Por Canuto Una nueva alerta sacude al ecosistema DeFi: investigadores sostienen que operativos vinculados con Corea del Norte han trabajado durante años dentro de proyectos cripto, aprovechando procesos de contratación, relaciones profesionales y acceso interno para abrir la puerta a algunos de los ataques más costosos del sector.
***
- Taylor Monahan advirtió que desarrolladores vinculados con la RPDC habrían participado en más de 40 proyectos DeFi durante siete años.
- El exploit contra Drift Protocol, valorado en cerca de USD $280.000.000, reactivó el escrutinio sobre infiltraciones, identidades falsas e ingeniería social.
- Analistas estiman que actores ligados a Corea del Norte han robado cerca de USD $7.000.000.000 en criptoactivos desde 2017.
La industria de las finanzas descentralizadas vuelve a enfrentar una de sus advertencias más incómodas: la amenaza no siempre proviene de un fallo en el código, sino de las personas que logran entrar a los equipos. Nuevas declaraciones de investigadores de seguridad apuntan a que operativos vinculados con Corea del Norte habrían pasado años integrándose en empresas cripto y protocolos DeFi, muchas veces bajo identidades cuidadosamente construidas.
La alerta ganó fuerza tras el más reciente exploit contra Drift Protocol, un incidente que volvió a poner sobre la mesa el riesgo interno en una industria acostumbrada a concentrarse en auditorías, bugs y vulnerabilidades técnicas. En este caso, el problema habría comenzado mucho antes de cualquier ataque visible, a través de relaciones profesionales, procesos de contratación y contactos aparentemente legítimos.
Para los lectores menos familiarizados con el tema, DeFi agrupa aplicaciones financieras construidas sobre redes blockchain que permiten prestar, intercambiar o mover activos sin intermediarios tradicionales. Esa apertura ha sido una de sus mayores fortalezas, pero también se ha convertido en un terreno féril para actores que explotan la confianza, la informalidad en la contratación remota y la velocidad con la que se construyen muchos proyectos.
La advertencia principal vino de Taylor Monahan, investigadora de seguridad y desarrolladora de MetaMask, quien aseguró que este tipo de tácticas se remonta a los primeros días del auge DeFi. Según explicó, individuos vinculados con la República Popular Democrática de Corea habrían contribuido a varios protocolos ampliamente usados desde los tiempos del llamado “verano DeFi”.
Años de presencia silenciosa dentro de DeFi
Monahan afirmó que muchos trabajadores de TI de la RPDC “construyeron los protocolos que conoces y te encantan” y sostuvo que más de 40 plataformas, incluidas varias bien conocidas, han dependido en algún momento de desarrolladores de ese perfil. También hizo una observación inquietante: cuando estos candidatos decían tener siete años de experiencia en desarrollo blockchain, esa experiencia no necesariamente era falsa.
Ese punto cambia el enfoque del problema. No se trata solamente de aspirantes improvisados que intentan entrar con identidades débiles, sino de personas con habilidades técnicas reales, experiencia acumulada y capacidad para generar confianza durante meses. En otras palabras, la infiltración puede apoyarse tanto en engaños documentales como en competencia profesional genuina.
Algunas publicaciones recientes incluso han mencionado a proyectos como SushiSwap, THORChain, Yearn Finance y Fantom entre aquellos que supuestamente tuvieron colaboradores vinculados más tarde a redes de la RPDC, aunque la atribución varía de un caso a otro. Esa matización importa, porque en ciberseguridad la atribución rara vez es absoluta y suele construirse con patrones, evidencia técnica y contexto operativo.
Lo preocupante es que la lógica de estas operaciones encaja de forma natural con el funcionamiento del sector. Equipos distribuidos, colaboradores freelance, contrataciones internacionales y repositorios abiertos pueden ser ventajas enormes para la innovación, pero también reducen barreras de entrada para quienes buscan acceso estratégico a sistemas, credenciales o procesos de gobernanza.
Lazarus, ingeniería social y miles de millones en criptoactivos
Desde hace años, investigadores vinculan las operaciones cibernéticas de Corea del Norte con el Grupo Lazarus, un colectivo respaldado por el Estado. Analistas de R3ACH estiman que este grupo ha robado cerca de USD $7.000.000.000 en activos digitales desde 2017, una cifra que resume la escala del desafío para el ecosistema cripto global.
El grupo ha sido asociado con algunos de los incidentes más costosos de la industria. Entre ellos figuran el exploit de Ronin Bridge por USD $625.000.000 en 2022, el hackeo de WazirX por USD $235.000.000 en 2024 y el incidente de Bybit por USD $1.400.000.000 en 2025. A esa lista se sumó ahora el caso de Drift, estimado en alrededor de USD $280.000.000 o USD $285.000.000 según los reportes citados en la cobertura original.
De acuerdo con evaluaciones recogidas en la cobertura de Yahoo Finance, Chainalysis reportó que hackers norcoreanos robaron un récord de USD $2.020.000.000 en criptomonedas solo durante 2025, un alza de 51% frente al año anterior, llevando su total histórico a USD $6.750.000.000. Otras estimaciones elevan ya la cifra a unos USD $7.000.000.000, reflejando el ritmo al que estos actores siguen operando.
