Saltar al contenido principal

Crisis de seguridad de las billeteras frías: cómo los ataques de preparación de un mes del Grupo Lazarus están derrotando las defensas más sólidas de las criptomonedas

· 12 min de lectura
Dora Noda
Dora Noda
Software Engineer

Su cold wallet no es tan segura como cree. En 2025, los ataques a la infraestructura — dirigidos a claves privadas, sistemas de billeteras y a los humanos que los gestionan — representaron el 76 % de todas las criptomonedas robadas, sumando un total de $ 2200 millones en solo 45 incidentes. El Grupo Lazarus, la unidad de hackeo patrocinada por el estado de Corea del Norte, ha perfeccionado un manual de estrategias que hace que la seguridad tradicional de almacenamiento en frío carezca casi de sentido: campañas de infiltración de un mes de duración que se dirigen a las personas, no al código.

El cambio que nadie vio venir: de exploits de código a exploits humanos

Durante años, la industria cripto invirtió miles de millones en auditorías de contratos inteligentes, verificación formal y bug bounties. La premisa era simple: asegurar el código es asegurar los fondos. Pero mientras los desarrolladores reforzaban la lógica on-chain, los atacantes pivotaron hacia un objetivo mucho más blando: los humanos que operan la infraestructura.

Según el Informe de Criptocrimen 2026 de TRM Labs, los vectores de ataque experimentaron un cambio estructural en 2025. Los ataques a la infraestructura — compromisos de claves privadas, frases semilla, sistemas de orquestación de billeteras, acceso privilegiado e interfaces front-end — generaron pérdidas de 2200millonesen45incidentes,conunpromediodeaproximadamente2200 millones en 45 incidentes, con un promedio de aproximadamente 48.5 millones por incidente. Los exploits de contratos inteligentes, que alguna vez fueron la amenaza dominante, pasaron a un segundo plano.

Los hackers norcoreanos lideraron esta transformación. El Grupo Lazarus (también conocido como TraderTraitor) robó $ 2020 millones en criptomonedas en 2025, un aumento del 51 % interanual, a pesar de realizar un 74 % menos de ataques conocidos. El cálculo es escalofriante: menos operaciones, botines significativamente mayores y un enfoque estratégico en la infraestructura de cold wallets en exchanges centralizados.

Anatomía de un ataque de un mes: el caso de estudio de Bybit

El robo a Bybit en febrero de 2025 — $ 1500 millones en ETH robados en una sola operación — es el caso de estudio definitivo sobre cómo el Grupo Lazarus compromete las cold wallets. El ataque no fue un hackeo en el sentido tradicional. Fue una infiltración en la cadena de suministro cuidadosamente orquestada que se desarrolló durante semanas.

Fase 1: Ingeniería social en la cadena de suministro

Lazarus no atacó a Bybit directamente. En su lugar, identificaron a un desarrollador en Safe{Wallet} (anteriormente Gnosis Safe), la plataforma multifirma de terceros en la que Bybit confiaba para la gestión de sus cold wallets. Mediante ingeniería social — probablemente una combinación de ofertas de trabajo falsas, propuestas de inversión y conversaciones profesionales prolongadas — los atacantes comprometieron la estación de trabajo del desarrollador.

Fase 2: Recolección de credenciales y movimiento lateral

Una vez dentro de la máquina del desarrollador, los atacantes extrajeron tokens de sesión de AWS, eludiendo por completo la autenticación de múltiples factores (MFA). Se movieron lateralmente hacia la infraestructura de AWS de Safe{Wallet}, obteniendo acceso al pipeline de despliegue que servía la interfaz de usuario de la billetera a clientes como Bybit.

Fase 3: Manipulación de la interfaz de usuario e interceptación de transacciones

Con acceso al sistema de despliegue, Lazarus inyectó JavaScript malicioso en la interfaz de Safe{Wallet}. Cuando el CEO de Bybit, Ben Zhou, inició lo que parecía ser una transferencia rutinaria de una cold wallet a una hot wallet, la interfaz manipulada mostró una transacción de apariencia legítima. Detrás de escena, el código redirigió más de 400 000 ETH a billeteras controladas por Lazarus. Todos los firmantes de la multifirma aprobaron la transacción; no tenían forma de detectar la manipulación a través de la interfaz comprometida.

Fase 4: Lavado rápido

En un plazo de 48 horas, al menos $ 160 millones de los fondos robados fueron lavados a través de THORChain y redes de "lavandería china" OTC — corredores clandestinos profesionalizados que absorben activos robados y liquidan fuera de la cadena (off-chain).

El manual de preparación: semanas de reconocimiento invisible

Lo que hace que el Grupo Lazarus sea excepcionalmente peligroso es la paciencia y la profundidad de su preparación. El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha documentado su metodología en detalle.

