Hack de Humanity Protocol por $36M: Investigación de Quantstamp señala a hackers norcoreanos

La firma de seguridad blockchain Quantstamp ha vinculado el reciente hackeo de 36 millones de dólares a Humanity Protocol con presuntos hackers norcoreanos, tras identificar que el ataque comenzó con un correo de phishing que contenía un archivo malicioso firmado con un certificado digital característico de amenazas de la República Popular Democrática de Corea (RPDC).

El incidente ocurrió el lunes de esta semana, cuando la empresa de identidad descentralizada perdió tokens H por un valor estimado de 36 millones de dólares. Según el informe de respuesta a incidentes de Quantstamp, al que tuvo acceso la prensa especializada, el vector de entrada fue un ataque de phishing dirigido contra un empleado de la compañía.

Contexto del ataque

Vector de entrada: Phishing dirigido

La investigación reveló que los atacantes enviaron un correo electrónico de phishing que simulaba provenir del exchange surcoreano Bithumb. El mensaje incluía un archivo adjunto malicioso disfrazado como una actualización del calendario de desbloqueo de tokens. Al descargar el archivo, el empleado comprometido instaló inadvertidamente un malware en su computadora portátil.

Ejecución del ataque

Una vez instalado, el malware otorgó a los atacantes acceso remoto completo al dispositivo infectado. Desde esa posición, los hackers lograron copiar credenciales y claves privadas de la billetera MetaMask del director de Humanity Protocol, Chong Yee Wai. Con esas credenciales, los atacantes realizaron la transferencia no autorizada de los tokens H.

Evidencia forense

Quantstamp verificó que el malware utilizado estaba firmado con un certificado digital surcoreano de Hancom, un patrón que la firma de seguridad describió como «característico de intrusiones de la RPDC (Corea del Norte)». Este tipo de certificación digital ha sido observado en operaciones cibernéticas previas atribuidas a actores norcoreanos.

Vínculo con Corea del Norte

Historial de ataques norcoreanos

El incidente se suma a una creciente lista de grandes robos de criptomonedas atribuidos a Corea del Norte. Según datos de Quantstamp, actores vinculados a Norcorea estuvieron detrás de al menos 578 millones de dólares de los 634 millones de dólares robados en incidentes relacionados con criptomonedas durante abril de 2025. Esto representa aproximadamente el 91% del total de pérdidas en ese período.

Datos del informe CertiK

Un informe separado de la firma de seguridad blockchain CertiK, publicado en mayo de 2025, refuerza esta tendencia. Según CertiK, los mismos actores norcoreanos estuvieron vinculados a aproximadamente 2 mil millones de dólares de los 3.400 millones de dólares perdidos en exploits de criptomonedas durante 2025. Aunque estos ataques representan solo el 12% del total de incidentes, los investigadores destacan que el grupo opera con un enfoque en «precisión y escala».

En la última década, los ataques atribuidos a Corea del Norte han acumulado un total de 6.750 millones de dólares robados en 263 incidentes documentados.

Estrategia estatal norcoreana

CertiK afirmó en su informe que Corea del Norte ha «industrializado» el robo de criptomonedas como un mecanismo central de ingresos estatales. Estas operaciones constituyen una parte sustancial de los ingresos externos del régimen, que enfrenta sanciones económicas internacionales y un aislamiento financiero cada vez mayor.

Reacción de Corea del Norte

Negativa oficial

Corea del Norte rara vez responde a las acusaciones de ciberdelincuencia, pero en esta ocasión sí lo hizo. El pasado 3 de mayo, un portavoz del Ministerio de Relaciones Exteriores de Corea del Norte rechazó las acusaciones mediante una declaración difundida por la Agencia Central de Noticias de Corea (KCNA).

El portavoz acusó a Estados Unidos de difundir narrativas «incorrectas» sobre la «inexistente ‘amenaza cibernética'» de Corea del Norte, sin hacer referencia directa al ataque contra Humanity Protocol.

La declaración forma parte de una respuesta habitual del régimen a las crecientes acusaciones internacionales sobre su participación en ciberdelitos.

Implicaciones para la seguridad en cripto

Lecciones del ataque

El incidente con Humanity Protocol pone de manifiesto que el phishing sigue siendo un vector de ataque crítico incluso para empresas del sector blockchain, que deberían contar con altos estándares de seguridad. La investigación de Quantstamp subraya la importancia de verificar la autenticidad de los firmantes y certificados digitales antes de abrir cualquier archivo adjunto, así como la necesidad de implementar medidas de seguridad adicionales para la protección de claves privadas de billeteras institucionales.

Contexto más amplio

Este ataque se enmarca en una tendencia creciente de operaciones dirigidas a exchanges y protocolos de finanzas descentralizadas (DeFi). Además, el fundador de Binance, Changpeng Zhao (CZ), alertó recientemente sobre la existencia de al menos 60 falsos trabajadores de tecnologías de la información vinculados a Corea del Norte que intentaban infiltrarse en empresas del sector cripto, lo que sugiere un patrón de operaciones encubiertas más allá de los ataques directos.