Agentes norcoreanos infiltraron DeFi por años, incluso en SushiSwap
Nueva alerta en el ecosistema DeFi: investigadores aseguran que operativos ligados a Corea del Norte han operado durante años dentro de proyectos cripto, aprovechando procesos de contratación, vínculos profesionales y acceso interno para facilitar algunos de los ataques más costosos del sector.
***
- Taylor Monahan advirtió que desarrolladores conectados con la RPDC habrían participado en más de 40 plataformas DeFi durante siete años.
- El exploit contra Drift Protocol, valorado en cerca de USD $280 millones, reactivó el escrutinio sobre infiltraciones, identidades falsas e ingeniería social.
- Analistas estiman que actores afines a Corea del Norte han sustraído cerca de USD $7 mil millones en criptoactivos desde 2017.
La industria de las finanzas descentralizadas enfrenta una de sus advertencias más incómodas: la amenaza no siempre nace de un fallo en el código, sino de quienes logran colarse en los equipos. Nuevas declaraciones de expertos en seguridad señalan que operativos vinculados a Corea del Norte habrían pasado años integrándose en firmas cripto y protocolos DeFi, muchas veces bajo identidades cuidadosamente elaboradas.
La alarma ganó tracción tras el reciente exploit contra Drift Protocol, un incidente que volvió a poner sobre el tapete el riesgo interno en una industria acostumbrada a focalizarse en auditorías, bugs y vulnerabilidades técnicas. En este caso, el problema habría comenzado mucho antes de cualquier ataque visible, a través de relaciones laborales, procesos de selección y contactos aparentemente legítimos.
Para quienes no están familiarizados, DeFi agrupa aplicaciones financieras construidas sobre blockchains que permiten prestar, intercambiar o mover activos sin intermediarios tradicionales. Esa apertura ha sido una de sus mayores fortalezas, pero también se ha convertido en un terreno fértil para actores que explotan la confianza, la informalidad en la contratación remota y la velocidad con la que se levantan muchos proyectos.
La advertencia principal vino de Taylor Monahan, investigadora de seguridad y desarrolladora de MetaMask, quien aseguró que este tipo de tácticas se remonta a los primeros días del boom DeFi. Según explicó, individuos vinculados con la República Popular Democrática de Corea habrían contribuido a varios protocolos ampliamente usados desde el llamado “verano DeFi”.
Años de presencia silenciosa dentro de DeFi
Monahan afirmó que muchos trabajadores de TI de la RPDC “construyeron los protocolos que conoces y te encantan” y sostuvo que más de 40 plataformas, incluidas varias muy conocidas, han dependido en algún momento de desarrolladores de ese perfil. También hizo una observación inquietante: cuando estos candidatos decían tener siete años de experiencia en desarrollo blockchain, esa experiencia no necesariamente era falsa.
Ese punto cambia el enfoque del problema. No se trata solo de aspirantes improvisados que intentan ingresar con identidades endebles, sino de personas con habilidades técnicas reales, experiencia acumulada y capacidad para generar confianza durante meses. En otras palabras, la infiltración puede apoyarse tanto en engaños documentales como en competencia profesional genuina.
Algunas publicaciones recientes incluso han mencionado a proyectos como SushiSwap, THORChain, Yearn Finance y Fantom entre aquellos que supuestamente tuvieron colaboradores vinculados más tarde a redes de la RPDC, aunque la atribución varía de un caso a otro. Esa matización importa, porque en ciberseguridad la atribución rara vez es absoluta y suele construirse con patrones, evidencia técnica y contexto operativo.
Lo preocupante es que la lógica de estas operaciones encaja de forma natural con el funcionamiento del sector. Equipos distribuidos, colaboradores freelance, contrataciones internacionales y repositorios abiertos pueden ser ventajas enormes para la innovación, pero también reducen barreras de entrada para quienes buscan acceso estratégico a sistemas, credenciales o procesos de gobernanza.
Lazarus, ingeniería social y miles de millones en criptoactivos
Desde hace años, investigadores vinculan las operaciones cibernéticas de Corea del Norte con el Grupo Lazarus, un colectivo respaldado por el Estado. Analistas de R3ACH estiman que este grupo ha sustraído cerca de USD $7 mil millones en activos digitales desde 2017, una cifra que resume la escala del desafío para el ecosistema cripto global.
El grupo ha sido asociado con algunos de los incidentes más costosos de la industria. Entre ellos figuran el exploit de Ronin Bridge por USD $625 millones en 2022, el hackeo de WazirX por USD $235 millones en 2024 y el incidente de Bybit por USD $1.400 millones en 2025. A esa lista se sumó ahora el caso de Drift, estimado en alrededor de USD $280 millones o USD $285 millones según los reportes citados en la cobertura original.
