Desde hace muchos años, los medios informan periódicamente noticias sobre las presuntas travesuras atribuidas a los piratas informáticos norcoreanos que aparentemente van en detrimento de las empresas fintech. Pero este hecho parece bastante extraño, considerando que la Unión Internacional de Telecomunicaciones estimado que el porcentaje real de la población de la República Popular Democrática de Corea que usa internet es cercano a cero.
Definitivamente, es un entorno no favorable para alimentar las habilidades y ambiciones, ni de ciberdelincuentes viciosos ni de ciberemprendedores honestos. Sin embargo, el caso de Corea del Norte muestra cómo las criptomonedas, nacidas como neutrales a la nacionalidad y libres de gobierno, podrían ser torcidas para convertirse en un arma estratégica, junto con instrumentos más tradicionales utilizados en la lucha de poder entre países.
Una historia de dos paises
La brecha que divide el norte de Corea del Sur, que también está considerando la industria de las criptomonedas y blockchain, es aparentemente vasta. Toda la península coreana comparte el mismo idioma, etnia y cultura. Sin embargo, se dividió en dos como resultado de una guerra devastadora.
Relacionado: Legit vs. Criptografía ilícita: comparaciones entre Corea del Norte y Corea del Sur
Desde entonces, la República de Corea del Sur entró en un camino de desarrollo que la llevó a lograr primero la prosperidad económica del libre mercado y luego una democracia en toda regla. Más recientemente, Corea del Sur se convirtió en uno de los países que lideró la revolución blockchain, mostrando un enfoque innovador en los campos que se extienden desde la tecnología hasta la regulación. Mientras tanto, el Norte sigue siendo uno de los últimos países comunistas del mundo, con puño de hierro gobernado por el Monte Paektu Bloodline y su actual líder Kim Jong Un, quien es un descendiente directo del fundador del régimen.
El régimen de la RPDC tiene como objetivo monitorear todas las comunicaciones con el resto del mundo, y esta actitud también afecta su enfoque de la tecnología de la información. Los datos sobre este país generalmente están dispersos y apenas actualizados; sin embargo, todas las fuentes parecen confirmar la imagen de una infraestructura tecnológica que es a la vez subdesarrollado y estrictamente controlado por el poder central.
El acceso a Internet está restringido a una pequeña élite privilegiada que, gracias a sus vínculos con el régimen, también podría disfrutar de forma legal o ilegal. importado
Como resultado, es plausible leer toda la presencia de Corea del Norte en el mundo de las criptomonedas, o, más ampliamente, en Internet, como una consecuencia directa de la política del gobierno central o, al menos, como iniciativas que disfrutan del apoyo del poder central.
Licencia para hackear
Para entender cómo Corea del Norte es una "anomalía", debe tenerse en cuenta el hecho de que la RPDC nunca ha normalizado sus relaciones con el resto del mundo, y específicamente con Estados Unidos. Además, desde 1992, Estados Unidos ha impuesto múltiples sanciones a la RPDC en un intento de obligar a las autoridades norcoreanas a abandonar su programa nuclear militar y las actividades relacionadas de proliferación de misiles.
En 2006, el Consejo de Seguridad de las Naciones Unidas reaccionó a la primera prueba de armas atómicas de la RPDC por aprobar algunas resoluciones pretendía evitar tanto las importaciones como las exportaciones a Corea del Norte por parte de cualquier estado miembro de la ONU. La intensa actividad de piratería de Corea del Norte –y muy probablemente patrocinada por el gobierno– es, entonces, un arma destinada a generar presión sobre los condados opositores y un medio para reunir recursos económicos.
La conexión directa entre la guerra cibernética y las sanciones económicas puede parecer bastante lineal. Expertos reportado Corea del Norte ha utilizado ataques distribuidos de denegación de servicio (DDoS) contra objetivos surcoreanos desde julio de 2009, mientras que, durante el año siguiente, los piratas informáticos se centraron en la industria bancaria y las entidades internacionales. Por ejemplo, Sony Pictures Entertainment fue atacado en 2014 y luego Corea del Norte casi robo cibernético Banco Central de Bangladesh en 2016.
Desde 2017, el gobierno de EE. UU. Califica la actividad cibernética maliciosa supuestamente patrocinada por la RPDC como Cobra oculta y vigila de cerca los intentos de piratería. En ese momento, los hackers norcoreanos se involucraron con la comunidad de cifrado por primera vez.
