CEOs falsos en Zoom: Cómo las campañas de deepfake de Corea del Norte están vaciando las carteras de criptomonedas
Un cofundador de Polygon descubre que hay personas desconocidas que le preguntan si realmente está en una llamada de Zoom con ellos. Un organizador de BTC Prague observa cómo una convincente réplica generada por IA de un conocido CEO de criptomonedas aparece en pantalla, solo para que se le pida que ejecute una "corrección de audio rápida". El fundador de una startup de IA evita la infección al insistir en usar Google Meet — y los atacantes desaparecen. Estas no son escenas de un thriller ciberpunk. Sucedieron a principios de 2026 y comparten un hilo común: la máquina de ingeniería social de deepfakes de Corea del Norte, que evoluciona rápidamente.
De exploits de protocolos a exploits humanos
Durante años, las peores pesadillas de la industria de las criptomonedas se presentaron en forma de errores en contratos inteligentes y vulnerabilidades en puentes (bridges). El Grupo Lazarus de Corea del Norte — y sus subgrupos como UNC1069 — cumplieron con creces, llevando a cabo robos que acapararon titulares, como el exploit de Ronin Network de 620 millones de dólares en 2022 y la brecha del exchange Bybit de 1,500 millones de dólares en febrero de 2025. Pero mientras la industria ha estado invirtiendo recursos en auditorías de código, verificación formal y recompensas por errores (bug bounties), Pionyang ha pivotado silenciosamente.
El cambio se hizo inconfundible a finales de 2025. Según Chainalysis, actores vinculados a Corea del Norte robaron 2,020 millones de dólares en activos digitales a lo largo de 2025 — un aumento interanual del 51 % con respecto a los 1,340 millones de dólares sustraídos en 2024. Las operaciones de la RPDC representan ahora aproximadamente el 76 % de todos los compromisos de servicios de criptomonedas a nivel mundial, elevando la estimación acumulada del límite inferior del robo de criptomonedas norcoreano a más de 6,750 millones de dólares.
Pero la verdadera historia no es solo la cifra en dólares, sino el método. La ingeniería social, impulsada por deepfakes generados por IA, se ha convertido en el principal vector de ataque, superando por primera vez a los exploits de contratos inteligentes.
Dentro del manual de deepfakes en Zoom
La división Mandiant de Google Cloud publicó un informe detallado en febrero de 2026 atribuyendo una ola de ataques mediante videollamadas con deepfakes a UNC1069, un grupo de amenazas con motivaciones financieras y vínculos de alta confianza con Corea del Norte. Monitoreado desde 2018, UNC1069 pasó del spear-phishing y los ataques a las finanzas tradicionales a centrarse en la industria Web3 a partir de 2023.
El manual de ataque sigue un patrón inquietantemente eficaz:
-
Paso 1 — Comprometer una identidad de confianza. Los atacantes obtienen acceso a la cuenta de Telegram o al perfil de LinkedIn de un ejecutivo de criptomonedas. En un caso documentado, secuestraron la cuenta de un conocido CEO de criptomonedas y la utilizaron para contactar a objetivos secundarios.
-
Paso 2 — Programar una reunión. La víctima recibe lo que parece ser una invitación a una reunión legítima, a menudo a través de Calendly, para una videollamada de 30 minutos. El enlace, sin embargo, redirige a un dominio que imita convincentemente a Zoom.
-
Paso 3 — Desplegar el deepfake. Cuando la víctima se une, ve una transmisión de video generada por IA de una figura conocida de la industria: un socio de capital de riesgo (VC), un colega fundador o el CEO de una empresa de la cartera. El deepfake es lo suficientemente convincente como para pasar una breve inspección visual.
-
Paso 4 — Activar la infección ClickFix. Fingiendo problemas de audio, el atacante le pide a la víctima que ejecute una "corrección rápida" — típicamente un comando de terminal en macOS o un script de PowerShell en Windows. Esta es la técnica ClickFix: un método de ingeniería social que engaña a las víctimas para que infecten sus propias máquinas, eludiendo por completo los controles de seguridad tradicionales.
