Autoridades y analistas en Corea del Sur consideran que el grupo norcoreano Lazarus podría estar vinculado al reciente robo de aproximadamente 44.500 millones de wones (30,4 millones de dólares) a Upbit, la mayor plataforma de criptomonedas del país.
La investigación inicial señala que el método utilizado, posiblemente mediante acceso o suplantación de cuentas administrativas, guarda similitudes con ataques previos de Lazarus, según informaron fuentes consultadas por la agencia Yonhap.
“Hemos confirmado que algunos activos de la red Solana, con un valor aproximado de 54.000 millones de wones, se transfirieron a una dirección de billetera externa no autorizada a las 4:42 hora local (19:42 GMT del miércoles)”, informó en un comunicado la firma Dunamu, empresa matriz del exchange de criptomonedas Upbit.
El gobierno recordó que en 2019 la misma plataforma fue blanco de un golpe mayor atribuido a este grupo, cuando fueron sustraídos 580.000 millones de wones (396 millones de dólares) aprovechando el acceso a ‘hot wallets’ —carteras de criptomonedas con conexión constante a internet—. En el caso actual, los atacantes emplearon técnicas de transferencia y dispersión de fondos conocidas como ‘hopping’ y ‘mixing’, asociadas frecuentemente a Lazarus y diseñadas para dificultar el rastreo del dinero.
Dunamu, la empresa operadora de Upbit, confirmó el ciberataque el jueves y ajustó la cantidad afectada a la cifra actualmente reportada, tras una revisión de los daños iniciales. Por prevención, la compañía suspendió temporalmente algunas transacciones y comunicó que asumirá la totalidad de las pérdidas con fondos propios y medidas adicionales de protección.
“Estamos realizando una revisión exhaustiva de la estabilidad y seguridad de todo el sistema de depósito y retiro de activos digitales, no solamente de la red Solana. Los servicios de depósito y retiro se reanudarán de forma secuencial tan pronto como se garantice la seguridad”, añadió el comunicado urgente emitido el miércoles.
El ataque coincidió con el anuncio de la adquisición de Dunamu por parte de la tecnológica Naver Financial, lo que algunos expertos creen que podría deberse a un intento de notoriedad por parte de los responsables del ciberataque. En reacción al incidente, las acciones de Naver cayeron 4,55%.
El operador de Upbit afirmó que la prioridad de la plataforma son sus activos y aseguró que “hará todo lo posible para brindar un servicio más seguro, apoyado en un sistema de seguridad reforzado”.
El Servicio de Supervisión Financiera surcoreano (FSS), la Agencia de Seguridad de Internet (KISA) y otros organismos siguen con las inspecciones en Upbit para determinar el alcance y origen del incidente.
Los hackers vinculados a Corea del Norte robaron 2.000 millones de dólares en lo que va del año
Hackers asociados al régimen norcoreano mantuvieron durante años su actividad centrada en el robo de criptoactivos y, en lo que va de 2025, ya superaron los 2.000 millones de dólares en activos sustraídos, marcando un nuevo récord.
Naciones Unidas y distintas agencias gubernamentales sostienen que estos robos constituyen una fuente de financiamiento para los programas norcoreanos de desarrollo nuclear y de misiles.
La estimación acumulada de fondos robados por estos grupos supera los 6.000 millones de dólares, aunque la cifra real podría ser mayor, ya que no todos los incidentes son denunciados ni atribuidos en forma definitiva a actores vinculados a Corea del Norte, de acuerdo con un análisis de la firma de seguridad Elliptic.
La tecnología blockchain facilita el rastreo de estos activos, lo que permitió vincular a hackers norcoreanos con el robo de 1.460 millones de dólares en la plataforma de intercambio de criptomonedas Bybit en febrero. Además, este año se han registrado ataques relacionados con Corea del Norte en los servicios LND.fi, WOO X y Seedify. Según Elliptic, se atribuyeron a grupos norcoreanos más de 30 robos durante 2025.
(Con información de EFE y Europa Press)
