Proyecto Ketman: Cómo 100 operativos norcoreanos se infiltraron en la Web3
Cien operativos de Corea del Norte. Cincuenta y tres proyectos de criptomonedas. Seis meses de un paciente trabajo de inteligencia — y la incómoda conclusión de que el ataque más peligroso de la RPDC contra la Web3 no es el próximo exploit, sino el ingeniero que ya integró (merged) código en tu rama main el trimestre pasado.
Ese es el hallazgo principal del Proyecto Ketman, una iniciativa respaldada por la Fundación Ethereum que opera bajo el programa de seguridad ETH Rangers. Su revelación de abril de 2026 no describe un hackeo. Describe una fuerza laboral — una red de suministro de mano de obra a largo plazo que ha estado canalizando silenciosamente ingresos para la RPDC a través de nóminas de cripto, mientras establece el tipo de acceso interno que hace posibles eventos como el robo de 1,500 millones de dólares de Bybit en primer lugar.
Para una industria condicionada a pensar en el riesgo de la RPDC como algo que ocurre en la multisig, este es un cambio de categoría. La amenaza ya no es solo "van a entrar". Es "ya están dentro, y ellos escribieron el script de construcción (build script)".
De los Atracos Rápidos a los Salarios
Durante años, la cara pública de los delitos cripto de Corea del Norte fue el exploit: Ronin, Atomic Wallet, WazirX y una larga lista de drenajes de puentes (bridges) atribuidos al Grupo Lazarus. Las cifras son asombrosas — Chainalysis contabilizó aproximadamente 2,020 millones de dólares robados por actores vinculados a la RPDC solo en 2025, un salto del 51 % interanual que llevó el robo acumulado por encima de los 6,750 millones de dólares, a pesar de que hubo un 74 % menos de ataques conocidos. Pagos más grandes, menos intentos.
El incidente de Bybit en febrero de 2025 — 1,500 millones de dólares en ETH, drenados a través de una interfaz de Safe Wallet comprometida que recibió JavaScript malicioso desde la máquina de un desarrollador — fue la demostración más clara de hacia dónde se dirige esto. No fue un error de contrato inteligente. Fue un compromiso de la cadena de suministro. Alguien, en algún punto del proceso, tenía un acceso que no debía tener.
La contribución del Proyecto Ketman es mapear el lado laboral de esa economía. A través de una investigación de seis meses, identificó aproximadamente a 100 trabajadores de TI de la RPDC distintos operando dentro de organizaciones Web3 y notificó a unos 53 proyectos afectados. Muchos de estos operativos habían estado infiltrados durante meses, en algunos casos años, ocupando puestos que iban desde ingenieros contratistas hasta líderes de comunidad con acceso elevado a los repositorios.
Si se asume un salario anual conservador de 150,000 dólares por operativo, el flujo salarial por sí solo es del orden de 15 millones de dólares al año — una partida modesta al lado de un solo atraco de Lazarus, pero una fuente de ingresos estructuralmente diferente. Es recurrente. Está pre-financiada por las empresas víctimas. Y paga por el acceso que hace posibles los robos.
Qué Hace Diferente a Ketman
Las exposiciones previas de la RPDC en Web3 — Munchables (62 millones de dólares en 2024), incidentes de contratistas relacionados con Sushi, el compromiso de Axie Infinity / Ronin — fueron en gran medida reactivas. Un protocolo fue atacado. Los investigadores siguieron el hilo. Surgió un patrón.
Ketman invierte el flujo de trabajo. En lugar de rastrear un incidente individual hasta un operativo, el proyecto mapeó a los propios operativos y luego avanzó hacia los proyectos con los que habían tenido contacto. La metodología, aunque no es totalmente pública, se basa en un conjunto de técnicas que la comunidad forense on-chain ha estado perfeccionando desde el informe de CrowdStrike sobre la RPDC en 2024:
- Agrupamiento de billeteras vinculadas (Linked wallet clustering). Los salarios pagados en stablecoins eventualmente se consolidan. Una vez que encuentras una billetera en un grupo de ganancias de la RPDC, encuentras el resto.
- Análisis de la zona horaria de los commits. Un desarrollador que afirma vivir en Lisboa pero que solo realiza commits durante el horario laboral de Pyongyang, estadísticamente hablando, no está en Lisboa.
- Coincidencia de patrones de OPSEC. Avatares reutilizados en cuentas de GitHub, configuraciones de idioma ruso por defecto en el IDE de un ingeniero "japonés", filtraciones accidentales de correo electrónico durante pantallas compartidas — pequeños errores que se agregan en una identificación de alta confianza.
- Análisis forense de documentos de identidad. Ketman señaló las identificaciones japonesas falsificadas como un vector particularmente común para las contrataciones remotas de ingeniería en empresas cripto.
El resultado es algo que el aviso para trabajadores de TI de 2024 del FBI y las acciones de sanciones de la OFAC de marzo de 2026 no pudieron producir por sí solos: una lista de personas, actualmente empleadas, que actualmente están enviando código y que no deberían estar allí.
La Cadena de Suministro es Ahora la Superficie de Ataque
Aquí está la parte que debería quitarle el sueño a los CTO. Un operativo en nómina durante nueve meses no necesita hackear nada. Solo necesita esperar y luego hacer merge.
Los vectores son poco espectaculares y bien conocidos por cualquiera que haya leído un post-mortem en los últimos tres años:
- Un paquete npm republicado silenciosamente con un script malicioso post-instalación.
- Una GitHub Action con permisos más amplios de los que nadie revisó.
- Una imagen base de Docker actualizada a una versión con una capa adicional.
