:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/bloomberglinea/BYOA4TAIWRC2PC2Q2TWGFNDYKE.jpg "CoinsPaid")
Bloomberg — A finales de julio, un programador de la empresa estonia CoinsPaid, el mayor proveedor de criptopagos del mundo, se reunió por videoconferencia con un reclutador que había contactado en LinkedIn con una lucrativa oferta de trabajo. Durante la entrevista de trabajo de 40 minutos, se pidió al ingeniero que descargara un archivo para realizar una prueba técnica, que hizo en su computadora de trabajo.
Unos días después, el 22 de julio, el equipo de seguridad de CoinsPaid observó una serie de retiradas inusuales: el dinero se estaba vaciando rápidamente de las cuentas de la empresa. Cuando pudieron cerrar todo y expulsar a los hackers, cuatro horas y media más tarde, CoinsPaid había perdido US$37 millones, y tanto el origen del cripto robado como las direcciones de los monederos digitales que lo recibieron se habían ocultado cuidadosamente.
“El ataque en sí fue muy rápido. Son profesionales”, dijo Pavel Kashuba, cofundador y director financiero de CoinsPaid, en una entrevista el domingo.
La rapidez y la metodología indican que la operación puede haber sido llevada a cabo por Lazarus, un grupo de piratas informáticos relacionado con el gobierno norcoreano, según CoinsPaid y los investigadores que trabajan para Match Systems. El consulado de Corea del Norte en Polonia no respondió a una solicitud de comentarios.
CoinsPaid, que afirma que procesa transacciones por valor de unos US$1.000 millones al mes, lo que le convierte en el mayor proveedor de criptopagos del mundo, ha proporcionado a Bloomberg News una rara visión de cómo los piratas informáticos han podido robar cientos de millones en tokens de empresas de blockchain de todo el mundo.
Lázaro resucita
La entrevista falsa y el posterior pirateo fueron la culminación de una elaborada operación de seis meses en la que los piratas informáticos lanzaron numerosos ataques de denegación de servicio y de fuerza bruta, que sondean las redes en busca de vulnerabilidades técnicas que luego puedan explotarse. En el periodo previo a la filtración, los piratas informáticos estudiaron CoinsPaid de cerca, realizando ataques de phishing y poniéndose en contacto con varios miembros del personal con preguntas y ofertas de trabajo para obtener acceso a los sistemas internos, según una investigación de la empresa.
Para dedicarse al espionaje corporativo a esta escala, dijo Kashuba, “necesitas disponer de una enorme cantidad de recursos”.
Es un libro de jugadas que el grupo ya ha utilizado antes.
En la última década, Lazarus ha estado vinculado a ataques de ransomware como el ataque WannaCry de 2017, que dejó fuera de servicio 300.000 computadoras en todo el mundo, incluido un tercio de los hospitales de atención secundaria del Reino Unido, y el hackeo de Sony Pictures Entertainment en 2014. En 2019, el Tesoro estadounidense sancionó a la organización por piratear infraestructuras militares, financieras y críticas. Muchos expertos creen que Lazarus se creó para canalizar divisas hacia Corea del Norte.
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/bloomberglinea/DHJP5YENNZDDPGHQON4RS5WU6Q.jpg "Hackers roban US$100 millones tras explotar eslabón débil del ecosistema cripto")
En los últimos años, el grupo se ha centrado cada vez más en el sector de las criptomonedas para ayudar a financiar los programas de desarrollo armamentístico de Pyongyang. Las pérdidas mundiales relacionadas con el robo de criptomonedas alcanzaron la cifra récord de US$3.800 millones en 2022, según la empresa de análisis de cadenas de bloques Chainalysis Inc.
“Enfoque de firma”
Aunque muchas empresas confían en las tecnologías blockchain para proteger sus sistemas, la ingeniería social (es decir, la manipulación de las personas) sigue siendo una vulnerabilidad importante. Según un informe post-mortem publicado por la empresa, el ingeniero de CoinsPaid fue el objetivo de alguien que decía ser un reclutador de la casa de cambio Crypto.com y ofrecía un salario de hasta US$30.000 al mes, varias veces superior al del mercado. CoinsPaid no está seguro de si el entrevistador era una persona real o una simulación de IA.
En cuanto el ingeniero descargó el archivo, los hackers pudieron obtener acceso remoto al sistema de CoinsPaid, lo que les permitió retirar fondos de las carteras de criptomonedas activas y comenzar casi inmediatamente a blanquear criptomonedas. Para ello, utilizaron el mezclador Sinbad y varios servicios de intercambio, que mezclan e intercambian diferentes criptodivisas para dificultar la identificación de la procedencia de un token determinado. Al final, CoinsPaid perdió aproximadamente 18 meses de beneficios. El programador sigue trabajando en la empresa.
“Entendemos muy bien que se trata del Grupo Lazarus”, dijo Kashuba. “Este es su enfoque característico”.
En junio, unos piratas informáticos robaron US$100 millones de otro servicio de criptomonedas con sede en Estonia, utilizando técnicas similares para blanquear los tokens robados. Ambos casos están siendo investigados por las autoridades, pero los clientes del servicio que fue atacado en junio han presentado una demanda en EE.UU. contra la empresa, alegando que no abordó vulnerabilidades de ciberseguridad previamente señaladas.
Aunque el país báltico intentó en su día convertirse en un centro criptográfico europeo, eso cambió después de que las autoridades estadounidenses sancionaran a dos de los mayores criptointermediarios de Estonia por tener vínculos con el ransomware. Ahora, las autoridades estonias están poniendo freno a la tecnología. Los reguladores han recortado drásticamente el número de licencias para las empresas de criptomonedas, y actualmente sólo hay 100 operando en Estonia.
Lea más en Bloomberg.com