Reclutadores falsos e ingeniería social extendida

Los operativos de Lazarus crean perfiles pulidos en LinkedIn haciéndose pasar por reclutadores, inversores de capital de riesgo o posibles socios comerciales. Entablan conversaciones con los objetivos que se extienden durante semanas, realizando reuniones de presentación falsas y llamadas de debida diligencia. Durante estas interacciones, hacen preguntas detalladas sobre los sistemas internos, las prácticas de seguridad y los flujos de trabajo de la infraestructura, mapeando silenciosamente dónde podría estar el acceso más débil.

Infiltración a través del empleo

In 2024, más de una docena de empresas de criptomonedas fueron infiltradas por hackers norcoreanos que se hicieron pasar por trabajadores de TI legítimos para obtener acceso a los sistemas internos. Estos operativos utilizaron identidades falsas para conseguir puestos remotos en empresas tecnológicas y de criptomonedas, ganando salarios que financiaban al régimen mientras recopilaban inteligencia para futuros ataques.

Engaño mejorado por IA

Desde al menos octubre de 2024, Lazarus ha integrado técnicas impulsadas por IA en sus operaciones. El contenido e imágenes generados por IA aumentan la credibilidad de sitios web y perfiles sociales falsos. La tecnología deepfake permite la suplantación de identidad durante las videollamadas. Los mensajes de phishing elaborados por IA están altamente personalizados, haciendo referencia a proyectos específicos y terminología interna que solo alguien con conocimientos internos usaría.

Compromiso del entorno del desarrollador

Lazarus distribuye frecuentemente malware a través de "pruebas de codificación" falsas o paquetes npm comprometidos. Una vez que la estación de trabajo de un desarrollador se ve comprometida, los atacantes extraen claves SSH, cookies del navegador, tokens de la nube y credenciales de sesión para moverse lateralmente a través de los sistemas de infraestructura. En una campaña, se explotó una vulnerabilidad de día cero en Chrome a través de un sitio web de juegos de apariencia legítima para desplegar malware dirigido a desarrolladores de criptomonedas.

Por qué las cold wallets no son suficientes

El ataque a Bybit expuso un error de concepto fundamental: el almacenamiento en frío (cold storage) es una tecnología, pero la seguridad es un problema operativo. Una cold wallet con claves almacenadas fuera de línea es solo tan segura como el flujo de trabajo de firma, las interfaces utilizadas para construir transacciones, los seres humanos que las aprueban y la cadena de suministro de software de la que dependen.

La ilusión de la multifirma (Multisig)

Las billeteras multifirma tradicionales como Safe{Wallet} requieren múltiples firmantes para autorizar una transacción, lo que crea la apariencia de una seguridad sólida. Pero si todos los firmantes interactúan con la misma interfaz comprometida, la multifirma no ofrece protección adicional. Los atacantes de Bybit no necesitaron robar claves privadas. Solo necesitaron que los firmantes legítimos aproparan una transacción maliciosa.

Dependencias de la cadena de suministro

Los exchanges centralizados dependen de proveedores de billeteras de terceros, infraestructura en la nube, servicios de firma y pipelines de despliegue. Cada dependencia es una superficie de ataque. El Grupo Lazarus se dirige específicamente a estos proveedores upstream porque comprometer a un solo desarrollador en un proveedor de billeteras puede desbloquear el acceso a miles de millones de dólares en múltiples exchanges.

La vulnerabilidad del nuevo empleado

Las investigaciones de Keepnet Labs muestran que los nuevos empleados tienen un 44 % más de probabilidades de ser víctimas de phishing durante sus primeros 90 días. En la industria cripto, que se mueve rápidamente y donde la contratación es agresiva y la incorporación a menudo apresurada, esto crea una vulnerabilidad persistente que Lazarus explota activamente.

La respuesta de la industria: de la multifirma a MPC

El atraco a Bybit forzó una reconsideración. La mayoría de los exchanges de primer nivel han migrado o están migrando activamente de las billeteras multifirma tradicionales a la tecnología de Computación Multipartita (MPC).

Cómo MPC cambia las reglas del juego

MPC divide las claves privadas en múltiples fragmentos (shards) cifrados distribuidos entre diferentes partes y entornos. A diferencia de la multifirma, la clave completa nunca existe en una sola ubicación, ni siquiera durante el proceso de firma. Esta arquitectura hace que las técnicas de "suplantación de UI" (UI spoofing) e "ice phishing" utilizadas por Lazarus sean casi imposibles de ejecutar.

Las ventajas clave de MPC para la seguridad de las cold wallets incluyen:

  • Sin punto único de compromiso: Los fragmentos de la clave se generan y almacenan de forma independiente, por lo que comprometer a una de las partes no expone la clave completa
  • Recuperación sin semilla (seedless): Elimina la vulnerabilidad de la frase semilla (seed phrase) que los atacantes suelen tomar como objetivo
  • Rotación de claves sin cambios de dirección: Permite la actualización regular de las claves sin interrumpir las direcciones de la blockchain
  • Ejecución respaldada por hardware: Cuando se combina con HSM (Módulos de Seguridad de Hardware), las operaciones de firma ocurren dentro de hardware resistente a manipulaciones que borra los secretos ante una brecha física

La capa HSM

Las implementaciones de grado empresarial combinan MPC con HSM certificados bajo FIPS 140-2 y -3. Estos dispositivos nunca exponen las claves privadas a la memoria externa, imponen límites de velocidad en la firma (por ejemplo, limitando los retiros a 1,000 BTC por hora) y mantienen registros listos para auditoría de cada operación de clave. El Offline Signing Orchestrator (OSO) de IBM ejemplifica este enfoque, manteniendo las claves privadas y los procesos de firma completamente fuera de línea mientras admite niveles operativos hot, warm y cold.

