El 7 de marzo de 2024, un panel de expertos de las Naciones Unidas reveló que está investigando 58 ciberataques atribuidos a hackers norcoreanos, que habrían permitido a los atacantes robar la asombrosa cifra de $3 mil millones durante un lapso de seis años. La investigación resalta las sofisticadas y peligrosas tácticas utilizadas por estos grupos, que, según la ONU, operan bajo la supervisión de la Oficina General de Reconocimiento de Corea del Norte. Entre los grupos mencionados se encuentran Kimsuky, el Grupo Lazarus, Andariel y BlueNoroff, conocidos por sus elaboradas estrategias de cibercrimen. Los expertos de la ONU señalaron que los objetivos de estas ciberamenazas van más allá del simple robo; buscan obtener información valiosa para el régimen norcoreano y generar ingresos ilícitos. El reporte destaca cómo la propiedad intelectual robada no solo ayuda al régimen a hacerse con avances tecnológicos, sino que también puede ser comercializada en el mercado negro.
La metodología empleada por estos grupos incluye tácticas de spearphishing, explotación de vulnerabilidades, ingeniería social y ataques de watering hole. De hecho, el panel ahora investiga 17 hacks de criptomonedas realizados en 2023 que han resultado en un robo por valor de alrededor de $750 millones. Entre los ataques más notables de este año se incluye el robo de $120 millones de Atomic Wallet y $114 millones de Poloniex, lo que pone de relieve la amplitud y la seriedad de estas actividades ilícitas. Los especialistas advierten que, además de las criptomonedas, estos grupos han centrado sus esfuerzos en atacar empresas de defensa y cadenas de suministro de software. Estas operaciones se orquestan con una complejidad creciente, lo que ha llevado a una mayor colaboración entre los grupos.
Por ejemplo, se ha documentado cómo Kimsuky y Lazarus han llevado a cabo operaciones conjuntas y comparten infraestructuras. Una de las zonas más afectadas ha sido Corea del Sur, donde los hackers norcoreanos han instigado ataques sistemáticos contra empresas y entidades gubernamentales. Reportes indican que han robado datos valiosos de defensa de la marina surcoreana y de varias universidades e institutos tecnológicos. Las técnicas de ingeniería social son clave en estos ataques, donde los hackers se hacen pasar por reclutadores en plataformas como LinkedIn o manipulan a los buscadores de empleo en aplicaciones como Telegram y WhatsApp. En su informe, el panel de la ONU también se centra en los ataques a la cadena de suministro que han implicado a empresas de software como JumpCloud y JetBrains.
Los ataques a JumpCloud, por ejemplo, han permitido a los hackers lanzar dos robos de criptomonedas que les han proporcionado ganancias de aproximadamente $147.5 millones. La situación es tan crítica que los expertos de la ONU han sido blanco de estas ciberamenazas. Un miembro del panel sufrió ataques de spearphishing desde una dirección privada, presumiblemente vinculada a Kimsuky. Este hecho demuestra la audacia de los grupos norcoreanos que no solo atacan a objetivos económicos, sino que buscan debilitar la infraestructura de investigación y supervisión internacional.
Entre las tácticas más discutidas en el informe se encuentra el uso de ransomware, donde se ha documentado que el grupo Andariel robó $360,000 en Bitcoin a través de ataques a tres empresas. De manera más alarmante, el Grupo Lazarus ha colaborado con una compañía de Corea del Sur para distribuir ransomware, generando aproximadamente $2.6 millones en costos de recuperación de más de 700 víctimas. A medida que las Naciones Unidas profundizan su investigación, también están surgiendo recomendaciones para mitigar el problema. Entre ellas se incluye el fortalecimiento de la seguridad cibernética en instituciones financieras y la implementación de sanciones específicas contra los grupos de hackers.
Además, el panel aboga por la adopción de métodos más efectivos para limitar las capacidades de blanqueo de fondos robados que poseen los actores norcoreanos. Una de las organizaciones que monitorea de cerca las actividades de Corea del Norte es Elliptic, una firma de seguridad blockchain. Recientemente, Elliptic actualizó sus hallazgos sobre los esfuerzos del Grupo Lazarus para lavar dinero a través de Tornado Cash, un servicio de mezcla de criptomonedas. Reportes indican que desde un ataque atribuido a Lazarus, la cifra lavada a través de Tornado Cash ha alcanzado los $100 millones. Este panorama pone de relieve la creciente preocupación que generan las actividades cibernéticas de Corea del Norte no solo en el ámbito financiero, sino en la seguridad global.
Al rastrear y analizar estos ataques, los expertos concluyen que la colaboración internacional es crucial para enfrentar una amenaza que evoluciona rápidamente. La implicación de los grupos norcoreanos en el crimen cibernético no solo representa una violación a las leyes internacionales, sino que también evidencia la destreza tecnológica de una nación aislada que busca formas de generar recursos en un escenario de sanciones severas. La comunidad internacional enfrenta el desafío de implementar medidas más robustas y efectivas que puedan hacer frente a esta ola de cibercrimen, que no solo afecta a las finanzas de las empresas, sino que también pone en riesgo la propia integridad de la infraestructura cibernética global. En definitiva, el llamado de la ONU a la acción es claro: se requieren esfuerzos concertados y coordinados para frenar a los grupos cibernéticos norcoreanos antes de que su potencial de daño alcance niveles aún más alarmantes. La realidad es que la amenaza cibernética de Corea del Norte es un complejo entramado de habilidades sofisticadas, que si bien se nutre de un contexto de aislamiento político, ha encontrado en el ciberespacio un campo fértil para sus operaciones.
Por lo pronto, el mundo observa con atención cómo se desarrollan las investigaciones de la ONU y qué medidas se tomarán para contrarrestar esta proliferación delictiva.
