Hackers norcoreanos aceleran campañas sofisticadas con deepfake de IA contra la industria cripto

Los hackers vinculados al régimen de Corea del Norte están desplegando nuevas tácticas de ataque más sofisticadas contra profesionales de criptomonedas mediante videos deepfake generados con inteligencia artificial. Según reportes recientes, estos hackers logran engañar a sus objetivos suplantando a personas de confianza a través de llamadas de video manipuladas digitalmente, forzando la instalación de malware en sus dispositivos. La operación representa una escalada significativa en la guerra cibernética contra la comunidad de criptomonedas, combinando técnicas de ingeniería social con tecnologías de vanguardia.

El engaño visual: cómo operan estas campañas sofisticadas

Martin Kuchař, uno de los organizadores principales de BTC Prague, fue víctima de este sofisticado método de ataque. Los ciberdelincuentes establecieron contacto inicial a través de cuentas de Telegram comprometidas, utilizando videollamadas deepfake para impersonar a contactos conocidos. El truco empleado aprovecha un pretexto común: convencer a la víctima de que necesita instalar un “complemento de audio” para resolver problemas técnicos en plataformas como Zoom. Una vez instalado, el software supuestamente inofensivo abre las puertas a un control total del dispositivo comprometido.

Esta metodología de suplantación de identidad a través de falsificaciones de video ha evolucionado gracias a los avances en tecnología de clonación de voz e imágenes sintéticas. Los atacantes investigan cuidadosamente a sus objetivos en redes sociales y plataformas profesionales antes de ejecutar el ataque, seleccionando víctimas de alto valor en la industria cripto.

Capacidades destructivas del código malicioso desplegado

La firma de investigación en seguridad Huntress ha analizado en profundidad los scripts maliciosos utilizados en estas operaciones. Los códigos ejecutan infecciones multietapa específicamente diseñadas para sistemas macOS, desployando múltiples funcionalidades peligrosas de forma progresiva.

Una vez dentro del dispositivo, el malware establece puertas traseras para mantener acceso persistente incluso después de que el usuario descubra la infección. El código también registra cada pulsación de tecla, capturando contraseñas, frases de recuperación y datos sensibles. Además, el malware accede al contenido del portapapeles del dispositivo, extrayendo direcciones de billetera y claves privadas que hayan sido copiadas recientemente. El objetivo final es comprometer los activos de billetera encriptados almacenados en la máquina.

Lazarus Group: la organización detrás de la campaña

Los investigadores de seguridad han atribuido con confianza estas operaciones al Lazarus Group, también conocido como BlueNoroff, una organización de hackers patrocinada directamente por el estado norcoreano. Este grupo ha sido responsable de algunos de los ciberataques más notables contra la industria de criptomonedas en los últimos años, incluyendo robos masivos de exchanges y compromisos de protocolos DeFi.

El equipo de seguridad de SlowMist, una empresa especializada en defensa blockchain, ha confirmado que estas campañas exhiben patrones consistentes con operaciones anteriores del Lazarus Group. Los hackers demuestran un profundo conocimiento de la infraestructura cripto, apuntando específicamente a profesionales técnicos, desarrolladores y operadores de billetera que tienen acceso a activos significativos. La coordinación y los recursos detrás de estas operaciones confirman el patrocinio estatal.

La amenaza creciente del deepfake en la verificación de identidad

Los análisis de seguridad revelan una tendencia preocupante: las tecnologías de deepfake y clonación de voz han alcanzado un nivel de sofisticación donde las imágenes y videos ya no pueden considerarse pruebas confiables de autenticidad. En el pasado, una videollamada era considerada una forma relativamente segura de verificar la identidad de un contacto. Hoy, estos hackers demuestran que una falsificación digital puede ser prácticamente indistinguible del original.

Este cambio fundamental en el panorama de amenazas obliga a la industria de criptomonedas a repensar completamente sus protocolos de seguridad. La confianza en lo visual ya no es suficiente. Los profesionales cripto deben implementar verificaciones de identidad multicapa que no dependan únicamente de confirmación visual o auditiva.

Medidas defensivas críticas para profesionales cripto

Ante la sofisticación de estos hackers, la comunidad debe adoptar prácticas de seguridad más robustas. La autenticación multifactor es fundamental: cualquier transferencia de activos debe requerir múltiples verificaciones independientes, idealmente a través de canales completamente separados.

Se recomienda implementar claves de seguridad de hardware (como YubiKeys) para acceder a billeteras y servicios críticos, eliminando la vulnerabilidad de contraseñas capturadas por keyloggers. Los usuarios deben desconfiar de cualquier solicitud inesperada de instalación de software, incluso si proviene de contactos aparentemente confiables. Verificar estas solicitudes a través de canales de comunicación alternativos es esencial.

Además, los profesionales cripto deben considerar utilizar dispositivos dedicados para operaciones sensibles de billetera, manteniendo estas máquinas aisladas de aplicaciones de videoconferencia o redes sociales. La industria debe permanecer vigilante frente a la evolución de tácticas de estos hackers, compartiendo información sobre indicadores de compromiso y manteniendo sistemas actualizados con los últimos parches de seguridad.