El gran engaño: Cómo espías norcoreanos pasaron meses en persona para drenar 285 millones de dólares de Drift

La firma de inteligencia de seguridad ha revelado un nuevo y alarmante capítulo en la guerra cibernética contra el ecosistema cripto. Según el informe, hackers respaldados por el Estado norcoreano lograron infiltrarse durante meses en la plataforma de trading descentralizada Drift, utilizando un elaborado esquema de ingeniería social presencial para finalmente drenar 285 millones de dólares. Este ataque, que combina técnicas de espionaje tradicional con vulnerabilidades digitales, marca un punto de inflexión en la sofisticación de las operaciones de Corea del Norte contra el sector blockchain.

Los investigadores detallan que los agentes norcoreanos no actuaron de forma remota, como es habitual en la mayoría de los ciberataques. En lugar de eso, se hicieron pasar por inversores y desarrolladores legítimos, asistiendo a conferencias, eventos de networking y reuniones privadas durante varios meses. Su objetivo era ganar la confianza de los empleados clave de Drift, una plataforma de derivados descentralizados construida sobre Solana. Una vez establecida la relación, lograron acceso a claves privadas y sistemas internos, permitiendo el robo masivo de fondos de los pools de liquidez.

Este caso ilustra una tendencia preocupante: los hackers norcoreanos están combinando tácticas de inteligencia humana (HUMINT) con exploits técnicos. Mientras que en el pasado se limitaban a phishing o ataques a bridges, ahora invierten tiempo y recursos en infiltrarse físicamente en el ecosistema. El informe señala que el 76% de todas las pérdidas por estafas y hacks cripto en 2026 se atribuyen a actores vinculados a Corea del Norte, lo que representa un total de 6 mil millones de dólares robados desde 2017. Estas cifras subrayan que Pyongyang ha convertido el robo de criptomonedas en una de sus principales fuentes de financiación, evadiendo sanciones internacionales.

El ataque a Drift no solo expone la vulnerabilidad de las plataformas DeFi, sino que también plantea preguntas sobre la seguridad en eventos presenciales del sector. Muchas startups cripto operan con equipos reducidos y una cultura de confianza que los hackers explotan con facilidad. Los analistas recomiendan ahora protocolos de verificación de identidad más estrictos, incluyendo la revisión de antecedentes de cualquier persona que busque acceso a información sensible, incluso si se presenta como un inversor acreditado o un colaborador técnico.

Además, el informe destaca que los fondos robados fueron rápidamente movidos a través de mixers y bridges hacia wallets controladas por el régimen norcoreano. A diferencia de otros ataques donde las víctimas pueden recuperar parte de los activos mediante negociaciones o rastreo on-chain, en este caso la trazabilidad se ha visto severamente limitada por el uso de técnicas de ofuscación avanzadas. La comunidad cripto, que ya lidia con la presión regulatoria, enfrenta ahora el desafío de blindarse contra amenazas que trascienden lo puramente digital.

Para los inversores y desarrolladores, la lección es clara: la seguridad no termina en el código. La ingeniería social sigue siendo el vector de ataque más efectivo, y cuando es ejecutada por agentes estatales con recursos ilimitados, el riesgo se multiplica. Mientras tanto, las autoridades de varios países han intensificado la cooperación para rastrear estas redes, aunque la naturaleza descentralizada de blockchain dificulta la recuperación de los fondos. El caso Drift servirá, sin duda, como un estudio de caso en las academias de ciberseguridad durante los próximos años.