Volver al Hub

Operación Ketman: 100 agentes norcoreanos se infiltraron en equipos Web3 en una amenaza interna sistémica

Imagen generada por IA para: Operación Ketman: 100 agentes norcoreanos se infiltraron en equipos Web3 en una amenaza interna sistémica

Una amenaza interna crítica al descubierto

La naturaleza descentralizada y a menudo seudónima del ecosistema Web3 ha sido considerada durante mucho tiempo tanto su mayor fortaleza como su vulnerabilidad más significativa. Una investigación innovadora ha cuantificado ahora este riesgo en términos contundentes, revelando una campaña de infiltración sistémica y patrocinada por el estado que ha colocado a aproximadamente 100 agentes norcoreanos dentro de los mismos equipos que construyen el futuro de las finanzas e internet.

Financiada por una subvención de la Fundación Ethereum y realizada durante seis meses, el 'Proyecto Ketman' (nombre derivado de un concepto que describe el engaño táctico) rastreó meticulosamente una red de trabajadores de TI de la República Popular Democrática de Corea (RPDC). Estos individuos se infiltraron con éxito en docenas de exchanges de criptomonedas, protocolos de finanzas descentralizadas (DeFi), proyectos de tokens no fungibles (NFT) y otras empresas basadas en blockchain asumiendo identidades falsas.

Modus Operandi: Un masquerade digital

Los operativos no solicitaron empleo como norcoreanos. En su lugar, crearon elaboradas personalidades falsas, haciéndose pasar principalmente por desarrolladores de software freelance de Corea del Sur, Japón y países de Europa del Este. Utilizaron documentación robada o falsificada para superar las verificaciones de antecedentes iniciales y se aprovecharon de la alta demanda de talento técnico en la industria cripto y sus procesos de contratación remota, a menudo acelerados.

Una vez dentro de una organización, estos agentes infiltrados siguieron un libro de jugadas multifásico. Los periodos iniciales se dedicaron a generar confianza, entregar trabajo competente y comprender la postura de seguridad y la arquitectura del código base del objetivo. Este trabajo 'legítimo' sirvió como camuflaje para sus verdaderos objetivos: establecer acceso persistente, identificar activos de alto valor y mapear flujos financieros.

Objetivos estratégicos más allá del robo financiero

Si bien el robo financiero directo—como desviar fondos o manipular contratos inteligentes—era un peligro claro y presente, los investigadores advierten que los objetivos de la campaña eran más amplios y estratégicos. Las misiones principales probablemente incluían:

  1. Robo de propiedad intelectual: Obtener acceso a código propietario, mecanismos de consenso novedosos y soluciones de escalabilidad para avanzar en las propias capacidades blockchain de Corea del Norte o para vender en el mercado negro.
  2. Generación sostenible de ingresos: Desviar fondos empresariales o activos cripto para apoyar al régimen, alineándose con el patrón documentado de que la RPDC utiliza operaciones cibernéticas para eludir sanciones internacionales.
  3. Establecimiento de puertas traseras y persistencia: Incrustar vulnerabilidades, bombas lógicas o backdoors dentro de infraestructuras críticas que podrían activarse durante tensiones geopolíticas para interrumpir la economía cripto global.
  4. Recopilación de inteligencia: Aprender prácticas de seguridad, modelos de gobernanza y personal clave dentro de las principales entidades Web3 para informar futuros ataques más destructivos.

La vulnerabilidad sistémica: Identidad en un mundo remote-first

Los hallazgos del Proyecto Ketman apuntan a un defecto fundamental en la cultura de crecimiento rápido de Web3. La adopción por parte del sector de fuerzas laborales remotas y globales, y su priorización de la habilidad técnica sobre la verificación formal de credenciales, creó la superficie de ataque perfecta para un estado-nación con un amplio grupo de personal de TI capacitado. Los procesos tradicionales de vetado corporativo a menudo se eludían o se consideraban menos relevantes en una comunidad que valora la descentralización y el anonimato.

Este incidente no se trata de explotar un único bug de software; se trata de explotar una vulnerabilidad procedimental y cultural sistémica. Los operativos de la RPDC no necesitaron hackear a través de firewalls; fueron invitados a entrar por la puerta principal virtual, armados con falsificaciones convincentes y la propia necesidad urgente de desarrolladores de la industria.

Implicaciones y acciones requeridas para la ciberseguridad

La exposición de la Operación Ketman sirve como una llamada de atención crítica para todo el sector tecnológico, con especial urgencia para Web3. El incidente demuestra que las amenazas internas han evolucionado desde empleados descontentos o individuos oportunistas hasta campañas coordinadas a nivel estatal de espionaje y sabotaje digital.

Los equipos de seguridad deben ahora adaptar sus marcos para tener en cuenta este nivel de amenaza. Las recomendaciones incluyen:

  • Verificación de identidad mejorada: Ir más allá de la verificación de documentos para implementar soluciones de verificación de identidad continua, biométrica o multifactor, especialmente para roles con acceso a sistemas financieros o código central.
  • Arquitectura de confianza cero para código y finanzas: Implementar controles de acceso estrictos y análisis de comportamiento para detectar actividad anómala, incluso desde cuentas 'confiables'. El principio de 'nunca confiar, siempre verificar' debe aplicarse internamente.
  • Auditorías de seguridad de la cadena de suministro: Tratar a los desarrolladores contratados, especialmente a los contratistas remotos, como parte de la cadena de suministro de software y someter sus contribuciones y acceso a un escrutinio riguroso y continuo.
  • Intercambio de información a nivel de la industria: Establecer canales seguros para que las empresas compartan datos anonimizados sobre patrones de contratación sospechosos, credenciales falsificadas y TTPs (Tácticas, Técnicas y Procedimientos) comunes utilizados por estos actores.

Conclusión: Una nueva era de defensa cibernética

La infiltración de 100 agentes de la RPDC en Web3 es un evento histórico en la ciberseguridad. Prueba de manera concluyente que los estados-nación ven el ecosistema cripto como un objetivo estratégico de alto valor para la infiltración, no solo para el robo. La línea entre el cibercrimen y el ciberespionaje se ha difuminado dentro del espacio de los activos digitales.

Para la comunidad Web3, el camino a seguir requiere una maduración de su cultura de seguridad. Los ideales de innovación sin permisos y descentralización deben equilibrarse con medidas de seguridad robustas y prácticas que protejan contra adversarios sofisticados que ya no están a las puertas, sino que ya están dentro de los muros. Los hallazgos del Proyecto Ketman no son meramente una exposición de una operación pasada; son un plan para la postura defensiva que toda la industria debe adoptar ahora para garantizar su supervivencia e integridad.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Ethereum Foundation-funded project exposes 100 DPRK developers operating in crypto

Crypto News
Ver fuente

Eth Foundation-funded program flags 100 North Korean crypto workers

Crypto Breaking News
Ver fuente

Ketman Project Identifies 100 North Korean IT Workers Working in Web3

Cointelegraph
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Inteligencia de Amenazas
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.