De acuerdo con evaluaciones recogidas en la cobertura de Yahoo Finance, Chainalysis reportó que hackers norcoreanos robaron un récord de USD $2.020 millones en criptomonedas solo durante 2025, un alza de 51% frente al año anterior, llevando su total histórico a USD $6.750 millones. Otras estimaciones elevan ya la cifra a unos USD $7 mil millones, reflejando el ritmo al que estos actores siguen operando.
Autoridades y analistas han sostenido además que esos fondos no representan únicamente ganancias criminales aisladas. Según evaluaciones del Tesoro de Estados Unidos y de la ONU citadas en la información de referencia, los activos robados se lavan a través de mixers, plataformas DeFi y estructuras de billeteras en capas antes de ser utilizados para respaldar programas nucleares y de misiles del régimen norcoreano.
El caso Drift y el papel de los intermediarios
El exploit de la semana pasada contra Drift Protocol desencadenó un renovado escrutinio porque el propio proyecto indicó tener una “confianza media-alta” en que un grupo afiliado al Estado norcoreano estuvo detrás del ataque. La hipótesis se apoya en un patrón más amplio de infiltración, manipulación de confianza e ingeniería social observado en otros incidentes.
Uno de los detalles más llamativos es que las reuniones presenciales que precedieron la brecha no habrían sido con ciudadanos norcoreanos directos. Según el proyecto, se trató de “intermediarios de terceros” que operaban con identidades completamente construidas, incluyendo historial laboral, credenciales públicas y redes profesionales activas.
Ese tipo de perfil resulta especialmente difícil de detectar porque no se limita a un currículum inventado. Incluye presencia digital consistente, conexiones en redes laborales, antecedentes aparentemente verificables y capacidad para sostener interacciones cara a cara sin levantar sospechas inmediatas. Así, la generación de confianza ocurre mucho antes de que aparezca cualquier señal de riesgo técnico.
En la reconstrucción del caso, los atacantes habrían invertido meses construyendo relaciones antes de introducir código comprometido. El exploit habría apuntado a herramientas de desarrollo y terminado con el robo de credenciales sensibles y claves de acceso, reforzando la idea de que la superficie de ataque de DeFi no está solo en los contratos inteligentes, sino también en su infraestructura humana y operativa.
Una amenaza persistente, no siempre sofisticada
El investigador independiente ZachXBT advirtió en X que no todas las amenazas vinculadas con Corea del Norte operan con el mismo nivel de sofisticación. A su juicio, uno de los errores más frecuentes de la industria es agrupar todos los casos en una sola categoría, cuando la complejidad de las amenazas puede variar de forma importante.
Esa observación desplaza parte de la responsabilidad hacia los propios equipos. ZachXBT sostuvo que las empresas que sigan cayendo en estas tácticas en 2026 corren el riesgo de ser vistas como negligentes. En otras palabras, la industria ya no puede tratar estos métodos como una novedad, dado que existen antecedentes suficientes para reforzar procesos internos.
El problema, sin embargo, es que la cultura cripto tiende a premiar velocidad, apertura y ejecución rápida. En ese entorno, imponer verificaciones más duras puede percibirse como fricción. Pero los hechos recientes sugieren que esa fricción puede ser mucho menos costosa que otro exploit de cientos de millones de dólares.
La controvertida “prueba de Kim Jong Un”
Tras el incidente de Drift, algunos equipos comenzaron a adoptar una táctica de selección informal y polémica conocida como la “prueba de Kim Jong Un”. Durante entrevistas, ciertos reclutadores piden a los candidatos que critiquen al líder norcoreano. Según quienes la utilizan, presuntos operativos suelen dudar, desviar la respuesta o abandonar la conversación.
Un video ampliamente compartido en abril de 2026 mostró a un candidato desconectándose abruptamente durante una indicación de ese tipo, lo que avivó el debate dentro de los círculos de contratación en criptomonedas. Algunos desarrolladores sostienen que este recurso solo se usa como complemento de controles más tradicionales, como revisión de sanciones y verificación de antecedentes.
Aun así, la práctica revela hasta qué punto el sector ha entrado en modo defensivo. Más allá de su utilidad real o de sus limitaciones éticas y metodológicas, la sola aparición de esta prueba muestra una industria que ya no asume buena fe por defecto cuando evalúa colaboradores remotos para funciones sensibles.
En el fondo, el caso pone en evidencia una tensión estructural de DeFi. La promesa de sistemas abiertos y sin permisos sigue siendo atractiva, pero esa misma filosofía puede convertirse en una ventaja para actores estatales que entienden que no necesitan zero-days si el eslabón más débil sigue siendo la confianza humana.
Según la información publicada por crypto.news y Yahoo Finance, la lección central para el sector es clara: los protocolos ya no pueden limitar su defensa a auditorías y monitoreo on-chain. También necesitan controles de contratación, verificación de identidad, supervisión de accesos y una cultura de seguridad capaz de detectar patrones persistentes antes de que se conviertan en el próximo gran robo de DeFi.
Referencia de contenido: consultar fuente original aquí