El arma ClickFix: siete familias de malware y sumando��
ClickFix se ha convertido en una de las técnicas de entrega de malware más efectivas en 2026 precisamente porque explota la confianza en lugar de la tecnología. La víctima ejecuta voluntariamente el comando malicioso, creyendo que está resolviendo un problema técnico trivial.
La investigación de Mandiant reveló que UNC1069 despliega al menos siete familias de malware únicas a través de este vector, incluyendo herramientas no documentadas anteriormente:
- SILENCELIFT — una herramienta de reconocimiento de host que captura datos del sistema y configuraciones de billeteras de criptomonedas.
- DEEPBREATH — un módulo de persistencia diseñado para sobrevivir a reinicios y mantener el acceso por puerta trasera (backdoor).
- CHROMEPUSH — una carga útil dirigida a navegadores que extrae credenciales guardadas y datos de extensiones de criptomonedas de más de 25 navegadores.
- BIGMACHO — una puerta trasera específica para macOS desplegada a través de señuelos de video deepfake.
Estas herramientas se dirigen a 103 extensiones de criptomonedas de Chrome, incluyendo MetaMask, Exodus y Trust Wallet. El enfoque de la campaña en macOS es deliberado — los fundadores y desarrolladores de criptomonedas utilizan de manera desproporcionada hardware de Apple, y casi todos los stealers de macOS en circulación priorizan el robo de billeteras de criptomonedas por encima de cualquier otro objetivo.
Fundadores reales, encuentros muy cercanos
Las historias humanas detrás de estos ataques ilustran tanto la sofisticación como la vulnerabilidad.
Sandeep Nailwal, cofundador de Polygon, dio la alarma públicamente cuando varios contactos le enviaron mensajes por Telegram preguntándole si estaba en ese momento en una llamada de Zoom con ellos. Los atacantes habían utilizado un deepfake de Nailwal para realizar reuniones falsas simultáneas con varios objetivos, aprovechando su reputación como una figura conocida de la industria.
Martin Kuchař, cofundador de BTC Prague, fue blanco de un ataque a través de una cuenta de Telegram comprometida y una videollamada preparada para introducir malware disfrazado de una corrección de audio de Zoom. La sofisticación del montaje — desde la invitación de calendario con apariencia legítima hasta el video deepfake en tiempo real — subrayó cuánto han evolucionado estas campañas más allá de los correos electrónicos básicos de phishing.
Eugene Vyborov, CEO de Ability AI, proporcionó un ejemplo de manual sobre cómo sobrevivir a un intento. Cuando los atacantes lo redirigieron a una página de "ayuda" de Zoom falsa con comandos de terminal para ejecutar, dejó de interactuar e insistió en cambiar a Google Meet. Los atacantes se negaron, citando "políticas de la empresa", y luego borraron rápidamente toda la conversación de Telegram — una señal reveladora de la naturaleza guionizada de la operación.
La IA como espada y escudo
Lo que hace que esta nueva generación de ataques sea particularmente alarmante es el propio uso de herramientas de IA por parte de los atacantes. Según la investigación de inteligencia de amenazas de Google, se ha observado a UNC1069 utilizando Gemini AI de Google para desarrollar herramientas, realizar investigaciones operativas sobre posibles víctimas y generar las imágenes y videos de deepfake utilizados en sus campañas.
Esto crea una carrera armamentista asimétrica. El costo de producir un deepfake convincente se ha desplomado, mientras que el costo de verificar la identidad en tiempo real sigue siendo alto. Un informe de investigación de Bitget encontró que las estafas de suplantación de identidad impulsadas por IA contribuyeron a un aumento de $ 4.6 mil millones en el fraude cripto en 2025, y la trayectoria para 2026 no muestra signos de desaceleración.
