Los ciberataques contra las plataformas de intercambio de criptomonedas se han vuelto muy comunes, pero el robo de más de seis millones de euros al sitio de intercambio DragonEx con sede en Singapur en marzo del año pasado destaca sobre los demás por, al menos, tres razones. 

La primera es el esquema de phishing especialmente elaborado con el que los atacantes entraron al sistema. Dicho esquema consistía no solo de sitios web falsos sino también de falsos robots de cripto-comercio. La segunda razón es la ingeniosa forma con la que los ladrones blanqueraon las criptomonedas robadas. Por último, pero no menos importante: parece que los hackers estaban trabajando para el líder norcoreano Kim Jong-un.

El robo, cuyos nuevos detalles fueron publicados recientemente por la empresa de análisis de blockchain Chainalysis, muestra lo buenos que se han vuelto los ladrones de los bancos digitales. Y si este y otros informes tienen razón al señalar a los hackers norcoreanos como autores del robo, el ataque podría ser parte de una estrategia de supervivencia más amplia del régimen de Kim, que ha sido apartado del sistema financiero mundial mediante las sanciones económicas internacionales con el fin de reducir su programa de armas nucleares.

DragonEx no fue el primer sitio de intercambio de criptomonedas en convertirse en víctima de esta banda de hackers, a la que algunos analistas de seguridad se refieren como Grupo Lazarus. Este grupo lleva atacando a la industria desde al menos 2017, como parte de una campaña de ataques más amplia centrada en las instituciones financieras. En agosto, un grupo de expertos independientes informó a la ONU de que Corea del Norte había generado unos 1.800 millones de euros para su programa de misiles a través de ciberataques "generalizados y cada vez más sofisticados" para robar a bancos y a plataformas de intercambio de criptomonedas. El uso de criptomonedas por parte del régimen para escapar de las sanciones ha motivado otra reciente advertencia del mismo grupo de expertos de la ONU de no asistir a la próxima conferencia de blockchain en Pyongyang (Corea del Norte).

Según la opinión general, el Grupo Lazarus es el responsable de varios hackeos muy mediáticos, incluida la filtración de Sony Pictures en 2014 y el hackeo por el ransomware WannaCry en 2017, que afectó a cientos de miles de ordenadores de 150 países. Pero su robo en 2016 de más de 73 millones de euros al banco central de Bangladesh fue el que presagió que los sitios de intercambio de criptomonedas podrían ser su siguiente objetivo. Según el FBI, los atacantes pasaron más de un año realizando tareas de reconocimiento antes de obtener acceso al sistema informático del banco a través de una elaborada campaña de phishing.

El ecosistema de criptomonedas con su laxa seguridad era un "objetivo fácil" para los hackers norcoreanos, que ya tenían experiencia en perseguir instituciones financieras, afirma la jefa de investigación de la compañía de ciberseguridad Recorded Future, Priscilla Moriuchi. "Tienen muchas más capacidades de lo que se cree, especialmente en los delitos financieros", asegura. 

Para atacar a DragonEx, Lazarus creó una compañía falsa que anunciaba un bot automatizado de intercambio de criptomonedas llamado Worldbit-bot, explica Chainalysis. La empresa inventada tenía un sitio web, y sus empleados ficticios incluso tenían cuentas en redes sociales. Cuando lanzaron una prueba gratuita del software comercial para los empleados de DragonEx, alguien se lo creyó y descargó el malware a un ordenador que contenía las claves privadas para las billeteras digitales de la plataforma de intercambio atacada.

En una investigación publicada a principios de este mes, Kaspersky Labs describe otro de los recientes esquemas de ataque del Grupo Lazarus, que aparentemente también iba dirigido a los negocios de criptomonedas. En este caso, los atacantes crearon compañías falsas y luego atrajeron a los objetivos para que descargaran malware utilizando la popular aplicación de mensajería Telegram. 

Pero para ganar dinero no basta con irrumpir y robarlo, después hay que cobrarlo. El año pasado, el Grupo Lazarus renovó por completo su proceso para hacerlo, según Chainalysis. Hasta entonces, las técnicas de blanqueo del grupo no parecían demasiado sofisticadas, dado que normalmente dejaban los fondos robados intactos entre 12 a 18 meses antes de cobrarlos mediante alguna de las plataformas de intercambio que no realizan un seguimiento de sus clientes. (Los sitios de intercambio de criptomonedas en la mayoría de las jurisdicciones están obligados a realizar un seguimiento de las identidades de sus clientes, justo por esta razón). 

Pero tras el ataque de DragonEx, su procedimiento para cobrar el dinero en marzo del año pasado resultó mucho más sofisticado. Utilizaron bastantes más pasos intermedios, incluidos distintos sitios de intercambio y una variedad de billeteras digitales. Las criptomonedas terminaron en un tipo de billetera especial que utiliza una tecnología de privacidad compatible con Bitcoin llamada CoinJoin, que combina las transacciones de múltiples usuarios de tal manera que dificulta determinar quién envió qué pago a qué destinatario. Esto les permitió cobrar mucho antes: casi todos los fondos se trasladaron a los "servicios de liquidación" en 60 días, según Chainalysis.

Los nuevos y mejorados métodos de los hackers norcoreanos no revelan tanto sobre sus propias capacidades sino sobre las herramientas de blanqueo de dinero, que ahora están disponibles en el mundo de las criptomonedas. La directora de investigación de Chainalysis, Kim Grauer, afirma que en 2019 su equipo detectó un gran aumento en la "infraestructura avanzada de blanqueo que varias organizaciones criminales podrían aplicar con falicidad". En otras palabras, incluso los delincuentes inexpertos en blockchain pueden tener acceso fácil a los métodos sofisticados para cubrir sus huellas después de robar criptomonedas. Sea como sea, mientras los sitios de intercambio tengan agujeros de seguridad, grupos como Lázaro seguirán robándolos.