Cuando la seguridad operacional falla: por qué la infiltración de criptomonedas de Corea del Norte es un problema sistémico de la industria

La industria de las criptomonedas enfrenta una crisis de seguridad mucho más grave de lo que se reconoce comúnmente. Según Pablo Sabbatella, fundador de la firma de seguridad Web3 Opsek y miembro de la Security Alliance, las fallas sistemáticas en la seguridad operativa han creado una tormenta perfecta—permitiendo que agentes norcoreanos establezcan un pie en aproximadamente el 15%-20% de las empresas de criptomonedas en todo el mundo.

La escala de la infiltración

Las cifras son alarmantes. En una entrevista con DL News tras su presentación en la conferencia Devconnect en Buenos Aires, Sabbatella reveló que las solicitudes de empleo en el espacio cripto podrían estar inundadas de operativos norcoreanos, con estimaciones que sugieren que entre el 30%-40% podrían provenir de actores patrocinados por el estado. Esta revelación subraya una verdad más amplia: “La situación con Corea del Norte es mucho peor de lo que la gente imagina”, advirtió Sabbatella.

Las apuestas financieras son enormes. El Departamento del Tesoro de EE. UU. informó en noviembre que hackers norcoreanos han extraído más de 3 mil millones de dólares en criptomonedas en los últimos tres años—fondos que se canalizan directamente hacia programas de desarrollo de armas nucleares en Pyongyang.

Cómo funciona la infiltración

El modelo operativo se basa en explotar vulnerabilidades humanas en lugar de solo exploits técnicos. Los trabajadores norcoreanos evaden las sanciones internacionales delegando sus identidades a través de un sistema proxy. Reclutadores ubicados en plataformas freelance como Upwork y Freelancer reclutan activamente a personas de Ucrania, Filipinas y otros países en desarrollo, ofreciendo términos sencillos: los trabajadores comprometidos reciben el 20% de las ganancias, mientras que los operativos norcoreanos retienen el 80%.

La estrategia es deliberadamente social. Sabbatella explicó el patrón: los agentes se hacen pasar por no angloparlantes que necesitan ayuda en entrevistas, y luego infectan la computadora de su “intermediario” con malware para obtener direcciones IP basadas en EE. UU. Esto les otorga mayor acceso a internet que las operaciones directas desde Corea del Norte permitirían.

Una vez infiltrados en las empresas, estos infiltrados resultan ser invaluables para la gestión. Demuestran una productividad excepcional, trabajan largas horas y no presentan quejas—factores que los protegen de ser detectados y despedidos.

La crisis OPSEC: la mayor vulnerabilidad de las criptomonedas

Pero nada de esto sería posible sin una debilidad fundamental en la propia industria. “La industria de las criptomonedas probablemente tiene la peor seguridad operativa en toda la industria informática”, afirmó Sabbatella sin rodeos. Los fundadores siguen siendo altamente doxxed, la gestión de claves privadas es inadecuada y los empleados siguen siendo susceptibles a tácticas de ingeniería social.

Esta falla en la seguridad operativa genera riesgos en cascada. Cuando los agentes norcoreanos obtienen acceso legítimo a los sistemas mediante contratación, no solo roban fondos inmediatos—manipulan la infraestructura que soporta operaciones cripto importantes y acceden a activos organizacionales sensibles. El problema se agrava cuando se considera que “casi el 100% de las computadoras estarán infectadas con malware al menos una vez en su vida”, según Sabbatella.

Detección y prevención

Existe una prueba práctica para identificar operativos comprometidos: preguntas directas sobre figuras geopolíticas revelan el problema. Los agentes bajo control norcoreano no pueden expresar críticas—las restricciones ideológicas les impiden respuestas sinceras que un trabajador auténtico daría de forma natural.

El camino a seguir requiere que las empresas cripto reevalúen fundamentalmente sus marcos de seguridad operativa. Hasta que la industria priorice la OPSEC y los protocolos de seguridad que igualen a los sectores tecnológicos tradicionales, seguirá siendo vulnerable a campañas de infiltración patrocinadas por el estado que consideran la infraestructura de criptomonedas tanto como un objetivo financiero como un activo estratégico.