Los hackers norcoreanos utilizan IA para crear videos falsificados y atacar la industria de las criptomonedas: el contenido del portapapeles se convierte en un nuevo objetivo para el espionaje

La industria de las criptomonedas enfrenta una nueva ola de amenazas provenientes del norte. A través de videollamadas generadas por IA, hackers que se hacen pasar por personas conocidas están llevando a cabo ataques de ingeniería social cada vez más sofisticados dirigidos a profesionales del sector cripto. Estos atacantes no solo pueden falsificar identidades visuales, sino que también pueden desplegar programas maliciosos avanzados en los dispositivos de las víctimas, abrir el portapapeles y leer automáticamente su contenido, robando claves de billetera y datos confidenciales.

Videollamadas por IA: una nueva forma de phishing de suplantación de identidad

Según la firma de seguridad Huntress, este tipo de ataques generalmente se inician mediante cuentas de Telegram ya comprometidas. Los atacantes utilizan tecnología de IA para generar imágenes de video realistas, suplantando a colegas o personas de confianza en la industria. En las videollamadas, emplean diversos pretextos (como problemas con el audio en Zoom que necesitan ser solucionados) para engañar a los usuarios y que instalen “plugins” que parecen inofensivos. Sin embargo, este software aparentemente para resolver problemas técnicos en realidad es un malware cuidadosamente disfrazado.

Infección en múltiples niveles: desde puertas traseras hasta filtración del portapapeles

Una vez que el usuario instala estos programas maliciosos, los atacantes pueden realizar intrusiones en dispositivos macOS en múltiples niveles. Primero, despliegan puertas traseras en el sistema para asegurar acceso remoto a largo plazo. Luego, scripts maliciosos comienzan a monitorear las pulsaciones del teclado, registrando cada tecla—ya sea la contraseña de un exchange o la clave privada—sin que la víctima se dé cuenta.

Lo más peligroso es que estos programas pueden monitorear y capturar en tiempo real el contenido del portapapeles. Cuando el usuario copia información sensible, los atacantes la obtienen automáticamente. Esto significa que cualquier operación de pegar—direcciones de transferencia, fragmentos de claves, instrucciones de transacción—puede ser interceptada. Los atacantes no solo roban datos estáticos, sino que también pueden obtener la información más reciente en momentos críticos, permitiéndoles acceder directamente a los activos en las billeteras cripto.

Operaciones a nivel estatal por parte del grupo Lazarus

El responsable de seguridad de la firma SlowMist confirmó que estos ataques cuidadosamente planificados provienen del grupo Lazarus (también conocido como BlueNoroff), una organización de hackers de alto nivel respaldada por el Estado de Corea del Norte. Este grupo ha llevado a cabo múltiples ataques masivos contra desarrolladores y exchanges de criptomonedas. La actividad actual muestra patrones evidentes de reutilización de técnicas—las mismas metodologías se emplean en múltiples objetivos, especialmente en billeteras específicas y figuras clave del sector cripto.

El análisis de Huntress indica que estas operaciones tienen características técnicas muy similares a las actividades previas del grupo, lo que sugiere que se trata de una campaña organizada y sostenida, no de eventos aislados.

La problemática de la verificación de identidad y las estrategias de defensa

Con el avance de tecnologías como el deepfake y la clonación de voz, verificar la identidad mediante imágenes y audio se vuelve cada vez más poco confiable. Los usuarios ya no pueden confiar únicamente en lo que ven y escuchan para confirmar quién está del otro lado.

Para contrarrestar estas amenazas, los profesionales del sector cripto deben adoptar estrategias de defensa múltiples. Primero, fortalecer la autenticación multifactor—no depender de un solo método de verificación. Segundo, ser cautelosos con videollamadas de desconocidos, especialmente si solicitan instalar software. Tercero, mantener los sistemas y aplicaciones actualizados y limitar los permisos innecesarios. Lo más importante es reconocer que incluso una videollamada que parezca provenir de alguien conocido puede estar falsificada cuidadosamente; cualquier solicitud que involucre permisos a nivel del sistema o acciones sensibles debe ser verificada a través de canales independientes.