Medios de comunicación reportó por primera vez sospechas sobre la participación de la estructura de espionaje de Corea del Norte en la violación de seguridad del intercambio de Corea del Sur Bithumb, con el robo de aproximadamente $ 7 millones en criptomonedas, que tuvo lugar en febrero de 2017.
En mayo de 2017, el infame ransomware etiquetado WannaCry llegó a miles de computadoras en 150 países. A pesar de que algunas fuentes conectan el malware con los piratas informáticos chinos, la Casa Blanca oficialmente atribuido El ataque cibernético al régimen norcoreano en diciembre de 2017.
Después de la campaña de ransomware, desde el verano de 2017, los piratas informáticos de Corea del Norte parecieron intensificar su actividad contra la industria fintech de Corea del Sur, lo que generó la preocupación de la Agencia de Internet y Seguridad de Corea (KISA). A pesar de esto, los cibercriminales presuntamente apoyados por la RPDC realizaron con éxito otros robos de intercambio a gran escala en diciembre de 2017, golpearon los servicios surcoreanos Youbit, robaron una quinta parte de los fondos de los usuarios y, al hacerlo, llevaron a la compañía a la bancarrota.
Relacionado: Resumen de hacks de Crypto Exchange hasta ahora en 2019: ¿cómo se pueden detener?
Otras infracciones importantes involucraron a las empresas surcoreanas durante los siguientes meses, incluso si la atribución a los grupos norcoreanos no siempre fue clara. Por ejemplo, los autores de la violación de Coinrail, en la que se robaron alrededor de $ 40 millones en criptografía en junio de 2018, permanecieron en el anonimato. Bithumb fue golpeado nuevamente en marzo de 2019, con alrededor de $ 19 millones desaparecidos. Sin embargo, todavía no está claro si se trataba de un trabajo interno o si los culpables estaban relacionados con la RPDC. Los expertos en seguridad de Corea del Sur están bastante seguros de que la RPDC estuvo detrás de la campaña de phishing dirigida a UPbit durante mayo de 2019.
Como la atribución de cada golpe siempre es dudosa, una estimación del botín reunido por los hackers norcoreanos está lejos de ser segura. Los documentos del Consejo de Seguridad de la ONU que se filtraron en marzo de 2019 calcularon que la actividad de piratería patrocinada por la RPDC de 2015 a 2018 acumuló alrededor de $ 670 millones. Un informe más reciente de las mismas cuentas de origen afirma que los piratas informáticos norcoreanos robaron $ 2 mil millones en cripto de bancos e intercambios de criptomonedas, lo que representa el 7% del PIB anual del país. La ONU está investigando actualmente 35 ataques que involucran a 17 países, aunque la mayoría están vinculados a objetivos surcoreanos.
Lázaro se levanta y camina (posiblemente a la cárcel)
En los últimos meses de 2017, expertos de la firma de investigación de seguridad FireEye ya notó que los ataques patrocinados por Corea del Norte registrados durante ese año mostraron características distintivas en comparación con la actividad anterior. El informe de FireEye interpretó la elección de apuntar a billeteras privadas e intercambios de cifrado como un probable "medio para evadir sanciones y obtener monedas fuertes para financiar el régimen".
Fue una consecuencia directa del aumento de los tipos de cambio fiat vs. cripto en el mercado, y el informe concluyó que "no debería sorprendernos que las criptomonedas, como una clase de activos emergentes, se estén convirtiendo en un objetivo de interés por parte de un régimen que opera de muchas maneras como una empresa criminal ".
La estrategia operativa de los piratas informáticos se basó en la suplantación de identidad, un ataque dirigido a la dirección de correo electrónico privado de los empleados en los intercambios de divisas digitales, utilizando mensajes falsos para implementar malware, lo que permitió a los piratas informáticos tomar el control de la infraestructura de TI de una empresa.
El análisis continuó durante 2018 y conectó muchos de los ataques a un solo grupo, identificándose como Lazarus (también conocido como DarkSeol). La compañía de delitos informáticos Group-IB atribuyó a Lazarus alrededor del 65% del valor robado de las criptobolsas desde principios de 2017 hasta finales de 2018. La mayor parte de los activos incautados por Lazarus – $ 534 millones de los $ 571 millones – provino de un solo ciber-robo, la violación de seguridad del intercambio japonés Coincheck, en enero de 2018.
los informe extenso en Lazarus, producido por el Grupo IB, revela la conexión entre el grupo y las direcciones IP que se refieren al cuerpo militar más alto de Corea del Norte. La compañía de seguridad afirma que es probable que Lázaro sea una rama de la Oficina 121, una división de la Oficina General de Reconocimiento, una agencia de inteligencia de la RPDC. Su actividad presumiblemente se remonta a 2016.
