El Grupo Lazarus de Corea del Norte ejecuta un robo de criptomonedas de 1.500 millones de dólares de Bybit, escalando las amenazas a la seguridad de los activos digitales

El evento en detalle

El 21 de febrero de 2025, la organización cibercriminal Grupo Lazarus, vinculada a Corea del Norte, ejecutó un sofisticado ataque, desviando 1.500 millones de dólares de una billetera fría perteneciente al intercambio de criptomonedas Bybit. Los atacantes explotaron con éxito las vulnerabilidades dentro de la infraestructura de billetera multifirma de Bybit, una medida de seguridad diseñada para requerir múltiples aprobaciones para las transacciones. Al eludir estos protocolos, el grupo obtuvo acceso no autorizado a las claves privadas, lo que permitió la transferencia masiva de fondos.

Este incidente es el último de una serie de robos de alto valor atribuidos al grupo, que emplea una variedad de tácticas avanzadas. Su método principal de entrada es el spear phishing, una forma dirigida de ingeniería social destinada a individuos específicos dentro de una organización. Informes de Google y Microsoft han detallado campañas en las que los agentes de Lazarus atacaron a investigadores de ciberseguridad y otros profesionales de alto valor para robar credenciales e infiltrar sistemas. Esta estrategia destaca un enfoque persistente en las vulnerabilidades humanas como puerta de entrada a la explotación técnica.

Implicaciones para el mercado

El robo de 1.500 millones de dólares de Bybit ha provocado importantes temblores en los mercados de activos digitales, lo que ha generado serias dudas sobre las prácticas de seguridad de los intercambios centralizados. El evento es particularmente alarmante porque implicó el compromiso de una billetera fría, que normalmente se mantiene fuera de línea y se considera la forma de almacenamiento más segura para los activos digitales. Esto desafía la suposición generalizada de la industria de que el almacenamiento en frío es impermeable a los ataques sofisticados y dirigidos y obliga a una reevaluación de los estándares de seguridad de nivel institucional.

El ataque ha amplificado las preocupaciones sobre los riesgos sistémicos que plantea el ciberdelito patrocinado por el estado para el ecosistema financiero más amplio. La reacción inmediata del mercado ha sido bajista, con un mayor escrutinio sobre la seguridad operativa de los intercambios y el potencial de consecuencias regulatorias.

Comentario de expertos

Los analistas de ciberseguridad y blockchain han relacionado definitivamente el ataque a Bybit, entre otros, con el Grupo Lazarus. Las autoridades estadounidenses y británicas, incluido el Departamento de Justicia, han atribuido previamente eventos cibernéticos importantes como el ataque de ransomware WannaCry a la entidad respaldada por Corea del Norte. Las actividades del grupo se entienden ampliamente como una operación clave generadora de ingresos para el régimen norcoreano.

En respuesta a la creciente amenaza, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. ha tomado medidas directas. La OFAC sancionó a dos ciudadanos chinos, Tian Yinyin y Li Jiadong, por su papel en el lavado de criptomonedas robadas en nombre del Grupo Lazarus. Esta acción regulatoria señala un enfoque creciente por parte de las autoridades internacionales en la interrupción de las redes financieras que permiten estas operaciones cibercriminales.

Contexto más amplio

Las operaciones del Grupo Lazarus van más allá del simple robo financiero y se entienden mejor como una estrategia multifacética que abarca espionaje, sabotaje y ciberdelito. Activo desde al menos 2009, la organización ha sido vinculada a una serie de incidentes de alto perfil, incluido el hackeo de Sony Pictures, el robo del Banco de Bangladesh y grandes robos de criptomonedas de plataformas como Bithumb, Poly Network y Atomic Wallet.

Este patrón de actividad demuestra un adversario altamente capaz y adaptable que aprende de cada operación. Se sabe que el grupo comparte herramientas e infraestructuras entre sus subgrupos, lo que le permite evolucionar rápidamente sus técnicas. Además, Lazarus emplea sofisticadas técnicas de lavado de dinero, utilizando servicios de mezcla de criptomonedas como Sinbad.io para ocultar el rastro de los fondos robados. Esto presenta un desafío significativo y continuo para las fuerzas del orden mundiales y plantea una amenaza persistente para la integridad y la seguridad del panorama financiero y de activos digitales internacional.