¡Cuidado! Esa oferta laboral podría vaciar tu wallet
- ¿Puede un saludo en Zoom costarle millones a la industria cripto?
- Más de $1.500 millones en cripto han sido robados por Corea del Norte desde 2017.
En 2024, el 61 % de todo el cripto robado (USD 1.340 millones) fue atribuido a hackers norcoreanos, con ataques dirigidos a desarrolladores clave de protocolos Web3.
Una nueva ola de infiltraciones está utilizando ofertas laborales falsas, entrevistas con deepfakes y archivos con malware para comprometer infraestructuras críticas.
Contratar talento cripto ahora es un riesgo de seguridad nacional
Una nueva modalidad de ataque coordinado por Corea del Norte está comprometiendo la seguridad de los protocolos Web3 desde el origen: el proceso de contratación. Lejos de ser ataques oportunistas, se trata de operaciones estatales cuidadosamente diseñadas que combinan ingeniería social, deepfakes y malware multiplataforma.
El grupo BlueNoroff, parte del conocido Lazarus Group, ha dirigido sus ataques a desarrolladores de alto perfil en fundaciones cripto, suplantando reclutadores en LinkedIn y organizando entrevistas falsas por Zoom. En un caso reciente, un archivo llamado zoom_sdk_support.scpt ejecutado como parte de una “evaluación técnica” desplegó un malware llamado BeaverTail, capaz de robar frases semilla, credenciales de GitHub y archivos wallet.dat.
Suscríbete y recibe las mejores actualizaciones e informes en tu bandeja de entrada
Estos ataques no son aislados. Solo en 2024, Corea del Norte fue responsable de 47 hackeos relacionados con criptomonedas, generando pérdidas por USD 1.340 millones. En el caso de Bybit, el FBI atribuyó un robo récord de USD 1.500 millones a Lazarus, destacando cómo los fondos fueron lavados rápidamente a través de THORChain y mixers como Tornado Cash.
El blanco predilecto son desarrolladores open-source. Según datos de Electric Capital, hay poco más de 39.000 nuevos desarrolladores activos en cripto, y la cifra total disminuyó 7 % interanual. Esto convierte a cada ingeniero en una infraestructura crítica, especialmente en protocolos donde un único commit malicioso puede tener consecuencias catastróficas.
El malware detrás de la entrevista
Las herramientas utilizadas por los atacantes son altamente sofisticadas. Variantes como BeaverTail, InvisibleFerret y OtterCookie están diseñadas con compatibilidad cruzada mediante el framework Qt, y son capaces de evadir controles básicos de seguridad empresarial. En muchos casos, los desarrolladores fueron engañados con enlaces de Google Meet o Calendly que redirigían a plataformas falsas, con ejecutivos generados por inteligencia artificial que resultaban convincentes en llamadas en vivo.
La capacidad de los hackers para disfrazar sus ataques como procesos laborales legítimos representa una vulnerabilidad grave para todo el ecosistema Web3. A diferencia de exploits de contratos inteligentes, estos ataques no explotan una falla técnica del código, sino una brecha en la confianza humana.
Un desafío para los próximos ciclos del mercado
La descentralización del trabajo y la naturaleza abierta del desarrollo blockchain han permitido construir una nueva infraestructura financiera global. Pero también han facilitado que actores maliciosos incluso patrocinados por estados penetren los eslabones más frágiles de la cadena: las personas.
Los recientes decomisos del FBI y las sanciones del Tesoro de EE.UU. han dificultado el flujo de fondos ilícitos, pero no han detenido la creatividad de los atacantes. Con cada dominio cerrado, surge una nueva empresa fantasma. Con cada alerta, se perfecciona un nuevo deepfake.
El caso de Corea del Norte obliga al ecosistema a replantearse una verdad incómoda: la seguridad en Web3 no depende solo del código. En un entorno donde los contratos son inmutables, pero los desarrolladores son humanos, proteger la integridad del proceso de contratación y la identidad de quienes mantienen la infraestructura será clave para evitar que el próximo gran ataque comience… con una simple entrevista.