Los analistas de Group-IB detectaron una estrategia muy sofisticada basada en ataques selectivos y la implementación de una estructura de servidor multicapa maliciosa dentro de las infraestructuras comprometidas. Además de esto, los hackers norcoreanos desarrollaron un conjunto de herramientas modulares para tomar el control remoto de las PC infectadas. Esta solución complica la detección de malware y proporciona flexibilidad adicional, por lo que piezas de software podrían reutilizarse o combinarse para dirigirse a empresas específicas, lo que permite a los piratas informáticos dividir la actividad de desarrollo entre los equipos.
Durante la primavera de 2019, la compañía de ciberseguridad y antivirus Kaspersky Lab informó una evolución de la caja de herramientas de Lazarus, que actualmente incluye malware para Windows y macOS, permitiendo scripts maliciosos de PowerShell en las infraestructuras específicas.
Deja ir tu mente; déjate libre
El verdadero objetivo de los piratas informáticos norcoreanos es probablemente doble cara: por un lado, sus ataques tienen como objetivo socavar las infraestructuras de TI de los países percibidos como rivales. Por otro lado, intentan apoderarse de la moneda fuerte, o activos teóricamente convertibles en moneda fuerte, fuera de los límites impuestos por la comunidad internacional. El último objetivo también explica los intentos de minería a pequeña escala de la RPDC que informaron fuentes de Corea del Sur, que comenzaron a fines de la primavera de 2017 pero sin un éxito constante.
La posibilidad de usar la criptografía como un medio potencial para evitar las sanciones financieras internacionales es realmente explorada por otros países actualmente bajo embargo económico, por ejemplo, los intentos iraníes de explotar la minería e incluso crear una red internacional autónoma de transferencias financieras. Ambiciones similares respaldaron al controvertido Petro venezolano, mientras que la actitud de Rusia hacia las criptomonedas estaría influenciada por el tema de las sanciones internacionales, luego de la crisis de Crimea.
Relacionado: Petro venezolano contra las sanciones de Estados Unidos: historia y uso de la criptografía
Sin embargo, a pesar del grave daño a la reputación que la asociación con regímenes "deshonestos" o grupos terroristas trajo a las criptomonedas, la usabilidad real de la criptografía para evitar la regulación internacional parece, al menos, dudosa.
El caso de Corea del Norte, por ejemplo, muestra cuán tortuoso sería el camino para transferir y convertir en fiat la criptografía proveniente de la minería local o actividades ilícitas. Además, los resultados económicos reales de las campañas de ransomware más infames parecen estar muy por debajo de su resonancia en los medios, mientras que los intercambios de cifrado se han asociado para evitar la conversión a fiat de los activos robados durante los ataques más exitosos.
De hecho, los piratas informáticos norcoreanos parecen experimentar algunas de las dificultades que afectaron las actividades de cifrado lícito en términos de privacidad y adopción. Por esta razón, algunos expertos en seguridad interpretaron las actividades patrocinadas por la RPDC contra la industria de la criptografía más como un medio para identificar objetivos o información adicionales que podrían permitir operaciones contra entidades financieras tradicionales en el "mundo fiduciario", en lugar de robar la criptografía como el objetivo principal.
A pesar de sus resultados económicos reales, el caso de Corea del Norte es probablemente el ejemplo más extremo de un régimen que se acerca a las criptomonedas para perseguir las mismas ventajas a nivel gubernamental que niega a sus ciudadanos a nivel individual. Ninguna contradicción es tan flagrante como la de la RPDC, donde las criptomonedas son un recurso relevante desarrollado dentro del arsenal del estado, mientras que la población en general carece de conocimientos básicos sobre ellas e incluso sobre la posibilidad de acceder a Internet.
El predecesor de internet, ARPANET, fue desarrollado durante la década de 1960, para ofrecer un medio de comunicación confiable dentro del Departamento de Defensa de los EE. UU. en caso de una guerra nuclear. Su evolución hacia una infraestructura global, neutral en el país y democrática parecía difícilmente predecible.
Por otro lado, las criptomonedas nacieron de la libertad, mientras que el caso de Corea del Norte muestra claramente cómo podrían convertirse en un arma manejable en manos de un régimen totalitario.
Las instituciones, la sociedad y el entorno económico circundante parecen, una vez más, más relevantes que la arquitectura tecnológica para determinar el camino de evolución de la innovación disruptiva.