Las implicaciones se extienden más allá de los objetivos individuales. Cuando los atacantes pueden suplantar de manera convincente a VCs, fundadores y ejecutivos, el tejido de confianza que sustenta el cierre de tratos, las votaciones de gobernanza y las negociaciones de asociaciones comienza a deshilacharse. Una sola llamada de deepfake exitosa puede comprometer no solo una billetera, sino el acceso a la tesorería de toda una organización.
Defendiéndose contra la amenaza de los deepfakes
La respuesta de la industria cripto aún está madurando, pero están surgiendo varios patrones defensivos:
Verificar a través de un segundo canal. La defensa individual más efectiva demostrada en los incidentes de 2026 es la verificación fuera de banda. Antes de ejecutar cualquier acción solicitada durante una videollamada, confirme la identidad del participante a través de un canal de comunicación separado — una llamada telefónica, un mensaje de Signal o incluso una palabra clave compartida previamente.
Rechazar exigencias específicas de plataforma. La insistencia de Eugene Vyborov en Google Meet fue efectiva precisamente porque la infraestructura de los atacantes fue construida a propósito para un Zoom falso. Cualquier insistencia en una plataforma específica, especialmente combinada con excusas sobre la "política de la empresa", debe tratarse como una señal de alerta.
Nunca ejecutar comandos de terminal desde una llamada. Ninguna reunión de negocios legítima requiere que los participantes ejecuten comandos de shell o instalen software. Esto se aplica independientemente de quién aparezca en pantalla. Las organizaciones deben establecer políticas explícitas: los participantes de videollamadas nunca solicitan la ejecución de comandos.
Adoptar la firma de transacciones basada en hardware. Las billeteras de hardware que requieren confirmación física para las transacciones permanecen inmunes a los compromisos de software impulsados por deepfakes. Las configuraciones de múltiples firmas (multi-signature) añaden capas adicionales que la ingeniería social por sí sola no puede eludir.
Implementar la verificación Know Your Agent (KYA). A medida que los agentes de IA participan cada vez más en las operaciones cripto, verificar la identidad y la autorización de los participantes tanto humanos como automatizados se vuelve crítico. Los estándares emergentes de KYA tienen como objetivo proporcionar pruebas criptográficas de la identidad de los participantes antes de realizar acciones de alto valor.
Qué viene a continuación
La operación de robo de criptomonedas de Corea del Norte no es una empresa criminal marginal — es un programa patrocinado por el estado que genera miles de millones en ingresos anualmente, financiando programas de armas y eludiendo sanciones internacionales. El cambio de los exploits de protocolos a la ingeniería social con deepfakes representa un cálculo estratégico: a medida que la seguridad de los contratos inteligentes mejora, los humanos siguen siendo el objetivo más vulnerable.
Las campañas de deepfake de 2026 revelan un actor de amenazas que se adapta más rápido que muchos defensores. El conjunto de herramientas de UNC1069 se desarrolla activamente con asistencia de IA, su arsenal de malware sigue expandiéndose y sus guiones de ingeniería social se perfeccionan con cada intento fallido. Las variantes de ClickFix — FileFix, JackFix, ConsentFix, CrashFix, GlitchFix — que proliferan por todo el ecosistema sugieren que la efectividad de la técnica ha atraído a imitadores más allá de los actores estatales de Corea del Norte.
Para la industria cripto, la lección es clara: el próximo hackeo de mil millones de dólares podría no explotar una línea de Solidity. Podría comenzar con una cara amable en Zoom pidiéndote que arregles tu audio.
Construir una infraestructura de blockchain segura comienza con servicios de nodos y APIs confiables y de nivel empresarial. BlockEden.xyz ofrece endpoints RPC de alta disponibilidad en las cadenas principales — para que los desarrolladores puedan centrarse en crear aplicaciones resilientes sin preocuparse por las vulnerabilidades de la infraestructura.