Heiner García para Cointelegraph detalló cómo los operativos evaden las restricciones geográficas. En lugar de depender únicamente de VPNs, a menudo utilizan acceso remoto a máquinas físicas ubicadas en países como Estados Unidos, lo que hace que su dirección IP aparezca como local.
Sin embargo, sus métodos no son infalibles. García documentó el caso de un sospechoso que se hacía pasar por un desarrollador japonés llamado “Motoki”, quien abandonó abruptamente una entrevista de trabajo falsa cuando no pudo responder adecuadamente a preguntas sobre el dialecto específico de su supuesta región natal.
La estrategia “viral” y sus límites
Una táctica de defensa que se ha difundido ampliamente en la comunidad consiste en pedirle al candidato durante una entrevista que insulte al líder norcoreano Kim Jong Un, por ejemplo, refiriéndose a él con epítetos despectivos. Hasta ahora, esta estrategia ha resultado efectiva, ya que se presume que un agente real del régimen se negaría rotundamente a realizar dichas declaraciones.
No obstante, investigadores como Taylor Monahan advierten que los actores norcoreanos demuestran una constante capacidad de adaptación, como lo prueba el novedoso acercamiento presencial utilizado en el caso de Drift.
La dinámica actual es una carrera constante de “gato y ratón”, y aunque ciertas tácticas son útiles hoy, es probable que los adversarios encuentren formas de eludirlas en el futuro, lo que exige una vigilancia y unas medidas de seguridad en evolución permanente por parte de las empresas del sector.
