Por Canuto Ripple comenzó a compartir con Crypto ISAC su inteligencia interna sobre actores vinculados a Corea del Norte, en una respuesta a un cambio de táctica que ya no depende tanto de fallas en contratos inteligentes, sino de campañas de infiltración, malware e ingeniería social que derivaron en robos por más de USD $500 millones en apenas un mes.
***
- Ripple entregará a Crypto ISAC datos internos sobre actores de amenazas norcoreanos para ayudar a firmas cripto a detectar campañas coordinadas.
- Los ataques contra Drift y Kelp habrían usado infiltración prolongada, malware y robo de claves, en vez de exploits tradicionales de contratos inteligentes.
- El presunto rol del Lazarus Group ya influye en disputas legales por fondos congelados, incluyendo un caso que involucra a Arbitrum DAO y Aave.
Ripple anunció que comenzará a compartir con Crypto ISAC su inteligencia interna sobre actores de amenazas vinculados a Corea del Norte, en un movimiento que busca reforzar la defensa colectiva del sector cripto ante campañas cada vez más sofisticadas. La decisión llega en un momento en que varios ataques recientes han mostrado un cambio relevante en la forma en que operan estos grupos.
Según reportó CoinDesk, el caso de Drift evidenció que el problema ya no se limita a vulnerabilidades en contratos inteligentes. En ese incidente, los atacantes no explotaron una falla de código, sino que habrían pasado meses cultivando relaciones con colaboradores de la plataforma, introduciendo malware en sus equipos y obteniendo acceso a claves críticas.
Esa diferencia es clave para entender por qué la industria está replanteando sus esquemas de seguridad. Cuando el robo finalmente se ejecutó, con una pérdida de USD $285 millones, los sistemas tradicionales de monitoreo no detectaron señales típicas de una intrusión, porque los atacantes ya se encontraban dentro del perímetro de confianza.
Crypto ISAC es un grupo de intercambio de inteligencia sobre amenazas que facilita la colaboración entre empresas del ecosistema. Su lógica es sencilla: si una firma detecta una campaña de infiltración, compartir esa información puede ayudar a otras a reconocer patrones similares antes de convertirse en la próxima víctima.
Un cambio de táctica en los ataques al sector cripto
Durante buena parte del ciclo de hackeos DeFi entre 2022 y 2024, el foco estuvo puesto en exploits técnicos. Los atacantes solían buscar errores en contratos inteligentes para vaciar protocolos en cuestión de minutos. Esa modalidad dominó gran parte de la conversación sobre seguridad en blockchain y llevó a la industria a endurecer auditorías y controles sobre el código.
Sin embargo, el panorama parece estar cambiando. A medida que los protocolos refuerzan sus defensas técnicas, algunos actores han comenzado a dirigir sus esfuerzos contra el factor humano. En vez de buscar una falla en un contrato, intentan infiltrarse en las organizaciones, ganarse la confianza de los equipos y comprometer credenciales o claves privadas desde adentro.
De acuerdo con la información, este nuevo patrón incluye operativos encubiertos que solicitan empleos en compañías cripto, superan verificaciones de antecedentes, participan en videollamadas y construyen relaciones durante meses. Una vez obtenida la confianza, despliegan malware o acceden a sistemas internos que las herramientas de seguridad tradicionales no estan diseñadas para vigilar.
Ripple sostiene que su contribución a Crypto ISAC ayudará a volver visibles esos patrones entre distintas empresas. La compañía compartirá datos de perfil como cuentas de LinkedIn, correos electrónicos, ubicaciones y números de contacto, es decir, señales que podrían permitir a un equipo de seguridad identificar si un supuesto candidato o colaborador ya estuvo vinculado a otros intentos de infiltración.
La empresa resumió su postura al señalar que la seguridad más fuerte en cripto es la compartida. La idea detrás de ese mensaje es que, si un actor de amenazas falla en una verificación de antecedentes en una firma, puede intentar ingresar a otras pocas horas o días después. Sin intercambio de inteligencia, cada empresa debe empezar desde cero.
Drift y Kelp: más de USD $500 millones en un mes
El caso de Drift fue uno de los eventos que motivó este nuevo paso. El ataque de abril dejó pérdidas por USD $285.000.000 y, según la versión presentada por Ripple y Crypto ISAC, no siguió el patrón clásico de un exploit contra contratos inteligentes. El énfasis estuvo en la manipulación social, la persistencia operativa y el robo de claves.
