Deepfake como arma: cómo los hackers norcoreanos utilizan videos de IA contra profesionales de las criptomonedas

La amenaza cibernética adopta nuevas formas. El grupo de hackers norcoreano Lazarus Group, conocido también como BlueNoroff, ha añadido a su arsenal tecnología avanzada de deepfake. Este es un paso significativo en la evolución de los ciberataques a la industria de las criptomonedas, donde las apuestas financieras y de activos digitales son especialmente altas. Según la empresa de investigación Odaily, los ciberdelincuentes están utilizando con éxito materiales de video sintetizados para acceder a los sistemas de profesionales de las criptomonedas.

Cómo funciona un ataque con video deepfake

El mecanismo del ataque es ingenioso y astuto. Los hackers, actuando en nombre de Lazarus Group, inician llamadas de video a través de cuentas comprometidas en Telegram, usando materiales falsificados de contactos conocidos de las víctimas. Martin Kucharz, cofundador de la conferencia BTC Prague, documentó un incidente similar y describió la táctica de los atacantes: manipulan la confianza y persuaden a los usuarios objetivo para que instalen un software supuestamente inofensivo para solucionar problemas de audio en Zoom.

Aquí radica el principal peligro: software malicioso disfrazado de plugin. Tras la instalación, proporciona a los atacantes control total sobre el dispositivo. Investigadores de la empresa de seguridad Huntress detectaron que estos métodos recuerdan operaciones anteriores dirigidas a desarrolladores en el sector de las criptomonedas.

Lazarus Group amplía su arsenal de métodos de ataque

Los especialistas de Huntress y los analistas de SlowMist clasificaron estas operaciones como parte de un grupo de hackers respaldado por el estado de Corea del Norte. Los atacantes muestran signos claros de un enfoque sistemático: cada operación está cuidadosamente preparada y dirigida a billeteras específicas y a profesionales de las criptomonedas.

El malware implementado puede realizar infecciones en múltiples capas en dispositivos macOS. Su funcionalidad incluye la inserción de backdoors, interceptación de pulsaciones de teclas, robo de contenido del portapapeles y acceso a activos cifrados en billeteras de criptomonedas. Es un ataque integral diseñado para causar el máximo daño.

Por qué la tecnología deepfake se convierte en una amenaza crítica

Con la proliferación de tecnologías de creación de deepfakes y clonación de voz, la verificación visual pierde fiabilidad. Los métodos tradicionales de comprobación de identidad —como videos y grabaciones de audio— dejan de ser métodos seguros de autenticación. Esto crea un nuevo vector de vulnerabilidades, especialmente para el sector de las criptomonedas, donde las transacciones pueden involucrar sumas significativas y la recuperación de activos perdidos es mínima.

Los analistas advierten que, a medida que las tecnologías de deepfake se perfeccionan y se expanden las herramientas relacionadas, la cantidad de estos ataques solo aumentará. Los ciberdelincuentes disponen de métodos cada vez más efectivos para evadir los mecanismos tradicionales de confianza.

Cómo protegerse de los ataques deepfake

La industria de las criptomonedas debe no solo reaccionar ante las amenazas, sino fortalecer activamente sus defensas. La medida principal es la implementación y uso de autenticación multifactor en todos los niveles. Nunca se deben abrir enlaces ni descargar software basado en llamadas de video, incluso si el interlocutor parece conocido visualmente.

Además, los profesionales de las criptomonedas deben confiar en canales adicionales de verificación de identidad: llamadas de voz en otras plataformas, mensajes directos a través de canales seguros, palabras clave previamente acordadas. Las empresas deben capacitar a sus empleados para reconocer signos de ingeniería social y explotación de la confianza mediante videos deepfake. La conciencia y la precaución son barreras clave en la era de las tecnologías avanzadas de síntesis de video.