En un mundo cada vez más dependiente de la tecnología y los sistemas digitales, la seguridad informática se ha convertido en un pilar fundamental para la protección económica y estratégica de los países. Sin embargo, existen actores estatales que, a pesar de contar con limitaciones económicas y tecnológicas, han logrado establecer redes de cibercriminalidad global que afectan directamente a la economía y la seguridad de países como Estados Unidos. Uno de los ejemplos más notorios es el grupo de hackers conocido como Lazarus, vinculado al régimen de Corea del Norte, que ha perpetrado ataques cibernéticos multimillonarios contra empresas y organizaciones en todo el mundo. Corea del Norte, un país aislado, con severas limitaciones económicas y tecnológicas aparentes, ha demostrado una capacidad preocupante para ejecutar operaciones de ciberataques que generan un impacto considerable en la economía global. A lo largo de la última década, este país ha extendido su influencia en el mundo del hacking, utilizando grupos organizados con formación avanzada y motivaciones vinculadas a financiar sus objetivos políticos y militares.
El grupo más emblemático de estos ciberatacantes es Lazarus, una organización que ha estado operando desde al menos 2009 y que mantiene una relación directa con el Reconnaissance General Bureau, una agencia de inteligencia norcoreana. A pesar de las sanciones internacionales y el aislamiento, el Gobierno norcoreano invierte significativamente en instruir a jóvenes en las artes de la guerra cibernética. Programas educativos especializados, como los que se imparten en la Automation University en Hyungsan, forman anualmente a centenares de hackers expertos en desarrollo de virus, penetración de redes y manipulación de sistemas críticos. Los mejores estudiantes reciben beneficios exclusivos y oportunidades de vivir en Pyongyang, lo que refleja la importancia estratégica que se otorga a este tipo de personal para el régimen. Lazarus ha sido responsable de ataques que hoy se consideran emblemáticos dentro del cibercrimen internacional.
Por ejemplo, en 2014 lograron infiltrarse en Sony Pictures a través de campañas de spearphishing, obteniendo credenciales internas que permitieron filtrar información sensible, desde películas inéditas hasta datos personales de empleados. Este incidente expuso la vulnerabilidad que aún presentan grandes corporaciones frente a métodos de ingeniería social basados en el engaño. Más adelante, en 2016, Lazarus ejecutó un ataque contra el Banco Central de Bangladesh, intentando robar cerca de mil millones de dólares mediante malware que capturaba pulsaciones de teclado. Aunque la mayoría del dinero fue recuperado, lograron sustraer 81 millones, un golpe significativo para una entidad financiera de tal calibre. Otro episodio relevante fue el lanzamiento del ransomware WannaCry en 2017, que afectó a cientos de miles de computadoras en más de 150 países, causando interrupciones en infraestructuras críticas y extorsionando a múltiples organismos con efectos devastadores.
En años recientes, Lazarus ha enfocado gran parte de sus operaciones en el robo de criptomonedas, una modalidad que combina el anonimato y la dificultad para rastrear los fondos. Desde 2017, se estima que Corea del Norte ha logrado sustraer más de seis mil millones de dólares en activos digitales, con Lazarus como principal responsable de aproximadamente la mitad de estas cifras. Entre sus robos más sonados se encuentra el ataque a la red Ronin, utilizada por Axie Infinity, un juego basado en blockchain, donde mediante un sofisticado plan de phishing dirigido a la empresa desarrolladora Sky Mavis, lograron acceder a los validadores necesarios para mover fondos por un valor de 600 millones de dólares. El más reciente ataque a Bybit, el segundo exchange de criptomonedas más grande del mundo, confirma la creciente capacidad y audacia de estos hackers. Los delincuentes lograron comprometer el sistema Safe{Wallet} a través de ingeniería social y la inyección de código malicioso, logrando que los autorizados firmantes aprobaran transferencias fraudulentas por un monto de mil quinientos millones de dólares.
Además de Lazarus, Corea del Norte cuenta con múltiples grupos cibernéticos que ejecutan misiones específicas, desde el espionaje electrónico hasta el robo de información empresarial. Entre ellos destacan Kimsuky, que se especializa en operaciones de espionaje y recolección de inteligencia, y otros colectivos como Andariel, Lab 110, TEMP.Hermit y Bureau 121, unidades que suman miles de hackers operando bajo la supervisión del régimen. Estos grupos no solo atacan desde aparatos externos con sofisticados ataques sino que también infiltran compañías haciendo pasar trabajadores falsos, con el fin de espiar, extraer información y enviar lo recaudado al país para financiar el régimen y sus programas nucleares. Plataformas profesionales como LinkedIn se han convertido en un caldo de cultivo para la ingeniería social norcoreana, donde hackers contactan a profesionales de tecnologías de la información con falsas ofertas laborales, solicitando realizar tareas que implican descargar archivos maliciosos alojados en servicios como GitHub.
Estos archivos contienen malware diseñado para robar criptomonedas y realizar ciberespionaje, evidenciando la continua diversificación y sofisticación de sus métodos. La efectividad de estos ataques radica en varios factores claves. En primer lugar, el enfoque en técnicas que explotan las debilidades humanas, como el phishing y la ingeniería social, hacen que incluso compañías tecnológicamente avanzadas puedan ser vulnerables si no mantienen protocolos estrictos de seguridad. En segundo término, la falta de presiones legales y responsabilidad internacional hace que Corea del Norte actúe con menor cautela que otros estados patrocinadores de ciberataques como Rusia o China, quienes en ocasiones son sometidos a represalias y sanciones efectivas. Finalmente, el ciclo autogenerado de financiamiento a través de estas actividades ilegales permite a Pyongyang reinvertir en su maquinaria cibernética y crear un círculo vicioso que potencia su actividad criminal.
