Arturo TrenardHackers Norcoreanos Utilizan Ingeniería Social con IA para Atacar la Billetera de Cripto Zerion
La plataforma de cartera de criptomonedas Zerion confirmó que hackers afiliados a Corea del Norte utilizaron técnicas avanzadas de ingeniería social potenciadas por inteligencia artificial para robar aproximadamente $100,000 de sus billeteras calientes corporativas. Aunque los fondos de los usuarios no se vieron comprometidos, el incidente destaca una tendencia alarmante: los actores de amenazas norcoreanos están priorizando ataques prolongados y personalizados contra empleados del sector, marcando un cambio significativo en sus tácticas de cibercrimen financiero.
El Ataque a Zerion: Metodología e Impacto
En un análisis post-mortem, Zerion detalló la naturaleza del incidente, confirmando que se trató de un ataque de “ingeniería social habilitada por IA” vinculado a un actor de amenazas de la República Popular Democrática de Corea (DPRK). La campaña, descrita como “a largo plazo”, culminó con el acceso no autorizado a los fondos.
Cronología y Naturaleza del Incidente
El modus operandi consistió en que los atacantes obtuvieron acceso a sesiones iniciadas y credenciales de algunos miembros del equipo de Zerion. Con este nivel de acceso, lograron comprometer las claves privadas de las billeteras calientes de la empresa. La compañía afirmó que “este incidente mostró que la IA está cambiando la forma en que funcionan las amenazas cibernéticas”.
Medidas de Respuesta y Alcance Limitado
Como medida de precaución, Zerion deshabilitó de manera proactiva su aplicación web. La empresa confirmó que los fondos de los usuarios, las aplicaciones y la infraestructura central no se vieron afectados. El monto robado, estimado en $100,000, se considera relativamente pequeño en el contexto de los hackeos cripto, pero su metodología ha encendido las alarmas de seguridad.
El Patrón Norcoreano: Ingeniería Social Sistematizada
Este ataque no es un hecho aislado. Presenta similitudes con otros incidentes investigados recientemente por la Alianza de Seguridad (SEAL) y es el segundo de este tipo en el mes, tras la explotación masiva que extrajo $280 millones del protocolo Drift. Expertos señalan un cambio de paradigma: “La capa humana, no los bugs en los contratos inteligentes, se ha convertido ahora en el principal punto de entrada de Corea del Norte a las empresas de criptomonedas”.
El Grupo UNC1069 y sus Tácticas
La investigación de SEAL, que cubrió el período de febrero a abril de 2026, rastreó y bloqueó 164 dominios vinculados al grupo de amenazas conocido como UNC1069. Este grupo opera campañas de “baja presión” en plataformas como Telegram, LinkedIn y Slack, suplantando a contactos conocidos, marcas creíbles o aprovechando cuentas previamente comprometidas. Según SEAL, “la metodología de ingeniería social de UNC1069 se define por la paciencia, la precisión y la weaponización deliberada de las relaciones de confianza existentes”.
El Rol de la Inteligencia Artificial
La unidad de ciberseguridad Mandiant, de Google, detalló en febrero de 2026 cómo este grupo utiliza inteligencia artificial para editar imágenes o videos durante la fase de ingeniería social, haciendo que sus suplantaciones sean más convincentes. También se ha observado el uso de reuniones de Zoom falsas como parte de su arsenal.
Un Panorama de Amenaza en Evolución y Expansión
La infiltración norcoreana en la industria cripto es de larga data. Taylor Monahan, desarrolladora de MetaMask e investigadora de seguridad, declaró que trabajadores norcoreanos de TI se han infiltrado en empresas cripto y proyectos DeFi durante “al menos siete años”, indicando una operación de inteligencia sostenida.
Advertencias de los Expertos en Seguridad
Las firmas de seguridad advierten que la amenaza se está ampliando. La empresa Elliptic señaló que “la evolución de las técnicas de ingeniería social del DPRK, combinada con la creciente disponibilidad de la IA para refinar y perfeccionar estos métodos, significa que la amenaza se extiende mucho más allá de los exchanges”. Agregaron que “los desarrolladores individuales, los colaboradores de proyectos y cualquier persona con acceso a la infraestructura de criptoactivos es un objetivo potencial”.
Contexto e Implicaciones para la Seguridad
Este incidente con Zerion ilustra una transición clara en los vectores de ataque utilizados por actores norcoreanos: desde la explotación puramente técnica de vulnerabilidades en contratos inteligentes hacia operaciones de inteligencia sofisticadas centradas en el ser humano.
Las implicaciones son profundas para la seguridad del ecosistema. La industria debe reforzar urgentemente la concienciación y formación en seguridad para todos los empleados, enfocándose en el phishing avanzado. Se vuelve crítica la implementación de protocolos estrictos de verificación de identidad y gestión de accesos, incluso para comunicaciones que parezcan legítimas. El caso subraya cómo la inteligencia artificial se ha convertido en una herramienta de doble filo, utilizada tanto para la defensa como para potenciar ataques más convincentes y difíciles de detectar.