A ese episodio se suma la brecha en el puente Kelp, también ocurrida en abril. Ese incidente drenó ETH 292.000.000 y fue atribuido públicamente a operativos del Lazarus Group. Con ambos casos combinados, las pérdidas superaron los USD $500.000.000 en un solo mes, vinculadas presuntamente a un mismo actor estatal.
La magnitud de esas cifras explica por qué el problema ya desborda el área técnica. No se trata solo de reforzar firewalls, auditar contratos o revisar billeteras multisig. También implica revisar procesos de contratación, controles internos, dispositivos de empleados y señales de manipulación social que antes podían pasar como incidentes aislados.
Este desplazamiento desde el código hacia las personas también complica la detección temprana. En un exploit clásico, una transacción anómala o una vulnerabilidad observable puede activar alertas inmediatas. En un caso de infiltración humana, la preparación puede durar meses y el evento crítico solo aparece cuando el atacante ya obtuvo acceso legítimo o semilegítimo a sistemas sensibles.
El nombre de Lazarus Group entra con más fuerza al terreno legal
El presunto papel del Lazarus Group no solo está influyendo en las prácticas de seguridad del sector. También empieza a impactar disputas legales relacionadas con fondos congelados y con la posible clasificación de ciertos activos como propiedad vinculada al Estado norcoreano bajo legislación estadounidense.
El lunes, un abogado que representa a víctimas del terrorismo norcoreano presentó órdenes de restricción contra Arbitrum DAO. Su argumento fue que ETH 30.765 congelados tras el exploit del puente Kelp corresponderían a propiedad norcoreana conforme a la ley de ejecución de Estados Unidos.
La discusión no quedó allí. La firma de préstamos Aave impugnó esa presentación en respaldo de Arbitrum, sosteniendo que un ladrón no adquiere la propiedad legal de bienes robados simplemente por tomarlos. Ese punto anticipa un debate más amplio sobre cómo tratar judicialmente criptoactivos sustraídos cuando existe una atribución pública a actores estatales o paraestatales.
Más allá del desenlace puntual de ese caso, el giro es significativo. Durante años, buena parte del debate tras un hackeo cripto se concentró en trazabilidad, recuperación de fondos y responsabilidad operativa. Ahora también entran con fuerza elementos de ejecución legal, sanciones y reclamaciones sobre titularidad de activos bloqueados en protocolos y ecosistemas descentralizados.
La colaboración sectorial gana relevancia, pero persisten dudas
La iniciativa de Ripple abre una línea de cooperación que podría ser valiosa para firmas expuestas a campañas de contratación fraudulenta o de infiltración encubierta. Compartir perfiles, correos, patrones de comportamiento y otros indicadores puede reducir el tiempo de respuesta y evitar que los mismos operadores intenten ingresar repetidamente a varias empresas del ecosistema.
Al mismo tiempo, sigue abierta la pregunta central: si el intercambio de inteligencia a escala sectorial será suficiente para frenar este tipo de campañas. La naturaleza persistente de estos operativos, sumada a su capacidad para adaptarse y cambiar de identidad, hace difícil garantizar que una base compartida de indicadores resuelva por sí sola el problema.
El desafío para la industria es doble. Por un lado, debe mantener la presión sobre la seguridad técnica en protocolos, puentes y billeteras. Por otro, necesita construir defensas más maduras frente al riesgo humano, desde controles de acceso y segmentación de privilegios hasta mejores filtros en reclutamiento y mayor vigilancia sobre dispositivos corporativos.
En ese contexto, la decisión de Ripple refleja una idea que gana terreno en cripto: la seguridad ya no puede pensarse como una competencia aislada entre compañías, sino como una responsabilidad compartida. Aun así, la propia noticia deja claro que los mismos operativos que fueron detectados en una firma podrían ya estar participando en nuevas entrevistas en otra parte del sector.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
AltCoins
Bolsa de Moscú lanzará la próxima semana índices cripto de SOL, XRP, TRX y BNB
Criptomonedas
Bullish comprará Equiniti en un acuerdo valorado en USD $4.200 millones
AltCoins
XRP Ledger registra desplome de hasta 75% en volumen de pagos y enciende alertas
Análisis de mercado