Arturo TrenardInfiltración Norcoreana en DeFi: Trabajadores de TI Embebidos en Proyectos Cripto Durante 7 Años
El grupo Lazarus, vinculado a robos por $7,000 millones, habría utilizado infiltración laboral y ataques sofisticados para atacar plataformas como Drift Protocol, según análisis de seguridad.
Trabajadores de tecnología de Corea del Norte se han infiltrado en empresas de criptomonedas y proyectos de finanzas descentralizadas (DeFi) durante al menos siete años, contribuyendo al desarrollo de protocolos y facilitando ciberataques masivos. Esta revelación surge tras el reciente exploit de $280 millones contra Drift Protocol, atribuido a un grupo afiliado al régimen norcoreano.
La Revelación: Siete Años de Infiltración en el Corazón de DeFi
La investigadora de seguridad y desarrolladora de MetaMask, Taylor Monahan, afirmó que trabajadores de TI de Corea del Norte han estado activos en la industria desde sus inicios más populares.
“Muchos trabajadores de TI de la RPDC construyeron los protocolos que conoces y amas, desde los tiempos del ‘DeFi summer'”, señaló Monahan.
Según su análisis, más de 40 plataformas DeFi han tenido empleados norcoreanos, lo que explicaría la experiencia legítima de “siete años en desarrollo blockchain” que muchos candidatos muestran en sus currículums.
Esta infiltración se enmarca dentro de las operaciones del Lazarus Group, el paraguas bajo el cual operan los actores cibernéticos patrocinados por Corea del Norte. Según la firma de inteligencia R3ACH Network, este colectivo ha robado aproximadamente $7,000 millones en criptoactivos desde 2017.
Caso de Estudio Reciente: El Ataque de $280M a Drift Protocol
El reciente ataque al protocolo de trading DeFi Drift ha vuelto a poner el foco en estos métodos. En un comunicado postmortem, el equipo de Drift Protocol expresó un nivel de “confianza media-alta” en que el exploit fue ejecutado por un grupo estatal afiliado a Corea del Norte, destacando que el ataque requirió “meses de preparación deliberada”.
El análisis del incidente revela una evolución en las tácticas. El equipo de Drift indicó que los encuentros en persona durante su investigación no fueron con individuos norcoreanos, sino con “intermediarios de terceros” con identidades completamente construidas y credenciales falsificadas.
Tim Ahhl, fundador de Titan Exchange, corroboró esta sofisticación, afirmando: “Años después, parece que Lazarus ahora tiene a no-norcoreanos trabajando para ellos para engañar a la gente en persona”.
Experiencias Directas: Infiltración a Través de Procesos de Contratación
Tim Ahhl compartió su experiencia directa con este tipo de operaciones. Relató que su exchange, Titan, entrevistó a un candidato para un puesto de ingeniería que parecía “extremadamente calificado”, pero que solo aceptaba comunicarse mediante videollamadas y rechazó categóricamente una entrevista presencial. Años más tarde, la identidad de este candidato apareció en un volcado de información vinculado al Lazarus Group.
Para los investigadores, la sofisticación no radica siempre en el método inicial de contacto. El investigador de blockchain ZachXBT analizó que las amenazas a través de ofertas de trabajo falsas o perfiles de LinkedIn son “básicas y para nada sofisticadas… lo único es que son implacables”.
ZachXBT fue contundente al señalar que “si tú o tu equipo aún caen en ellas en 2026, es muy probable que sean negligentes”. Esta perspectiva distingue entre los vectores de ataque iniciales, a menudo simples, y la compleja ejecución técnica posterior.
Medidas de Mitigación y Concientización
Frente a esta amenaza persistente, existen herramientas para que las empresas mejoren sus defensas. Investigadores como Monahan han señalado el sitio web de la Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos como un recurso clave para verificar contrapartes o candidatos contra listas de sanciones.
La revelación subraya la necesidad crítica de una diligencia debida reforzada en la industria. El riesgo de infiltración es una realidad operativa con al menos siete años de historia. Las empresas deben implementar verificaciones de antecedentes exhaustivas y mantener un escepticismo saludable ante evasivas para realizar reuniones presenciales.
