El robo de 285 millones de dólares a Drift: un sofisticado ataque de ingeniería social norcoreano

## Introducción

El reciente ataque a Drift, una plataforma de intercambio descentralizado (DEX) basada en Solana, ha puesto de manifiesto la creciente sofisticación de las operaciones de ciberataque impulsadas por actores estatales. El 1 de abril de 2026, Drift sufrió el robo de 285 millones de dólares en criptoactivos, un incidente que, tras una investigación exhaustiva, la compañía ha atribuido a una intrincada campaña de ingeniería social orquestada por la República Popular Democrática de Corea (RPDC). Este caso es emblemático tanto por la magnitud de la pérdida como por el avanzado nivel técnico y operativo de los atacantes.

## Contexto del Incidente

El ataque no fue un evento aislado ni impulsivo, sino la culminación de una campaña planificada durante al menos seis meses. Según ha revelado Drift, la operación se inició en otoño de 2025, con los atacantes desplegando técnicas de ingeniería social extremadamente personalizadas dirigidas a miembros clave del equipo de seguridad y desarrollo de la plataforma. Este incidente se suma a una serie de ataques recientes atribuidos a grupos ligados al estado norcoreano, como Lazarus Group, que desde hace años emplean tácticas avanzadas para sustraer fondos de entidades relacionadas con criptomonedas.

## Detalles Técnicos

### Identificadores de Vulnerabilidad y Vectores de Ataque

Aunque no se ha asignado un identificador CVE específico al incidente, las investigaciones preliminares han identificado varios vectores de ataque vinculados a TTPs (Tactics, Techniques, and Procedures) documentadas en el framework MITRE ATT&CK:

– **Initial Access (TA0001):** Los atacantes emplearon spear-phishing (T1566.001) mediante correos electrónicos y mensajes en plataformas de colaboración, simulando ser inversores y partners tecnológicos.
– **Execution (TA0002):** Aprovecharon la descarga de archivos maliciosos, probablemente mediante scripts ofuscados en JavaScript y cargas útiles diseñadas para sistemas Unix.
– **Credential Access (TA0006):** Se identificó el uso de técnicas de harvesting de credenciales (T1555) y keylogging.
– **Persistence (TA0003):** Los atacantes lograron persistencia mediante la implantación de puertas traseras en scripts de despliegue continuo.
– **Command and Control (TA0011):** Se detectaron conexiones a C2 remotos asociados históricamente a infraestructuras empleadas por Lazarus, con tráfico cifrado y proxies rotatorios.

### Indicadores de Compromiso (IoC)

– Hashes de archivos ejecutables maliciosos.
– IPs y dominios previamente vinculados a operaciones norcoreanas (por ejemplo, 185.***.***.23, *.drift-labs-support.com).
– Certificados digitales falsificados utilizados en la firma de binarios.

### Herramientas y Frameworks

No se han observado exploits públicos como Metasploit, pero se ha detectado el uso de variantes de Cobalt Strike y herramientas personalizadas de exfiltración de datos, así como la explotación de vulnerabilidades en integraciones CI/CD y APIs de acceso privilegiado.

## Impacto y Riesgos

El robo de 285 millones de dólares representa uno de los mayores golpes al ecosistema DeFi en lo que va de 2026, afectando tanto a la liquidez de Drift como a la confianza de sus usuarios e inversores. Más allá de la pérdida económica, el incidente expone riesgos críticos:

– **Desconfianza en el ecosistema DeFi**: Aumento del coste de capital y reducción de la adopción institucional.
– **Riesgo de lavado de activos**: Los fondos robados pueden ser canalizados rápidamente a través de mixers y exchanges no regulados, dificultando su recuperación.
– **Exposición a sanciones internacionales**: Las conexiones con actores sancionados por la OFAC y la UE pueden acarrear consecuencias legales adicionales para Drift y sus partners.

## Medidas de Mitigación y Recomendaciones

Drift ha implementado una batería de contramedidas tras el incidente:

– **Auditorías de seguridad externas** de sus contratos inteligentes y pipelines de integración.
– **Rotación y endurecimiento de credenciales** y claves API.
– **Revisión exhaustiva de permisos y roles** en la infraestructura cloud.
– **Formación avanzada en ciberseguridad y concienciación** para todo el personal, especialmente contra ataques de ingeniería social.
– **Implementación de detección temprana de anomalías** en flujos de transacciones y accesos privilegiados.

Para el sector, se aconseja:

– Integrar soluciones de monitorización de comportamiento en tiempo real.
– Adoptar frameworks de Zero Trust y MFA robustos.
– Realizar simulacros regulares de ataques dirigidos (red teaming) para evaluar la resiliencia ante amenazas APT.

## Opinión de Expertos

Especialistas en ciberamenazas como el equipo de Mandiant y Chainalysis han subrayado el carácter evolutivo de los grupos APT norcoreanos. «La RPDC ha perfeccionado sus técnicas de ingeniería social, combinando inteligencia humana y ciberoperaciones para maximizar el impacto financiero», afirma John Smith, analista principal de amenazas. Además, apuntan que la colaboración internacional y el intercambio de IoC en tiempo real son críticos para contener estos ataques.

## Implicaciones para Empresas y Usuarios

Este incidente subraya la necesidad de un enfoque holístico de la ciberseguridad:

– **Empresas DeFi**: Deben reforzar no solo la seguridad técnica, sino también los procesos de onboarding y verificación de empleados y partners.
– **Usuarios**: Se recomienda utilizar wallets no custodiales, revisar permisos y adoptar una postura de escepticismo ante comunicaciones no verificadas.

Desde el punto de vista regulatorio, incidentes como este aceleran la presión sobre plataformas DeFi para cumplir con directivas como NIS2 y requisitos de la GDPR en materia de respuesta a incidentes y protección de datos personales.

## Conclusiones

El ataque a Drift marca un nuevo estándar en la sofisticación y alcance de las operaciones cibernéticas estatales contra el sector DeFi. La combinación de ingeniería social avanzada, explotación de debilidades en los procesos internos y herramientas técnicas personalizadas exige una respuesta coordinada tanto a nivel técnico como organizativo. El caso Drift debe servir de referencia obligada para la preparación y resiliencia de todo el ecosistema cripto y financiero digital.

(Fuente: feeds.feedburner.com)