Le pudo pasar a cualquier profesional en busca de una mejor oportunidad laboral. El meticuloso ataque a una firma de criptoactivos es la más reciente advertencia frente a los incesantes hackeos contra compañías e instituciones gubernamentales. A continuación, la historia de cómo una rutinaria entrevista de trabajo ‘abrió la puerta’ al robo de US$ 37 millones.
A mediados de julio, un programador de CoinsPaid, el mayor proveedor de criptopagos del mundo, se reunió por videoconferencia con un reclutador que lo había contactado vía LinkedIn con una lucrativa oferta de trabajo. Durante la entrevista de trabajo de 40 minutos, se le pidió al ingeniero que descargara un archivo para realizar una prueba técnica, lo que hizo en su computadora de trabajo.
Unos días después, el 22 de julio, el equipo de seguridad de CoinsPaid notó una serie de retiros inusuales: el dinero se estaba drenando rápidamente de las cuentas de la empresa con sede en Estonia. Cuando pudieron cerrar todo y expulsar a los hackers cuatro horas y media después, CoinsPaid había perdido US$ 37 millones, y tanto el origen de la criptografía robada como las direcciones de las billeteras digitales que la recibieron habían sido cuidadosamente escondidas.
“El ataque en sí fue muy rápido. Son profesionales”, dijo Pavel Kashuba, cofundador y director financiero de CoinsPaid, citado por Bloomberg.
LEA TAMBIÉN: Los delitos informáticos con mayor incidencia y los bancos más afectados
La velocidad y la metodología indican que la operación pudo haber sido realizada por Lazarus, un grupo de piratería informática conectado con el gobierno de Corea del Norte, según CoinsPaid e investigadores que trabajan para Match Systems. El consulado de Corea del Norte en Polonia no respondió a una solicitud de comentarios.
CoinsPaid, que dice procesar alrededor de US$ 1,000 millones en transacciones por mes, siendo el proveedor de criptopagos más grande del mundo, ha brindado a Bloomberg News un vistazo poco común de cómo los hackers han podido robar cientos de millones en tokens de empresas de cadenas de bloques en todo el mundo.
Lazarus, levántate…
La falsa entrevista y el posterior hackeo fueron la culminación de una elaborada operación de seis meses en la que los hackers lanzaron numerosos ataques de denegación de servicio y de fuerza bruta, que sondean las redes en busca de vulnerabilidades técnicas que luego pueden ser explotadas.
En el período previo al hurto, los hackers estudiaron de cerca a CoinsPaid, realizaron ataques de phishing y se comunicaron con varios miembros del personal con preguntas y ofertas de trabajo para obtener acceso a los sistemas internos, según una investigación de la compañía.
Para participar en el espionaje corporativo a esta escala, dijo Kashuba, “se necesita una gran cantidad de recursos”. Es un manual que el grupo ha usado antes.
Durante la última década, Lazarus ha sido relacionado con ataques de ransomware como el de WannaCry en 2017, que apagó 300,000 computadoras en todo el mundo, incluido un tercio de los hospitales de atención secundaria del Reino Unido, y el hackeo contra Sony Pictures Entertainment en 2014. En 2019, el Tesoro de Estados Unidos sancionó a la organización por hackear infraestructuras militares, financieras y otras críticas. Muchos expertos creen que Lazarus se creó para canalizar divisas hacia Corea del Norte.
En los últimos años, el grupo se ha centrado cada vez más en el sector de las criptomonedas para ayudar a financiar los programas de desarrollo de armas de Pyongyang. Las pérdidas globales relacionadas con el robo de criptomonedas aumentaron a un récord de US$ 3,800 millones en 2022, según la firma de análisis de cadenas de bloques Chainalysis Inc.
“Método característico”
Si bien muchas empresas confían en las tecnologías de cadena de bloques para proteger sus sistemas, la ingeniería social, es decir, la manipulación de personas, sigue siendo una vulnerabilidad importante. Según un informe a posteriori publicado por la empresa, el ingeniero de CoinsPaid fue el blanco de alguien que afirmaba ser un reclutador para la casa de cambio Crypto.com y ofrecía un salario mensual de hasta US$ 30,000, muy por encima del promedio en el mercado. CoinsPaid no está seguro de si el entrevistador era una persona real o una simulación de IA.
LEA TAMBIÉN: Robo de Lazarus: ¿Cómo se sustrajeron US$ 14 millones en 2 horas usando cajeros automáticos?
Tan pronto como el ingeniero descargó el archivo, los hackers pudieron obtener acceso remoto al sistema de CoinsPaid, lo que les permitió retirar fondos de las billeteras de criptomonedas activas y comenzar a lavar criptomonedas casi de inmediato. Para hacer esto, utilizaron el mezclador Sinbad y varios servicios de intercambio, que combinan e intercambian diferentes criptomonedas para que sea más difícil identificar de dónde proviene un token determinado. Al final, CoinsPaid perdió aproximadamente 18 meses de ganancias. El programador todavía sigue trabajando en la empresa.