Autoridades y analistas han sostenido además que esos fondos no representan únicamente ganancias criminales aisladas. Según evaluaciones del Tesoro de Estados Unidos y de la ONU citadas en la información de referencia, los activos robados se lavan a través de mixers, plataformas DeFi y estructuras de billeteras en capas antes de ser utilizados para respaldar programas nucleares y de misiles del régimen norcoreano.
El caso Drift y el papel de los intermediarios
El exploit de la semana pasada contra Drift Protocol desencadenó un renovado escrutinio porque el propio proyecto indicó tener una “confianza media-alta” en que un grupo afiliado al Estado norcoreano estuvo detrás del ataque. La hipótesis se apoya en un patrón más amplio de infiltración, manipulación de confianza e ingeniería social observado en otros incidentes.
Uno de los detalles más llamativos es que las reuniones presenciales que precedieron la brecha no habrían sido con ciudadanos norcoreanos directos. Según el proyecto, se trató de “intermediarios de terceros” que operaban con identidades completamente construidas, incluyendo historial laboral, credenciales públicas y redes profesionales activas.
Ese tipo de perfil resulta especialmente difícil de detectar porque no se limita a un currículum inventado. Incluye presencia digital consistente, conexiones en redes laborales, antecedentes aparentemente verificables y capacidad para sostener interacciones cara a cara sin levantar sospechas inmediatas. Así, la generación de confianza ocurre mucho antes de que aparezca cualquier señal de riesgo técnico.
En la reconstrucción del caso, los atacantes habrían invertido meses construyendo relaciones antes de introducir código comprometido. El exploit habría apuntado a herramientas de desarrollo y terminado con el robo de credenciales sensibles y claves de acceso, reforzando la idea de que la superficie de ataque de DeFi no está solo en los contratos inteligentes, sino también en su infraestructura humana y operativa.
Una amenaza persistente, no siempre sofisticada
El investigador independiente ZachXBT advirtió en X que no todas las amenazas vinculadas con Corea del Norte operan con el mismo nivel de sofisticación. A su juicio, uno de los errores más frecuentes de la industria es agrupar todos los casos en una sola categoría, cuando la complejidad de las amenazas puede variar de forma importante.
Según explicó, muchos intentos de infiltración son relativamente básicos y dependen más de la persistencia que de una ejecución técnica extraordinaria. El contacto a través de ofertas de trabajo, LinkedIn, correos electrónicos, llamadas de Zoom y entrevistas sigue siendo una vía común. Su conclusión fue directa: “Básico y de ninguna manera sofisticado […] lo único es que son implacables”.
Esa observación desplaza parte de la responsabilidad hacia los propios equipos. ZachXBT sostuvo que las empresas que sigan cayendo en estas tácticas en 2026 corren el riesgo de ser vistas como negligentes. En otras palabras, la industria ya no puede tratar estos métodos como una novedad, dado que existen antecedentes suficientes para reforzar procesos internos.
El problema, sin embargo, es que la cultura cripto tiende a premiar velocidad, apertura y ejecución rápida. En ese entorno, imponer verificaciones más duras puede percibirse como fricción. Pero los hechos recientes sugieren que esa fricción puede ser mucho menos costosa que otro exploit de cientos de millones de dólares.
La controvertida “prueba de Kim Jong Un”
Tras el incidente de Drift, algunos equipos comenzaron a adoptar una táctica de selección informal y polémica conocida como la “prueba de Kim Jong Un”. Durante entrevistas, ciertos reclutadores piden a los candidatos que critiquen al líder norcoreano. Según quienes la utilizan, presuntos operativos suelen dudar, desviar la respuesta o abandonar la conversación.
Un video ampliamente compartido en abril de 2026 mostró a un candidato desconectándose abruptamente durante una indicación de ese tipo, lo que avivó el debate dentro de los círculos de contratación en criptomonedas. Algunos desarrolladores sostienen que este recurso solo se usa como complemento de controles más tradicionales, como revisión de sanciones y verificación de antecedentes.
Aun así, la práctica revela hasta qué punto el sector ha entrado en modo defensivo. Más allá de su utilidad real o de sus limitaciones éticas y metodológicas, la sola aparición de esta prueba muestra una industria que ya no asume buena fe por defecto cuando evalúa colaboradores remotos para funciones sensibles.
En el fondo, el caso pone en evidencia una tensión estructural de DeFi. La promesa de sistemas abiertos y sin permisos sigue siendo atractiva, pero esa misma filosofía puede convertirse en una ventaja para actores estatales que entienden que no necesitan zero-days si el eslabón más débil sigue siendo la confianza humana.
Según la información publicada por crypto.news y Yahoo Finance, la lección central para el sector es clara: los protocolos ya no pueden limitar su defensa a auditorías y monitoreo on-chain. También necesitan controles de contratación, verificación de identidad, supervisión de accesos y una cultura de seguridad capaz de detectar patrones persistentes antes de que se conviertan en el próximo gran robo de DeFi.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
X activa traducción automática global y edición de fotos con Grok
Noticias
Hackeo a Fibex Telecom en Venezuela enciende alertas por acceso a sistemas GPON y OLT
Bancos y Pagos
México: Suprema Corte avala a la UIF congelar cuentas bancarias sin orden judicial
Criptomonedas