El robo de criptomonedas tuvo un incremento importante durante el año 2022, ya que según un estudio realizado por la firma especializada en análisis blockchain Chainalysis, en el periodo se registró un alza histórica en el número de hurtos de criptodivisas que ascienden a los 3.800 millones de dólares.
De acuerdo con el Reporte de Criptocrimen 2023, en el 2022 la actividad de hacking tuvo grandes picos en marzo y octubre, este último fue el mes en el que se produjo el mayor robo de criptoactivos, con 775 millones de dólares robados en 32 ataques distintos.
En comparación con el año precedente, el robo de monedas digitales aumentó en 500 millones de dólares, ya que los cibedelincuentes hurtaron 3.200 millones durante todo el 2021.
Las sustracciones ilegales se registraron principalmente en protocolos de Finanzas descentralizadas (DeFi, por sus siglas en inglés) y por atacantes vinculados a Corea del Norte.
En este sentido cabe recordar que las plataformas DeFi son servicios financieros que funcionan mediante tecnología blockchain, es decir, que no dependen de intermediarios para realizar transacciones. Estos protocolos han sido uno de los principales objetivos de los atacantes, ya que representan 82.1% de todas las criptodivisas robadas, el equivalente a US$3,100 millones.
La apertura de los datos, así como la transparencia con la que operan las plataformas basadas en DeFi hacen que éstas sean un objetivo para los hackers, ya que pueden buscar y aprovechar vulnerabilidades para atacar en un momento determinado y así maximizar sus robos.
Anteriormente, Chainalisys señaló que durante el 2022, el total de las operaciones ilícitas con criptomonedas ascendieron a 20.100 millones de dólares, lo que representó un aumento de 17% respecto a lo registrado en el 2021, cuando se contabilizaron $14,000 millones.
“El último año vimos actividad delictiva que llegó a volúmenes históricos, ese registro provino de nuevas sanciones que fueron impuestas por la Oficina de Control de Activos Extranjeros (OFAC, por su sigla en inglés) y países como México y el resto de Latinoamérica podemos aprender eso, ya que necesitamos que nuestros reguladores tengan visibilidad de la actividad delictiva”, comentó Daniel Cartolin, vocero de Chainalysis en Latinoamérica.
La firma indicó que 44% del volumen de transacciones ilícitas provino de actividades asociadas con entidades sancionadas, en el mismo periodo que la OFAC lanzó las sanciones criptográficas más ambiciosas y difíciles de aplicar hasta el momento.
Lazarus Group
Por otro lado, Chainalysis señala que los hackers vinculados a Corea del Norte, como los de la agrupación cibercriminal “Lazarus Group”, han sido los más prolíficos en cuanto al hackeo de criptomonedas, en el 2022 porque sustrajeron 1.700 millones de dólares en cripto activos a través de varios hackeos.
Del volumen reportado, se específica que $1,100 millones se robaron de protocolos DeFi, por lo que la forma calificó a Corea del Norte, como la región con mayor tendencia al hackeo de estas plataformas en el 2022.
Aunque la actividad ilícita detectada rompió récord, el análisis señaló que en comparación con el volumen del ecosistema de criptomonedas, apenas representó 0.24% del total de lo transaccionado con estas herramientas.
Según algunos portales especializados y reseñas de algunos cuerpos de seguridad como el FBI estadounidense, Lazarus es un grupo de ciberdelincuentes compuesto por un número desconocido de individuos. Aunque no se sabe mucho sobre el grupo, los investigadores les han atribuido muchos ciberataques durante la última década. También ha sido designado como una amenaza persistente y avanzada debido a su naturaleza intencional y por la amplia gama de métodos utilizados al llevar a cabo una operación.
Los nombres dados por las empresas de seguridad cibernética incluyen HIDDEN COBRA (por la Comunidad de Inteligencia de los Estados Unidos) y Zinc (por Microsoft).
El primer ataque conocido del que es responsable el grupo se conoce como «Operation Troy», que tuvo lugar entre 2009 y 2012. Se trató de una campaña de ciberespionaje que utilizó técnicas poco sofisticadas de ataque de denegación de servicio distribuido (DDoS) para atacar al gobierno de Corea del Sur en Seúl. También son responsables de los ataques en 2011 y 2013. Es posible que también estuvieran detrás de un ataque en 2007 dirigido a Corea del Sur, pero eso es aún incierto. Un ataque notable por el que el grupo es conocido es el de 2014 contra Sony Pictures. El ataque a Sony utilizó técnicas más sofisticadas y puso de manifiesto lo avanzado que ha llegado a ser el grupo con el tiempo.
Se informó de que Lazarus Group había robado 12 millones de dólares del Banco del Austro en Ecuador y 1 millón de dólares del Banco Tien Phong de Vietnam en 2015. También se han dirigido a bancos de Polonia y México. El atraco a un banco en 2016 incluyó un ataque al Banco de Bangladés, en el que se robaron 81 millones de dólares y que se atribuyó al grupo. En 2017, se informó de que el grupo Lázaro había robado 60 millones de dólares del Banco Internacional del Lejano Oriente de Taiwán, aunque la cantidad real robada no estaba clara y la mayoría de los fondos se recuperaron.
Un ataque que superó los $100 millones
El Buró Federal de Investigación (FBI) ha confirmado que Lazarus Group y APT38 son los culpables del hackeo de Harmony Bridge, que costó 100 millones de dólares en junio de 2022.
Hacía tiempo que se sospechaba que el cibergrupo vinculado a Corea del Norte estaba detrás del ataque, pero su implicación no había sido confirmada por las autoridades hasta ahora.
Según un comunicado del 23 de enero, el FBI señaló que «a través de nuestra investigación, pudimos confirmar que Lazarus y APT38, ciberdelincuentes asociados con la RPDC, son responsables del robo de USD 100 millones en moneda virtual del Horizon Bridge de Harmony».
El hackeo de Harmony Bridge en 2022 fue el resultado de agujeros de seguridad en el Horizon Bridge de Ethereum de Harmony que permitieron a los ciberatacantes sustraer una serie de activos almacenados en el puente a través de 11 transacciones.
El FBI también señaló que los hackers norcoreanos comenzaron a mover alrededor de USD 60 millones de los fondos robados a principios de este mes a través del protocolo de privacidad basado en Ethereum RAILGUN. El experto en blockchain ZachXBT ya lo había señalado en Twitter el 16 de enero.
Notablemente, Binance también detectó que los hackers estaban tratando de lavar los fondos a través del exchange de criptomonedas Huobi, y luego lo ayudó rápidamente a congelar y recuperar los activos digitales depositados por los hackers, según el CEO Changpeng Zhao.
Con información de Chainalysis y Cointelegraph