“Entendemos bastante bien que esto es obra del grupo Lazarus”, dijo Kashuba. “Este es su método característico”.
En junio, los hackers robaron US$ 100 millones de otro servicio de cifrado con sede en Estonia, utilizando técnicas similares para lavar los tokens robados. Las autoridades están investigando ambos casos, pero los clientes del servicio que fue atacado en junio presentaron una demanda en Estados Unidos contra la empresa, alegando que no abordó las vulnerabilidades de seguridad cibernética señaladas anteriormente.
Si bien el país báltico otrora buscó convertirse en un centro criptográfico europeo, eso cambió después de que las autoridades estadounidenses sancionaran a dos de los actores criptográficos más grandes de Estonia por tener vínculos con ransomware. Ahora, los funcionarios estonios están controlando la tecnología. Los reguladores han reducido drásticamente la cantidad de licencias para empresas de criptomonedas, y actualmente solo hay 100 operando en Estonia.
No solo ‘cripto’ buscan los hackers
Para un país que permite que solo unos pocos hombres de confianza accedan a Internet, Corea del Norte es un prolífico alborotador en línea. En 2005, Kim Jong Il, el entonces dictador del país, dijo que “si Internet es como un arma, los ataques cibernéticos son como bombas atómicas”. Su hijo, Kim Jong Un, tomó esta observación en serio y no solo estudió informática en la universidad, sino que expandió significativamente las capacidades de guerra cibernética del país después de que asumió el poder en 2011.
Su saqueo de criptomonedas, por un valor de US$ 1,700 millones solo en 2022, acapara los titulares, pero un nuevo informe sugiere que Corea del Norte usa su “espada multipropósitos”, como Kim padre una vez llamó la capacidad de ataque cibernético de su país, para buscar información más que dinero en efectivo.
Recorded Future, una empresa de seguridad cibernética, analizó 273 ataques cibernéticos atribuidos a grupos norcoreanos entre julio 2009 y mayo 2023. En casi el 72% de los ataques en los que la intención era clara, los hackers parecen haber intentado sustraer datos. Las incursiones motivadas financieramente fueron alrededor del 24% del total. De los 172 casos en los que se identificaron víctimas específicas, los gobiernos fueron los objetivos más comunes. Los intentos de robar criptomonedas quedaron en segundo lugar, seguidos de los ataques a medios de comunicación, entidades financieras y organizaciones de defensa.
Según The Economist, el rápido aumento de la actividad a partir de 2016 se explica en parte por una mayor atención de los analistas. Muchos ataques en el pasado pueden haber pasado desapercibidos. Pero las operaciones cibernéticas de Corea del Norte también están madurando. Las sanciones internacionales más severas impuestas a partir de 2016 en respuesta a las pruebas de armas también pueden haber alentado una mayor actividad, en tanto el régimen aislado se ha vuelto más desesperado por obtener información y dinero.
Los ‘guerreros’ cibernéticos de Corea del Norte, estimados por el Ministerio de Defensa de Corea del Sur en unos 6,800 al 2018, realizan varios tipos de espionaje. A menudo, utilizando técnicas relativamente poco sofisticadas, han invadido plantas de energía nuclear de Corea del Sur, grupos de expertos, medios de comunicación e incluso el sistema de metro de Seúl. Las autoridades están investigando si el Comité Nacional de Elecciones de Corea del Sur fue vulnerado.
Los hackers son oportunistas por naturaleza. A raíz de una masiva aglomeración en Seúl el año pasado en la que murieron más de 150 personas, los hackers norcoreanos distribuyeron comunicados de prensa falsos que contenían códigos maliciosos. Y no solo tienen en la mira a Corea del Sur: Recorded Future dice que al menos 29 países han sido atacados.
Tanto Estados Unidos como Corea del Sur han intensificado sus esfuerzos para combatir la amenaza. Este año, el Departamento de Justicia de Estados Unidos lanzó dos nuevas iniciativas diseñadas para combatir las amenazas cibernéticas de actores estatales, incluida Corea del Norte. Y Estados Unidos y Corea del Sur anunciaron un nuevo grupo de trabajo conjunto sobre seguridad cibernética el 23 de junio.
Sin embargo, hay poco consenso sobre la mejor manera de combatir la amplia gama de amenazas cibernéticas presentadas por Corea del Norte. Las incursiones cibernéticas son baratas, efectivas y es poco probable que provoquen la reacción extrema que podría esperarse de los medios de ataque o espionaje más convencionales. Eso los convierte en una empresa de bajo riesgo y alta recompensa. También podrían resultar un arma devastadora si, por ejemplo, los norcoreanos atacaran el suministro de agua o la red ferroviaria de Corea del Sur. Si los ciberataques son realmente como bombas atómicas, la teoría de la disuasión debe ponerse al día.
