AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

El Departamento de Justicia de EE. UU. incauta 7,7 millones de dólares en criptoactivos ligados a operaciones de IT norcoreanas

admin

Introducción

El Departamento de Justicia de Estados Unidos (DoJ) ha dado un paso relevante en la lucha contra las amenazas cibernéticas transnacionales al presentar una denuncia de decomiso civil en un tribunal federal, dirigida a la incautación de más de 7,74 millones de dólares en criptomonedas, tokens no fungibles (NFTs) y otros activos digitales. Estos fondos se asocian a un esquema global de trabajadores de IT supuestamente orquestado por actores vinculados con la República Popular Democrática de Corea (Corea del Norte). La operación pone de manifiesto los complejos métodos que emplean los grupos norcoreanos para evadir sanciones internacionales, blanquear capitales y financiar sus programas estratégicos a través del ciberespacio.

Contexto del Incidente

Desde hace varios años, el régimen norcoreano ha explotado el ecosistema de contratación remota de trabajadores de IT y el mercado de activos digitales para sortear las restricciones impuestas por Estados Unidos y sus aliados. Según el DoJ, miles de profesionales de IT norcoreanos han logrado infiltrarse en empresas occidentales utilizando identidades falsas, cuentas de GitHub manipuladas y perfiles en LinkedIn y otras plataformas de empleo. Estos individuos, a menudo con un alto nivel técnico, desarrollan software, aplicaciones móviles y soluciones cloud para compañías estadounidenses y europeas, obteniendo así acceso a sistemas internos y ganando ingresos en criptomonedas.

Las ganancias obtenidas no solo financian las operaciones cibernéticas del régimen, sino también sus programas de armamento y desarrollo nuclear, en clara violación de las normativas internacionales y el marco de sanciones vigente, como la OFAC (Oficina de Control de Activos Extranjeros) y la NIS2 europea, que refuerza la protección de infraestructuras críticas.

Detalles Técnicos: CVEs, TTP y Herramientas

El esquema norcoreano se basa en TTPs (Tácticas, Técnicas y Procedimientos) bien documentados en el marco MITRE ATT&CK, especialmente en técnicas asociadas a Initial Access (TA0001), Credential Access (TA0006), y Defense Evasion (TA0005). Los atacantes suelen explotar vulnerabilidades conocidas (por ejemplo, CVE-2022-30190/Follina o CVE-2023-23397/Outlook) para escalar privilegios o persistir en los entornos comprometidos.

Una vez obtenida la remuneración en criptodivisas como Bitcoin (BTC), Ethereum (ETH) o stablecoins, los fondos se blanquean mediante mezcladores (mixers), exchanges descentralizados y NFTs, dificultando la trazabilidad. El DoJ ha identificado el uso de wallets multicadena y técnicas de chain-hopping, además de la explotación de plataformas DeFi para el lavado de activos.

Herramientas como Metasploit y Cobalt Strike han sido detectadas en fases de post-explotación, permitiendo movimientos laterales y exfiltración de datos. Asimismo, se han observado IoCs (Indicadores de Compromiso) tales como direcciones de wallet previamente listadas en reportes conjuntos del FBI, CISA y el Tesoro de EE. UU.

Impacto y Riesgos

La afectación de este tipo de campañas es significativa: se estima que solo en 2023, los ciberataques y fraudes asociados a actores norcoreanos supusieron pérdidas globales superiores a 1.700 millones de dólares, según Chainalysis. El riesgo para empresas reside tanto en la posible exposición de información sensible como en el incumplimiento normativo (GDPR, NIS2), especialmente si se descubre la colaboración inadvertida con agentes sancionados.

La presencia de trabajadores IT norcoreanos en proyectos críticos puede facilitar la introducción de backdoors, la manipulación de código fuente y el robo de propiedad intelectual. A nivel macro, la financiación ilícita fortalece capacidades ofensivas de grupos como Lazarus, BlueNoroff y APT38.

Medidas de Mitigación y Recomendaciones

El DoJ recomienda a las organizaciones reforzar los controles de verificación de identidad en procesos de contratación remota, implantando procedimientos de KYC (Know Your Customer) y revisando exhaustivamente los antecedentes de candidatos, especialmente aquellos con actividad en regiones de alto riesgo.

Desde el punto de vista técnico, se aconseja:

– Monitorización continua de acceso y actividad en repositorios de código y sistemas cloud.
– Aplicación de principios de Zero Trust y segmentación de redes.
– Detección proactiva de IoCs asociados a actores norcoreanos y uso de YARA rules para identificar malware personalizado.
– Colaboración con organismos como CISA, ENISA y la Interpol para el intercambio de inteligencia.
– Auditoría periódica de transacciones en criptoactivos y cumplimiento de la normativa AML/CFT (Anti-Money Laundering/Countering the Financing of Terrorism).

Opinión de Expertos

Analistas de amenazas del sector, como Mandiant y Recorded Future, subrayan que el modelo de operación norcoreano es uno de los más sofisticados y resilientes del panorama global. “La combinación de ingeniería social avanzada con técnicas de evasión en blockchain hace que la atribución y el rastreo sean especialmente complejos”, señala Juan Carlos Pérez, CISO de una entidad financiera española. Además, la tendencia al uso de contratos inteligentes y NFTs para el reciclaje de capitales evidencia la constante innovación de estos grupos.

Implicaciones para Empresas y Usuarios

La participación inadvertida en la financiación del régimen norcoreano puede derivar en sanciones, litigios y daños reputacionales considerables. Las empresas deben adaptar sus políticas de seguridad y cumplimiento a la realidad de una fuerza laboral global y descentralizada, extremando los controles sobre subcontratación y participación en proyectos open source.

Para los usuarios, la concienciación sobre el origen de los servicios y aplicaciones utilizados es esencial, así como emplear wallets y plataformas que implementen medidas avanzadas de verificación y análisis de riesgos.

Conclusiones

El decomiso de más de 7,7 millones de dólares en criptoactivos vinculados a Corea del Norte marca un hito en la cooperación internacional contra el crimen cibernético y la evasión de sanciones. El caso subraya la necesidad de reforzar tanto los controles técnicos como los procedimentales en la contratación remota y la gestión de activos digitales, en un contexto de amenazas cada vez más sofisticadas y globalizadas.

(Fuente: feeds.feedburner.com)