Escucha este artículo
En 2003, poco antes de que empezaran los bombardeos estadounidenses contra Irak, una red criminal ligada al entonces presidente Sadam Huseín robó mil millones de dólares del banco central del país. Diferentes listados lo consideran el robo más grande de la historia. Casi veinte años después, ciberdelincuentes asociados a la inteligencia norcoreana robaron casi el doble de esa cantidad en varios golpes a lo largo de 2022. Pero no robaron dinero en efectivo, joyas u obras de arte, como se ha hecho en otros robos históricos, sino algo mucho más moderno: criptomonedas.
Los analistas de movimientos de criptomonedas en la blockchain —la base de datos donde se registran las transacciones— apuntan que Corea del Norte está detrás de la mayoría de los ciberataques relacionados con su robo en todo el mundo. Entre enero y agosto de 2023, por ejemplo, el régimen de Kim Jong-un habría orquestado al menos treinta. Parece irónico, siendo una tecnología reciente y un país donde la enorme mayoría de sus ciudadanos no tiene acceso libre a internet, pero funciona como una política de Estado.
Evadir sanciones con criptomonedas
El interés de Corea del Norte por las criptomonedas es la última vertiente de su juego del gato y el ratón con la comunidad internacional. Llevan inmersos desde que Naciones Unidas le impuso las primeras sanciones en 2006 por desarrollar la bomba atómica. A medida que han aumentado las sanciones de la propia ONU, la Unión Europea, Estados Unidos o Japón, más se ha aislado al régimen norcoreano del sistema financiero internacional. Como consecuencia, Pionyang ha tenido que buscar vías cada vez más creativas para evadir esas sanciones y seguir moviendo dinero para financiarse.
El atractivo de las criptomonedas tiene dos motivos principales. Por un lado, es complicado determinar quién está detrás de una dirección o una cartera de criptomonedas. El rastro de las transferencias en la blockchain es público, pero no así la identidad de quienes las controlan. Por otra parte, la legislación sobre el uso de criptomonedas aún está por desarrollar en gran parte del planeta. La mayoría de países no exigen a los proveedores de estos servicios que tengan controles para prevenir su uso en blanqueo de capitales, financiación del terrorismo o en la proliferación de armas de destrucción masiva. La Unión Europea ya está dando pasos y comenzará a implementar estos controles en los próximos dos años.
Estos controles consisten, entre otros, en comprobar la identidad de sus clientes o monitorear su actividad si es sospechosa. Los bancos tradicionales de prácticamente todo el mundo deben implementar estas medidas, y suelen enfrentar duras sanciones si sus sistemas de prevención de riesgo fallan. Por ejemplo, HSBC tuvo que pagar en 2012 una multa de 1.900 millones de dólares por no impedir que sus clientes blanquearan dinero proveniente del narcotráfico en México.
Ciberdelincuentes entrenados para engañarte por LinkedIn
El uso libre de internet no está permitido en Corea del Norte, pero el Gobierno selecciona a los estudiantes que sobresalen en matemáticas y les ofrece una educación universitaria especializada en informática. El objetivo es que se unan al aparato de la inteligencia estatal cuando terminen sus estudios, bien para espiar a sus adversarios en el ciberespacio, bien para orquestar robos a empresas o bancos de todo el mundo.
El régimen norcoreano suele enviar al extranjero a estos individuos para que las direcciones IP de sus ordenadores no puedan rastrearse en Corea del Norte, lo que dificulta vincular los ciberataques con el país. Los ciberdelincuentes manipulan a sus potenciales víctimas para penetrar sus ordenadores, de tal manera que estas mismas les dan acceso a datos confidenciales sin saberlo. Se conoce como “ingeniería social”. Por ejemplo, crean perfiles ficticios en páginas como LinkedIn para conseguir los datos de contacto de empleados de bancos o empresas. Después les piden trabajo y les envían sus supuestos currículums en archivos de Word o PDF infectados con malware difíciles de detectar. Los ciberdelincuentes norcoreanos ya usaban esta táctica para robar información a periodistas y académicos, lo que ha llevado a agencias de Estados Unidos y Corea del Sur a publicar una guía para que sus ciudadanos eviten caer en estas tramas.
Una vez descargados los ficheros, el malware entra en los ordenadores y da a los atacantes acceso total a sus contenidos. Ya en 2016 eso permitió al Lazarus Group, asociado a la inteligencia norcoreana, hacerse con el control de las terminales del banco central de Bangladés que se encargaban de las transferencias internacionales. El grupo transfirió entonces 81 millones de dólares a cuentas de sus asociados en Filipinas, donde los blanquearon mediante una red de casas de cambio y casinos.
La cifra, no obstante, está lejos de los 620 millones de dólares en criptomonedas que el mismo grupo robó en 2022. Fue en un solo ciberataque a los desarrolladores del videojuego Axie Infinity. Sus jugadores enfrentan a sus personajes con otros y reciben criptomonedas cuando vencen, y pueden usarlas para comprar mejoras. El sistema está creado sobre la blockchain Ronin, que alojaba las criptomonedas de sus usuarios. Para su ataque, miembros del Lazarus Group usaron una estratagema similar que con el banco central de Bangladés: hackearon el ordenador de un empleado de Axie Infinity enviándole una oferta de trabajo falsa. Así, consiguieron las contraseñas que les permitían controlar el flujo de criptomonedas ligadas al videojuego y hacer transferencias. Es el robo de criptomonedas más grande hasta la fecha. De hecho, Washington sospecha que Pionyang usa parte de estas criptomonedas para financiar la expansión de su arsenal nuclear.
El mercado negro chino, clave para blanquear el bote
Aunque se ha rastreado la mayoría de estas criptomonedas, las autoridades de Estados Unidos, trabajando con empresas privadas como Chainalysis, sólo han recuperado unos 30 millones de dólares. Los ciberdelincuentes norcoreanos han blanqueado parte del bote y probablemente estén esperando a hacerlo con el resto sin llamar la atención. Pionyang ha guardado silencio sobre todo el asunto, pero el Panel de Expertos sobre Corea del Norte de la ONU aconsejó en marzo que los Gobiernos endurecieran sus controles para impedir que las empresas laven el dinero en sus territorios.
De todas formas, los ciberdelincuentes han comenzado a explorar alternativas para hacerlo. Según el Departamento del Tesoro de Estados Unidos, agentes norcoreanos han blanqueado criptomonedas obtenidas por otras vías a través del mercado negro en China. Primero las enviaban a sus contactos en el país, que las cambiaban por moneda de curso legal. Incluso sin necesidad de pasar por proveedores de servicios de criptomoneda, sino usando fondos en efectivo o en cuentas bancarias que ya controlarían, lo que dificulta su rastreo. Luego estos enviaban el dinero a otros miembros de la red, que lo usaban para comprar artículos, como tabaco o equipos de comunicación, que luego enviaban a Corea del Norte. Así, es fácil imaginar cómo el régimen podría comprar productos que tenga prohibido importar por las sanciones.
Los llamamientos para que los proveedores de servicios de criptomoneda reporten las transferencias sospechosas avanzan. Pero los ladrones, norcoreanos o no, recurrirán cada vez más a individuos que se presten a blanquearles los fondos robados. También a proveedores de servicio que operen en países donde interese hacer la vista gorda por motivos políticos o económicos, como Rusia. Son malas noticias para las autoridades que buscan frenarlo. Si bien es fácil determinar las direcciones de donde salen y a donde llegan las criptomonedas, identificar a quienes las controlan seguirá siendo el desafío principal.