Incidencia en la región
Para Latinoamérica la situación es algo diferente, según Mario Micucci, especialista en seguridad informática de ESET Latinoamérica, ya que la tendencia indica que la mayor cantidad de ataques se da por bandas que utilizan ‘commodity malware’ o de tipo ‘as a service’.
Ambas modalidades bastante genéricas de ataques, el ‘commodity malware’ es un malware prediseñado y genérico, mientras que ‘as a service’ se refiere a grupos que reclutan gente normalmente en la ‘deepweb’ prestando servicios de ‘malware’, explica Micucci. En tanto a los objetivos de ataque, la tendencia indica que estos son cada vez más dirigidos y tienen como motivación principal el espionaje y robo de información.
“En la actualidad la tendencia indica que la técnica mas utilizada es el ‘spearphishing’. Estamos hablando del tradicional ataque de ingeniería social, pero de modo dirigido. En este sentido los atacantes se esmeran cada vez más en distribuir correos dirigidos utilizando técnicas holográficas y mensajes que den confianza a la victima para que caiga de la manera más directa sin generar sospecha”, advirtió el experto.
Hace menos de un año el Ministerio de Defensa peruano fue víctima de un ciberataque reconocido como “el hackeo mas relevante de su historia”, recordó.
“Pero debemos considerar que hay muchos ciberataques que por diversos motivos no se dan a conocer o no trascienden la escena pública. Siguiendo esta línea y no solo para el Perú si no para Latinoamérica, según las últimas tendencias se muestra la importancia de lo necesario que es por parte de gobiernos y empresas invertir en ciberseguridad, y no solo desde la incorporación de tecnología si no también desde planes de concientización que ayuden a generar un ecosistema mas seguro para todos”, concluyó el experto de ESET Latinoamérica.
Según los principales estudios reportados por los países de la región incluyendo el Perú, la incidencia de ciberataques a empresas e instituciones en Latinoamérica en el año 2022 fue muy alta y creciente, revela la firma de transformación digital y ciberseguridad Noventiq. Se estima que en el primer semestre de 2022, América Latina y el Caribe sufrieron más de 150,000 millones de intentos de ciberataques, un 50% más que en el mismo período del año anterior.
“De esos intentos de ataques, más del 50% ocurrieron en México, siendo el mayor afectado en la región. Perú no se quedó atrás como uno de los países también muy atacados junto con Colombia y Brasil”, indica Orlando Perea, gerente general de Noventiq. “Perú fue el objetivo de alrededor del 10% de dichos intentos, un 35% más que el año anterior. El informe también alerta que el destructivo malware wiper aumentó en más del 50% en 2022″.
En 2022, una de cada 23 empresas en América Latina experimentó ataques de ransomware, un tipo de ciberataque que secuestra los datos y pide un rescate para liberarlos.
“Aunque es imposible obtener datos reales de los ciberataques, se presume que el número indicado y reportado puede ser mucho mayor en la medida que muchas empresas prefieren evitar exponer los daños y perjuicios recibidos a sus plataformas por no evidenciar la vulneración de los datos de sus clientes y afectar su reputación”, explica Perea.
Los ciberataques pueden tener un impacto devastador en las empresas. Pueden causar pérdidas financieras, daños a la reputación y la interrupción de las operaciones.
Orlando Perea de Noventiq
Los tipos de ciberataques más comunes que afectan a las empresas e instituciones son por lo general:
- Phishing: los ciberdelincuentes se hacen pasar por personas o empresas legítimas para engañar a las víctimas para que revelen información confidencial, como contraseñas o números de tarjetas de crédito.
- Malware: los ciberdelincuentes utilizan software malicioso para dañar los sistemas informáticos o robar datos.
- Ransomware: los ciberdelincuentes cifran los archivos del sistema y exigen un rescate a cambio de la clave de descifrado.
Perea recordó que uno de los sucesos más importantes relacionados a ciberataques ocurrió a la plataforma MercadoLibre en marzo del año pasado y consistió en el robo de datos de 300,000 usuarios de la plataforma, incluyendo nombres, correos electrónicos, direcciones y números de teléfono. El ataque también comprometió el código fuente de la empresa, que fue publicado en un foro por los hackers. El grupo responsable del ataque se identificó como LAPSUS$, el mismo que había atacado a otras empresas como Samsung y Nvidia días antes.
Redactor web y traductor de Diario Gestión desde abril del 2014, encargado de cubrir temas internacionales sobre comercio, fusiones y adquisiciones y relaciones entre países.
