Expertos en ciberseguridad descubrieron una sofisticada estafa en la que operativos de Corea del Norte usan identidades falsas para infiltrarse en empresas de criptomonedas: en lo que va de año, estos hackers habrían robado alrededor de 1,6 millardos de dólares con este modus operandi.
El grupo, conocido como UNC4899 o TraderTraitor, se hace pasar por reclutadores autónomos en plataformas como LinkedIn y Telegram para engañar a los empleados y que ejecuten software malicioso. Esto les da acceso a infraestructura cloud sensible y carteras de criptomonedas, estafando millones de dólares.
Activo desde 2020 y vinculado a la Oficina General de Reconocimiento de Corea del Norte, UNC4899 tiene como objetivo empresas de blockchain y criptomonedas de todo el mundo. Su enfoque combina ingeniería social avanzada con técnicas de ataque específicas para la nube. Eluden los protocolos de seguridad y recopilan credenciales para moverse lateralmente dentro de las redes de las víctimas.
Infiltración en la nube y robo multimillonario
El informe Cloud Threat Horizons Report 2025 de Google detalla dos casos relacionados con este grupo de hackers de Corea del Norte que ataca a empresas de criptomonedas:
En uno de ellos, los ciberdelincuentes comprometieron una cuenta privilegiada de Google Cloud. Desactivaron la autenticación multifactorial (MFA) para acceder a los servicios de monederos criptográficos y robaron millones. Luego volvieron a activar la MFA para evitar ser detectados.
En otro caso en AWS, los atacantes eludieron la fuerte seguridad robando cookies de sesión y manipulando archivos JavaScript para redirigir las transacciones criptográficas a sus monederos.
Por su parte, el análisis de Wiz muestra que UNC4899 opera bajo múltiples alias, entre ellos Jade Sleet y Slow Pisces, y colabora con otros grupos de hackers respaldados por el Estado norcoreano.
Las ofertas de trabajo falsas se convirtieron en el vector principal en 2023. Están dirigidas a los empleados de las plataformas de intercambio de criptomonedas y a los entornos en la nube.
Los hackers de Corea del Norte han causado grandes pérdidas en las empresas de criptomonedas
Las pérdidas financieras derivadas de los ataques de UNC4899 son enormes:
- 305 millones de dólares robados de la japonesa DMM Bitcoin en 2024. En diciembre de ese año anunció su cierre
- 1500 millones de dólares perdidos en el hackeo a Bybit en 2025
- Se estima que los actores norcoreanos robaron 1600 millones de dólares en criptomonedas en 2025, de acuerdo con datos de Wiz a mitad de año
ZachXBT, un investigador de blockchain, estima que hasta 920 agentes norcoreanos se han infiltrado en empresas de criptomonedas, ganando más de 16 millones de dólares en salarios desde que comenzó este año.
Resumen de las características de estas estafas
- UNC4899 utiliza perfiles de reclutamiento falsos en LinkedIn y Telegram
- Aprovechan plataformas en la nube como Google Cloud y AWS para acceder a carteras de criptomonedas
- La autenticación multifactorial (MFA) suele desactivarse o eludirse durante los ataques
- Las pérdidas atribuidas a este grupo ascienden a miles de millones en activos criptográficos
- La amenaza es constante para las empresas de criptomonedas que dependen de la nube
Por lo tanto, las empresas de criptomonedas deben reforzar la seguridad en la nube y la concienciación de los empleados. Así podrán contrarrestar estas amenazas en constante evolución, ya que UNC4899 y los grupos afiliados siguen al acecho.
Información de FXLeaders / Redacción Minuto Financiero
No dejes de leer: Spotify anunció un aumento en los precios de sus planes premium en estas regiones
Síguenos en nuestras redes sociales