El futuro híbrido

El consenso emergente apunta hacia arquitecturas híbridas: MPC para custodia institucional y distribución de claves, TEE (Entornos de Ejecución Confiables) para operaciones de cara al usuario y HSM para los flujos de trabajo de firma más críticos para la seguridad. La abstracción de cuentas (account abstraction) desacopla aún más a los firmantes de las cuentas, permitiendo flujos de trabajo de aprobación multinivel que reflejan la gobernanza corporativa tradicional.

Estrategias defensivas para 2026

El FBI, Chainalysis y las principales empresas de seguridad han convergido en un conjunto de recomendaciones defensivas:

Seguridad operativa

  • Implementar controles de acceso estrictos y segmentación de infraestructura para que el compromiso de un sistema no otorgue acceso a la infraestructura de firma
  • Requerir aprobaciones de transacciones de múltiples partes a través de redes físicamente separadas y no conectadas
  • Imponer la autenticación respaldada por hardware (YubiKey o similar); nunca usar 2FA basado en SMS o aplicaciones para operaciones privilegiadas
  • Programar revisiones de seguridad trimestrales y aplicar parches inmediatamente después de su lanzamiento

Defensas de la capa humana

  • Adoptar el "escepticismo radical" como política: asumir que cada mensaje no solicitado es un intento potencial de ingeniería social
  • Ampliar la capacitación en seguridad durante la incorporación, particularmente durante los primeros 90 días cuando los empleados son más vulnerables
  • Verificar todas las comunicaciones a través de canales internos establecidos; nunca actuar según solicitudes recibidas a través de plataformas de mensajería externas
  • No almacenar frases semilla, claves privadas o credenciales de billetera en ningún dispositivo conectado a Internet

Reforzamiento de la cadena de suministro

  • Auditar y monitorear a todos los proveedores de billeteras de terceros, servicios de firma y pipelines de despliegue
  • Implementar la firma de código y la verificación de integridad para todo el software en el flujo de trabajo de la transacción
  • Restringir el acceso a repositorios de código confidenciales, documentación de red y configuraciones de infraestructura
  • Utilizar máquinas dedicadas con "air-gap" (aislamiento físico) para la firma de transacciones; computadoras que nunca se hayan conectado a Internet

Seguro y planificación de recuperación

  • Obtener un seguro específico para criptomonedas para activos digitales (los principales custodios ahora ofrecen coberturas que van desde los 100 millones hasta los 1,000 millones de dólares)
  • Mantener planes de respuesta ante incidentes que tengan en cuenta los compromisos de la cadena de suministro, no solo las brechas directas
  • Monitorear analíticas de blockchain en busca de patrones de transacciones anómalos que puedan indicar flujos de trabajo de firma comprometidos

La carrera armamentista que se avecina

De cara a 2026, los expertos en seguridad advierten que el panorama de amenazas se intensificará. La ingeniería social mejorada con IA se está volviendo más automatizada y convincente. Las herramientas de phishing como servicio impulsaron un aumento del 1,400 % interanual en las estafas de suplantación de identidad. Los operativos de Corea del Norte se están expandiendo más allá de los exchanges centralizados hacia las finanzas descentralizadas y las monedas de privacidad.

La incómoda verdad es que el modelo de seguridad de la industria cripto ha estado al revés. Pasó años fortaleciendo el código mientras dejaba a los humanos — la superficie de ataque real — relativamente desprotegidos. Los ataques de preparación de un mes del Grupo Lazarus demuestran que la seguridad no es un producto que se compra. Es una disciplina operativa continua que debe abarcar a cada persona, proceso y dependencia en la cadena entre una clave privada y una transacción firmada.

Los exchanges que sobrevivan al próximo ataque a escala de Bybit serán aquellos que traten su infraestructura de firma como una operación de grado militar: acceso compartimentado, verificación de confianza cero (zero-trust), límites impuestos por hardware y la suposición de que cada humano en la cadena es un punto potencial de compromiso — no porque no sean dignos de confianza, sino porque son humanos.

Construir una infraestructura de blockchain segura requiere confiabilidad de grado empresarial en cada capa. BlockEden.xyz proporciona endpoints de RPC de alta disponibilidad y servicios de API en más de 20 redes de blockchain, con la seguridad operativa y el monitoreo que exigen las aplicaciones institucionales. Explore nuestro mercado de API para construir sobre una infraestructura diseñada para la resiliencia.

Share on Twitter