El 21 de febrero de 2025, el mundo de las criptomonedas se sacudió con la noticia del robo más grande registrado hasta la fecha, cuando hackers norcoreanos lograron sustraer aproximadamente 1,500 millones de dólares en Ethereum (ETH) de la plataforma de intercambio Bybit. Este incidente no solo puso en evidencia las vulnerabilidades en la seguridad del sector cripto sino que también representó una alerta global sobre la sofisticación y escala del cibercrimen vinculado a actores estatales con intereses geopolíticos y económicos. El robo se originó durante un proceso que, en apariencia, era rutinario: la transferencia de fondos desde lo que se conoce como una billetera fría (cold wallet) a una billetera más accesible pero aún segura llamada billetera tibia (warm wallet). La diferencia clave entre ambos tipos es que la billetera fría está desconectada de internet y diseñada para almacenamiento a largo plazo, mientras que la tibia permite movimientos más frecuentes con medidas de seguridad equilibradas. Sin embargo, ese día la operación fue manipulada a través de un ataque complejo que explotó una cadena de suministro y la confianza en un tercero.
Bybit utiliza para su sistema de transferencias una plataforma multisignature llamada Safe{Wallet}, que exige múltiples aprobaciones para validar cualquier movimiento de fondos, un mecanismo pensado para reforzar la seguridad. No obstante, los atacantes lograron comprometer un desarrollador de Safe{Wallet} mediante una técnica conocida como ingeniería social, lo que les permitió acceder a su estación de trabajo y robar tokens de sesión de Amazon Web Services (AWS). Estos tokens, que actúan como llaves temporales para acceder a sistemas seguros, fueron utilizados para infiltrarse en la cuenta de Safe{Wallet} en AWS, eludiendo controles de autenticación multifactor y permaneciendo ocultos hasta el momento del robo. Con el acceso a Safe{Wallet}, los atacantes insertaron código malicioso en la interfaz de usuario (UI) que los empleados de Bybit utilizaban para aprobar transacciones. Este código alteró la dirección destino de las transferencias, enviando los ETH robados a billeteras controladas por los hackers, sin que los trabajadores de Bybit notaran la manipulación durante la aprobación.
Solo después que los fondos fueron transferidos, Bybit detectó la anomalía. La responsabilidad de este ataque recae sobre un grupo vinculado al gobierno de Corea del Norte, conocido como Lazarus Group, específicamente una subunidad llamada TraderTraitor, adscrita al Buró 3 de la Reconnaissance General Bureau (RGB), el servicio de inteligencia extranjera de Corea del Norte. Este grupo ha sido asociado en el pasado con múltiples incidentes cibernéticos enfocados en la industria de criptomonedas, pues encuentran en ella un objetivo atractivo dada la velocidad y menor regulación comparada con la banca tradicional. Los ataques de Corea del Norte en el mundo cripto han demostrado ser muy rentables. Solo en 2023 se reportaron pérdidas de 660.
5 millones de dólares en diversas operaciones, cifra que aumentó a 1.34 mil millones en 2024. Con el golpe a Bybit, el valor robado prácticamente duplicó lo arrebatado en todo el año anterior, reforzando la percepción de que el cibercrimen es una fuente clave de ingresos para el régimen norcoreano, incluso para financiar programas que preocupan a la comunidad internacional. Sin embargo, revelar la noticia del robo es solo una parte de la historia. La dificultad reside en cómo los hackers logran convertir esos fondos en criptomonedas difíciles de rastrear y eventualmente en moneda fiduciaria que pueda usarse libremente.
La mayoría de los fondos robados en Ethereum fueron convertidos rápidamente a Bitcoin, que gracias a su estructura basada en el modelo UTXO (Unspent Transaction Output), ofrece más privacidad y es más difícil de seguir que Ethereum, que utiliza un modelo de cuenta más centralizado. Para complicar aún más el rastreo, los atacantes emplearon mixers o mezcladores de criptomonedas, que fragmentan y combinan fondos de múltiples usuarios para ocultar el origen. Adicionalmente, usaron exchanges descentralizados (DEX), puentes entre diferentes cadenas de bloques y participaron en miles de transacciones pequeñas para saturar los sistemas de monitoreo y dificultar la labor de los analistas forenses del blockchain. También han recurrido a servicios de lavado de dinero como servicio (MLaaS) ofrecidos por redes delictivas en China y el sudeste asiático. El proceso para congelar o recuperar estos activos es arduo y está limitado por ventanas temporales cortas donde las criptomonedas pueden ser interceptadas, especialmente cuando se convierten en otros activos digitales o moneda fiduciaria.
Por ende, la colaboración entre plataformas de intercambio, agencias gubernamentales y cuerpos de seguridad internacionales es crucial para aumentar la efectividad de las acciones de recuperación. Más allá del incidente puntual, el atraco a Bybit pone en evidencia la urgente necesidad de mejorar la seguridad dentro de la industria de las criptomonedas. Muchas startups y empresas del sector priorizan el crecimiento y la innovación por encima de la ciberseguridad, lo que abre la puerta a ataques exitosos. Reforzar el control interno, implementar prácticas como simulaciones previas al envío de transacciones, retrasos en retiros grandes para evaluación manual y validaciones técnicas en contratos inteligentes son algunas de las medidas que podrían minimizar riesgos. El sector regulatorio también debe evolucionar para dar respuestas efectivas a estas amenazas.
Aunque organismos como el Grupo de Acción Financiera Internacional (FATF) dictan recomendaciones sobre protocolos anti lavado de dinero (AML) y conocimiento del cliente (KYC), la descentralización y naturaleza global de las criptomonedas dificultan la implementación uniforme de estas normas. Países como Emiratos Árabes Unidos y Bahréin han iniciado “sandbox” regulatorios, espacios controlados para probar nuevas regulaciones sin frenar la innovación, modelo que podría adoptarse en otras regiones como Estados Unidos para alcanzar un marco seguro y flexible. En este contexto, la cooperación internacional se vuelve aún más esencial. Las relaciones entre plataformas, agencias de inteligencia, autoridades judiciales y organizaciones especializadas en análisis de blockchain tienen que ser fuertes y coordinadas para actuar con rapidez frente a incidentes como el que sufrió Bybit. La capacitación continua sobre tecnologías cripto para los profesionales de la ley y finanzas es indispensable para mejorar la respuesta a nuevos esquemas de fraude y lavado.
