En un mundo cada vez más digitalizado, las amenazas a la ciberseguridad se han intensificado, especialmente en sectores que manejan activos de alto valor, como las criptomonedas. Kraken, una reconocida plataforma de intercambio de criptomonedas con sede en Estados Unidos, recientemente reveló un caso sorprendente donde un operativo norcoreano intentó infiltrarse en la empresa aplicando para un puesto de ingeniería. Este caso no solo expone el nivel de sofisticación con el que ciertos actores estatales llevan a cabo sus ataques, sino que también subraya la importancia de la vigilancia constante y la verificación rigurosa durante los procesos de contratación. El intento comenzó como un proceso de selección normal, pero pronto alarmó a los responsables al detectar varias irregularidades en el comportamiento y antecedentes del candidato. Durante las entrevistas por video, el postulante utilizaba un nombre distinto al registrado en su solicitud y en ocasiones cambiaba su voz, lo que sugería la posible influencia o comunicación en tiempo real con otras personas que lo estaban asesorando o controlando.
Estas señales fueron suficientes para que el equipo de seguridad decidiera no rechazarlo inmediatamente, sino continuar con el proceso con el fin de obtener información valiosa sobre sus verdaderas intenciones y tácticas. La tipificación del sospechoso como operativo norcoreano se facilitó gracias a un aviso previo recibido por Kraken de parte de socios de la industria, quienes habían identificado direcciones de correo electrónico vinculadas a actividades sospechosas relacionadas con Corea del Norte. Al detectar un correo electrónico del candidato que coincidía con esta lista, el equipo de seguridad pudo conectar varios puntos que revelaban una red de identidades falsas utilizadas para aplicar a diferentes compañías dentro del sector cripto. Para camuflar su verdadera ubicación, el aspirante empleaba escritorios remotos Mac accedidos mediante VPNs (Red Privada Virtual), herramienta común en actividades encubiertas que ayuda a ocultar el rastro digital y desorientar a los sistemas de seguridad. Además, los documentos de identificación presentados mostraban signos evidentes de haber sido alterados, probablemente con datos obtenidos a partir de robos de identidad anteriores.
Esto fue complementado con un perfil de GitHub vinculado a su currículum que contenía un correo electrónico expuesto en una brecha de datos previa, consolidando aún más la sospecha sobre sus verdaderas intenciones. Durante las fases finales de la entrevista, el director de seguridad de Kraken, Nick Percoco, realizó pruebas improvisadas de verificación de identidad que se enfocaron en detalles precisos como la exhibición del documento de identidad gubernamental, confirmar la ciudad de residencia y nombrar restaurantes locales auténticos del área que supuestamente habitaba el candidato. Ante estas preguntas, el postulante mostró nerviosismo y dificultad, y no pudo responder con naturalidad ni coherencia, lo cual llevó a su rápida desclasificación como impostor. Este evento se enmarca dentro de un contexto más amplio y preocupante relacionado con las actividades cibernéticas patrocinadas por el estado norcoreano. Debido a las severas sanciones internacionales que han aislado económicamente al país, el régimen ha intensificado sus esfuerzos para obtener ingresos mediante el robo de activos digitales.
Sólo en 2024, se estima que hackers afiliados a Corea del Norte han sustraído miles de millones de dólares en criptomonedas mediante ataques dirigidos contra plataformas e infraestructuras cripto. Un ejemplo ilustrativo de esta realidad fue el ataque del grupo Lazarus, vinculado al régimen, que en febrero protagonizó un robo histórico de 1.4 mil millones de dólares en la plataforma Bybit, marcando la sustracción más grande registrada en la industria. Para explotar aún más el ecosistema digital, una rama del grupo Lazarus habría establecido al menos tres empresas ficticias, dos de ellas en Estados Unidos, con el propósito de distribuir malware y engañar a desarrolladores y usuarios relacionados con criptomonedas. Esta táctica ilustra la diversidad de métodos amplificados por los actores norcoreanos para burlar medidas de seguridad y penetrar sistemas.
Además, en enero, gobiernos de Estados Unidos, Japón y Corea del Sur publicaron informes alertando sobre la sustracción de más de 650 millones de dólares en criptoactivos por parte de hackers vinculados a Corea del Norte durante el año, mediante múltiples asaltos digitales. Más preocupante aún es la movilización de trabajadores de tecnología por parte del régimen norcoreano para que ingresen directamente a empresas de blockchain y criptomonedas como amenazas internas, lo cual permite el acceso a datos sensibles y la introducción de software malicioso, incluyendo ransomware. El auge del trabajo remoto ha facilitado que operativos encubiertos oculten efectivamente su identidad y localización, incrementando el riesgo para la industria. Al infiltrar agentes dentro de las organizaciones, el régimen obtiene una ventaja estratégica en la cadena de seguridad, pudiendo realizar ataques desde dentro con mayor eficacia. Ante este escenario, Kraken ha enfatizado la importancia fundamental del principio “No confiar, verificar”, una premisa crucial en la filosofía del mundo cripto pero que cobra mayor relevancia en la era digital actual.
Nick Percoco expresó que los ataques patrocinados por estados no son solo una preocupación corporativa estadounidense o limitada a las criptomonedas, sino una amenaza global que requiere una respuesta coordinada y sofisticada. La experiencia de Kraken demuestra que las empresas deben ser extremadamente cautelosas durante los procesos de reclutamiento, especialmente cuando la industria es blanco frecuente de espionaje y ataques sustentados en Estados nación. Implementar controles profundos de antecedentes, realizar pruebas de verificación en tiempo real, y mantener comunicación activa con otras entidades del sector para compartir amenazas emergentes, son conductas esenciales para proteger la integridad de la infraestructura tecnológica y los activos digitales. Este caso también trae a colación la necesidad imperiosa de incrementar la cooperación internacional para combatir estas acciones ilícitas y reforzar la regulación y supervisión dentro del espacio de las criptomonedas. A medida que la digitalización y la tecnología blockchain avanzan, también lo hacen las amenazas que la acompañan, lo que obliga a gobiernos, empresas y profesionales de seguridad a estar un paso adelante en esta carrera de prevención y detección.
En conclusión, la exposición de un operativo norcoreano mediante una entrevista de trabajo en Kraken no solo revela el alto nivel de sofisticación en tácticas de infiltración estatales, sino que también ofrece una valiosa lección sobre la importancia del escepticismo, la investigación detallada y la cooperación estratégica para preservar la seguridad en el mundo cripto. Las plataformas de criptomonedas y las empresas tecnológicas en general deben fortalecer sus protocolos de selección y seguridad, y aprender de estos eventos para blindarse contra amenazas que son cada vez más audaces y complejas.
