Ideas clave
- Las noticias sobre criptomonedas destacaron un ataque de phishing contra Humanity Protocol.
- Los atacantes consiguieron acceder al sistema a través de un archivo adjunto falso en un correo electrónico de Bithumb.
- Los investigadores han relacionado las características del malware con presuntos operadores de la RPDC.
Humanity Protocol reveló una grave brecha de seguridad después de que unos atacantes se hicieran con el control del dispositivo de un empleado y robaran tokens del proyecto. La empresa de seguridad de blockchain Quantstamp investigó el incidente y concluyó que el ataque se originó a partir de una campaña de phishing que compartía características con operaciones vinculadas anteriormente a actores maliciosos norcoreanos.
Este incidente se suma a la creciente oleada de noticias sobre criptomonedas relacionadas con los delitos cibernéticos patrocinados por el Estado que tienen como objetivo a las empresas de activos digitales. Las empresas de seguridad han advertido en repetidas ocasiones de que el phishing sigue siendo uno de los métodos más eficaces para robar criptoactivos y acceder a sistemas con privilegios.
Las noticias sobre criptomonedas se centran en los puntos de entrada del phishing
El informe de incidentes de Quantstamp reveló que el ataque se inició mediante un correo electrónico fraudulento que se hacía pasar por la plataforma de intercambio surcoreana Bithumb. El mensaje contenía un archivo adjunto malicioso camuflado como una actualización del calendario de bloqueo de tokens. Al abrirlo, el archivo instalaba un malware que permitía a los atacantes controlar de forma remota el equipo afectado.
Los investigadores descubrieron que el portátil afectado pertenecía a Chong Yee Wai, director de Humanity Protocol. El acceso al dispositivo permitió a los atacantes extraer las credenciales y las claves privadas de la cartera MetaMask. A continuación, la operación se desarrolló con rapidez, lo que permitió realizar transferencias no autorizadas desde las carteras vinculadas al proyecto.
El malware llevaba una firma digital asociada al proveedor de software surcoreano Hancom. Quantstamp señaló que certificados similares habían aparecido en campañas anteriores atribuidas a actores que operaban desde la República Popular Democrática de Corea. Ese hallazgo reforzó las sospechas sobre la implicación del grupo.
El ataque al Protocolo Humanity encaja en un patrón más amplio de la RPDC
Según un estudio de CertiK, los actores vinculados a Corea del Norte siguieron siendo los responsables de la mayor parte de las pérdidas por robos de criptomonedas durante el año pasado. Los analistas de seguridad observaron una tendencia hacia ataques menos frecuentes, pero de mayor envergadura. Esa tendencia reflejaba una mayor precisión en la selección de objetivos y una disciplina operativa más rigurosa entre los grupos de ciberdelincuentes.
La brecha de seguridad del Protocolo Humanity coincidió con varias técnicas observadas en campañas anteriores. Los atacantes recurrieron a la ingeniería social en lugar de a la explotación directa de los contratos inteligentes. Se centraron en personas con acceso privilegiado y luego utilizaron las credenciales robadas para eludir las medidas de seguridad técnicas.
Las empresas de seguridad advirtieron en repetidas ocasiones de que el phishing seguía siendo uno de los vectores de ataque más eficaces en el ámbito de los activos digitales. Muchos incidentes comenzaron con correos electrónicos que parecían fiables, ofertas de trabajo falsas o actualizaciones de software. Una vez que las víctimas concedían acceso, los atacantes solían desplazarse lateralmente por los sistemas internos antes de llevar a cabo los robos.
Los investigadores también señalaron que las criptomonedas siguen siendo atractivas porque las transacciones se liquidan rápidamente y se realizan a través de distintas jurisdicciones. Recuperar los activos robados resulta difícil una vez que los fondos pasan por múltiples monederos y canales de blanqueo. Este reto siguió ejerciendo presión sobre los proyectos para que reforzaran las medidas de seguridad de sus empleados.
Las noticias sobre criptomonedas reflejan los crecientes riesgos de seguridad
Humanity Protocol opera en el sector de la identidad descentralizada, donde la confianza de los usuarios sigue siendo fundamental para su adopción. La filtración planteó dudas sobre los controles de seguridad operativos, más que sobre la arquitectura de la cadena de bloques. Los investigadores no encontraron pruebas de que los atacantes hubieran aprovechado una vulnerabilidad a nivel del protocolo.
En cambio, el incidente puso de manifiesto los riesgos que rodean a la seguridad de los dispositivos finales y la gestión de claves. Las organizaciones suelen invertir mucho en auditorías de contratos inteligentes, pero pasan por alto las superficies de ataque relacionadas con los empleados. Los ciberdelincuentes se centran cada vez más en las personas, ya que el comportamiento humano suele crear puntos de entrada más fáciles.
Las últimas tendencias en materia de seguridad han puesto de manifiesto un uso cada vez mayor de malware camuflado como comunicaciones empresariales legítimas. Las notificaciones de Exchange, las propuestas de colaboración y las actualizaciones sobre la distribución de tokens se han convertido en señuelos habituales. Estas tácticas han tenido éxito porque los destinatarios solían interactuar con esos mensajes en el marco de sus operaciones habituales.
Los expertos del sector señalaron que una mayor segregación de carteras y una seguridad basada en hardware podrían reducir riesgos similares. Los sistemas de autenticación multicapa también limitaban los daños tras el compromiso de los dispositivos. Sin embargo, ninguna medida por sí sola eliminaba por completo las amenazas de phishing.
Es probable que la siguiente fase de la investigación se centre en rastrear los movimientos de fondos e identificar las vías de blanqueo. Los investigadores en seguridad vigilarán la actividad de los monederos electrónicos para detectar posibles vínculos con redes de amenazas ya documentadas. Los participantes en el mercado también estarán atentos a si surgen nuevas pruebas que relacionen la operación con grupos norcoreanos conocidos.
