Google asegura que los ‘hackers’ de Corea del Norte ya introducen virus en la seguridad del blockchain

La tecnológica americana Google ha publicado un estudio en el que revela que los hackers de Corea del Norte están vulnerando la tecnología blockchain, conocida por su gran seguridad, para colar virus informáticos y malware. La compañía ya había advertido, tal y como reveló OKDIARIO, que estos ciberatacantes están infiltrados en empresas españolas, además de en otros países.

Así, el conocido como Grupo de Inteligencia de Amenazas de Google (GTIG, por sus siglas en inglés) ha observado que los infiltrados de Corea del Norte distribuye malware para facilitar el robo de criptomonedas. Según explica la tecnológica, «ésta es la primera vez que se observa a un Estado adoptando estos métodos».

La técnica de los hackers norcoreanos aprovecha las transacciones en blockchain «para almacenar y recuperar cargas maliciosas», algo que destaca «por su resistencia a las estrategias convencionales de desmantelamiento y bloqueo».

Blockchain es un sistema de registro digital descentralizado y distribuido que permite almacenar transacciones, en principio, de manera segura, transparente e inalterable. La información se agrupa en bloques conectados entre sí mediante criptografía, y una vez que un bloque se incorpora a la cadena, su contenido no puede modificarse prácticamente.

‘Hackers’ de Corea del Norte y ‘blockchain’

Sin embargo, los hackers de Corea del Norte han sido capaces de vulnerar blockchain. Según Google, pese a que esta tecnología tiene a la descentralización como principio fundamental, lo que aporta seguridad, «en la práctica, se suelen utilizar servicios centralizados, lo que presenta tanto oportunidades como riesgos».

«Si bien los blockchain como BNB Smart Chain son inmutables y no requieren permisos, y los contratos inteligentes implementados en ellas no pueden eliminarse, las operaciones de los actores maliciosos que las utilizan no son indetenibles», explica la compañía.

De esta forma, Corea del Norte no interactúa directamente con los blockchain, sino que utiliza «servicios centralizados, similares a los servicios tradicionales de Web2, como el alojamiento web».

«Estos intermediarios centralizados representan puntos de observación y control, donde se puede monitorear el tráfico y abordar la actividad maliciosa mediante bloqueos, suspensiones de cuentas u otros métodos», asegura.

Los norcoreanos «utilizan un servicio API alojado por una entidad central, que actúa como una capa de abstracción entre el actor de la amenaza y la cadena de bloques», desvela la tecnológica norteamericana.

Google afirma que, «en 2024, más de la mitad de toda la actividad de amenazas rastreada tuvo una motivación financiera, lo que constata un  aumento constante en los últimos tres años». «En este sentido, el sector financiero sigue siendo la industria más atacada, ya que su papel central en la economía mundial lo convierte en un foco lucrativo para los actores de amenazas», asegura.

Las operaciones patrocinadas por el Estado son cada vez más sofisticadas y encubiertas. «Los actores estatales, incluidos los grupos iraníes y norcoreanos, están intensificando las cibercampañas con tácticas sofisticadas y operaciones cada vez más encubiertas», advierte la empresa.

Además, sus investigadores «también destacan los nuevos riesgos derivados del malware infostealer y la explotación de Web3, dos tendencias que están dando forma a la próxima era de ciberamenazas».