Una investigación exhaustiva liderada por el reconocido analista de blockchain ZachXBT ha sacado a la luz una operación a gran escala en la que trabajadores de tecnología de la información (TI) de Corea del Norte crearon más de 30 identidades falsas para infiltrarse en diversos proyectos de criptomonedas. Esta revelación, publicada en agosto de 2025, detalla cómo estos operadores lograron asegurar posiciones clave en el desarrollo de software, ocultando su verdadera afiliación y origen.
El descubrimiento se inició tras el compromiso de un dispositivo perteneciente a un trabajador de TI norcoreano. Este incidente, proporcionado por una fuente anónima, ofreció una mirada sin precedentes al funcionamiento interno de la operación, incluyendo exportaciones de Google Drive, perfiles de navegador Chrome y capturas de pantalla de dispositivos, que evidenciaron la magnitud y el método de la infiltración.
Metodología de una operación encubierta
Los documentos recuperados de la brecha demuestran que un equipo central de cinco trabajadores de TI norcoreanos orquestó la creación de estas identidades fraudulentas. Para dar credibilidad a sus perfiles, adquirieron documentos de identidad gubernamentales falsificados y cuentas profesionales en plataformas de empleo líderes como LinkedIn y Upwork. La sofisticación de la operación se extendía al detalle de sus gastos, documentados en hojas de cálculo que incluían la compra de números de seguro social, números de teléfono, suscripciones a servicios de inteligencia artificial, servicios de alquiler de computadoras y redes privadas virtuales (VPN).
Las comunicaciones con las compañías objetivo se realizaban exclusivamente en inglés. Sin embargo, el historial de navegación de los dispositivos comprometidos reveló un uso intensivo de Google Translate para traducciones al idioma coreano, con direcciones IP que indicaban conexiones desde Rusia, fortaleciendo la hipótesis de su origen norcoreano.
Tácticas de engaño avanzadas
Para simular que trabajaban desde las ubicaciones declaradas a sus empleadores, el equipo utilizaba software de acceso remoto como AnyDesk, enlazándose a través de servicios VPN. ZachXBT descubrió también scripts detallados, elaborados para mantener la coherencia de las identidades falsas durante las entrevistas. Un ejemplo notable es el script preparado para la persona ficticia de ‘Henry Zhang’. La investigación reveló que uno de los miembros de este equipo incluso fue entrevistado para un puesto de ingeniero full-stack en Polygon Labs, una de las plataformas blockchain más reconocidas.
Otros documentos comprometidos mostraban currículos que incluían supuestas experiencias laborales en empresas cripto de renombre, como el marketplace de NFT OpenSea y el proveedor de oráculos blockchain Chainlink. Las conversaciones en Telegram entre los miembros del equipo detallaban la coordinación de exitosas colocaciones laborales y los arreglos para el pago de salarios, utilizando direcciones de monederos ERC-20 para recibir los fondos.
Vínculo directo con un hackeo millonario
La investigación de ZachXBT tomó un giro crítico al rastrear una de las direcciones de monedero ERC-20 (0x78e1), frecuentemente utilizada por los infiltrados, y vincularla directamente al reciente exploit de Favrr, valorado en 680.000 dólares, ocurrido en junio de 2025. Este ataque cibernético afectó al director de tecnología (CTO) del proyecto.
Análisis posteriores confirmaron que tanto el CTO como otros desarrolladores en Favrr eran, en realidad, operativos norcoreanos que utilizaban credenciales falsas. Este descubrimiento crítico motivó a varios proyectos de criptomonedas a iniciar revisiones internas rigurosas, revelando así más casos de operativos norcoreanos en posiciones de desarrollo clave, lo que subraya la vulnerabilidad en los procesos de contratación dentro de la industria cripto.
En cuanto a la monetización de sus operaciones, los trabajadores norcoreanos a menudo utilizaban servicios como Payoneer para convertir moneda fiduciaria en criptomonedas. Los gastos reportados para mantener su operación se estimaron en 1.489,80 dólares solo para mayo de 2025.
Respuestas de la industria y antecedentes
La comunidad de criptomonedas ha reaccionado a estas revelaciones con una mezcla de sorpresa y preocupación. Mientras que algunos señalan la negligencia en los procesos de contratación por parte de equipos que se muestran defensivos ante alertas de seguridad, otras organizaciones han logrado detectar estas amenazas a tiempo. Por ejemplo, el importante exchange de criptomonedas Kraken identificó en mayo a un potencial actor de amenaza norcoreano que intentaba infiltrarse como candidato a un puesto de trabajo.
Sin embargo, numerosos casos previos ilustran la vulnerabilidad ante estos esquemas. En enero, estafadores con habilidades técnicas similares presuntamente robaron 2.2 millones de dólares en criptomonedas a residentes de Nueva York, utilizando mensajes de texto que ofrecían asistencia para trabajos remotos.
Más recientemente, en junio, las autoridades estadounidenses incautaron más de 7.7 millones de dólares en criptomonedas, obtenidos a través de una red encubierta de trabajadores de TI norcoreanos que se hacían pasar por freelancers extranjeros, canalizando sus ingresos de vuelta al gobierno norcoreano. El Tesoro de EE. UU. ha tomado medidas directas, sancionando a dos personas y cuatro entidades involucradas en una red de trabajadores de TI norcoreanos que buscaban infiltrarse en empresas de criptomonedas.
ZachXBT ha enfatizado la urgencia de que las empresas del sector cripto y tecnológico implementen una diligencia debida más rigurosa en sus procesos de contratación. Subraya que, aunque muchas de estas operaciones no son excesivamente sofisticadas, el gran volumen de solicitudes oprime a los equipos de contratación, lo que puede llevar a descuidos peligrosos. Estas revelaciones brindan una perspectiva crucial sobre las operaciones cripto de Corea del Norte, grupo que también ha sido vinculado a importantes hackeos, incluyendo la explotación de 1.4 mil millones de dólares del exchange de criptomonedas Bitbit en febrero de este año.
