Los investigadores surcoreanos iniciaron una investigación tras una retirada anómala de 44.5 mil millones de wones de la plataforma de criptomonedas Upbit el 27 de noviembre de 2025. El ataque, detectado por los equipos de seguridad de la bolsa, desencadenó una respuesta de emergencia que involucró a la Agencia Nacional de Policía y al Servicio Nacional de Inteligencia.
Las autoridades sospechan que una unidad cibernética afiliada a Corea del Norte, conocida como el grupo Lazarus, orquestó el robo explotando protocolos de autenticación y vulnerabilidades del sistema. El incidente presenta un parecido notable con una retirada no autorizada de 58 mil millones de wones en 2019, lo que refuerza la atribución a los mismos actores de amenazas persistentes avanzados.
La agencia de noticias Yonhap informó que los investigadores hallaron una evidencia forense distintiva que vincula los patrones de intrusión con herramientas y tácticas empleadas previamente por operativos de Lazarus. Los intercambios y reguladores han intensificado la cooperación para rastrear el flujo de fondos mediante análisis de blockchain y puntos de control en los intercambios.
Un funcionario no identificado declaró que los atacantes eludieron la autenticación multifactor y explotaron una vulnerabilidad de día cero en la infraestructura interna de custodia de activos de Upbit. El operador de la bolsa, Dunamu, confirmó auditorías continuas del sistema, mientras tranquilizaba a los usuarios asegurando que los activos recuperados serán restablecidos a partir de reservas de seguros.
La brecha se produjo apenas unas horas antes de que Naver Financial anunciara su propuesta de adquisición de Dunamu, la empresa matriz de Upbit, en un acuerdo valorado en más de 15 billones de won. Este momento ha generado preocupación sobre la debida diligencia y la integración de medidas de ciberseguridad en procesos de fusiones y adquisiciones.
Incidentes pasados atribuidos a Lazarus incluyen el robo de 81 millones de dólares al Bangladesh Bank en 2016 y múltiples exploits de DeFi. El arsenal evolutivo del grupo combina campañas de spear-phishing, implantaciones de malware y manipulación de contratos inteligentes, apuntando a intercambios, carteras y puentes de blockchain.
En respuesta al hack, la Comisión de Servicios Financieros de Corea del Sur se comprometió a acelerar las directrices regulatorias sobre estándares de custodia y la divulgación de incidentes de emergencia. Los analistas del mercado prevén una mayor volatilidad a medida que los inversores institucionales reevaluan el riesgo, mientras que los volúmenes de operaciones minoristas podrían enfrentar restricciones temporales a la espera de revisiones de seguridad.
La firma de seguridad blockchain Chainalysis y otros proveedores de analítica en cadena han sido contratados para rastrear los tokens robados, desplegando heurísticas propietarias para identificar rutas de lavado y puntos de entrada a los intercambios. Los esfuerzos colaborativos apuntan a interceptar posibles puntos de salida de efectivo y congelar activos en varias jurisdicciones.
El incidente de Upbit es uno de los hacks más grandes de 2025, renovando las llamadas urgentes a que los protocolos de finanzas descentralizadas incorporen primitivas de seguridad avanzadas, como la computación multipartita y soluciones de gestión de llaves basadas en hardware. A medida que la industria lidia con incertidumbres regulatorias y amenazas emergentes, la importancia de marcos de ciberseguridad robustos nunca ha sido más pronunciada.
Comentarios (0)