- Una dependencia de interfaz de usuario (UI) "inofensiva" que vigila una forma de transacción particular y la sobrescribe.
El ataque a Bybit fue la prueba de concepto a escala: un entorno de desarrollador comprometido, una carga útil (payload) inyectada en la interfaz de una billetera, y firmantes aprobando lo que parecía una transacción legítima. Se debate si ese compromiso específico se originó con un infiltrado de la RPDC o con un contratista víctima de phishing externo, pero la arquitectura del ataque — paciente, upstream y activada solo en el momento de máximo valor — es el manual de estrategias que los hallazgos de Ketman implican a escala de toda la industria.
Cuando empleas a un operativo durante un año, no le estás pagando 150,000 dólares. Le estás pagando por un solo clic, dentro de seis meses, en una transacción que vale diez mil veces esa cantidad.
Por qué la Fundación Ethereum financió la ofensiva
La señal institucional más sorprendente en la revelación de Ketman no es el número de empleados. Es el financiador.
La Fundación Ethereum históricamente ha dirigido dinero de subvenciones hacia la investigación de protocolos, la diversidad de clientes, los bienes públicos y las herramientas para desarrolladores. Financiar lo que es efectivamente una operación de inteligencia ofensiva —investigadores financiados que identifican a individuos vinculados a un estado sancionado y luego advierten a empresas privadas— es una ampliación notable de la definición de "bien público".
ETH Rangers, el programa más amplio en el que se encuentra Ketman, reporta el tipo de métricas que se esperarían de una empresa de seguridad en lugar de una fundación: 17 investigadores financiados, 5,8 millones de dólares en fondos explotados recuperados o congelados, más de 785 vulnerabilidades rastreadas, 36 respuestas a incidentes. Eso es un centro de operaciones de seguridad disfrazado de programa de subvenciones.
La implicación es que la fundación ahora trata la infosec defensiva de forma análoga a la diversidad de clientes: un problema de coordinación que ningún protocolo individual puede resolver, y uno que el ecosistema en general tiene que financiar, aparezca o no en una hoja de ruta. Dado que los actores de la RPDC han robado más de 6,75 mil millones de dólares de forma acumulada y continúan sumando, ese planteamiento es difícil de rebatir.
Qué protocolos deberían operativizar ahora
Si diriges, financias o contribuyes a un proyecto Web3, la revelación de Ketman convierte una amenaza vaga en una lista de verificación operativa inmediata. Ninguna de estas medidas es exótica. El escándalo es que aún no sean universales.
Conoce a tu empleado (Know Your Employee), no solo a tu cliente. El escrutinio de sanciones en la capa de la billetera es lo básico. El escrutinio de sanciones en la capa de la nómina —pasar cada dirección de pago de contratistas por las listas agrupadas de la OFAC— no lo es, y debería serlo. El ciclo de lavado de 45 días posterior al robo que la RPDC utiliza de manera constante significa que incluso las coincidencias de billeteras a posteriori tienen valor.
Verifica la identidad con fricción, especialmente para contrataciones remotas. Entrevistas en video en vivo utilizando múltiples canales de comunicación. Escrutinio de documentos que asuma que las identificaciones de Japón, Corea y Europa del Este son los objetivos más probables de falsificación. Búsqueda activa de artefactos de deepfake generados por IA durante las llamadas. La "prueba de Kim Jong Un" —hacer preguntas directas sobre el régimen de la RPDC que un operativo real tendrá dificultades visibles para responder ante la cámara— tiene una tasa de éxito más alta de lo que debería.
Trata tu pipeline de CI / CD como tu tesorería. Firma de código para los lanzamientos. Compilaciones reproducibles. Revisión obligatoria de dos personas para cualquier cambio en GitHub Actions, scripts de despliegue o manifiestos de dependencias. Fija las versiones. Audita las dependencias transitivas. El ataque a Bybit ocurrió porque alguien, en algún lugar, tenía acceso de escritura a una interfaz de usuario en la que los firmantes confiaban.
Aísla físicamente (Air-gap) las operaciones de claves administrativas. Si una sola computadora portátil de un desarrollador comprometida puede producir una pérdida de 1,5 mil millones de dólares, el modelo de amenazas es erróneo. Los flujos de firma aislados por hardware, la detección de firmas ciegas y la simulación de transacciones previa a la firma no son paranoia; son el costo de hacer negocios a escala.
Asume que el actor malicioso ya está dentro. El hallazgo de Ketman es que, para al menos 53 proyectos, esto era cierto. La defensa en profundidad significa diseñar como si cada commit pudiera ser hostil y cada contratista pudiera ser una fachada, y luego hacer que esa suposición sea sobrevivible en lugar de catastrófica.
La guerra silenciosa es la verdadera guerra
La aplicación de sanciones persigue los eventos ruidosos. Las designaciones de la OFAC en marzo de 2026 de seis individuos y dos entidades vinculadas al fraude de trabajadores de TI de la RPDC —esquemas que generaron casi 800 millones de dólares para el régimen solo en 2024— fueron un paso significativo. También lo fueron los 5,8 millones de dólares en fondos que ETH Rangers ayudó a recuperar. Ambos son necesarios.
Pero la contribución del Proyecto Ketman es insistir en que los eventos más ruidosos —los Bybits, los Ronins, los Munchables— son consecuencia de uno más silencioso. La infiltración es la campaña. El exploit es simplemente cuando se cobra.
Para la Web3, esto significa que el perímetro de seguridad se ha movido. Ya no está en el límite del contrato o en la interfaz de la billetera. Está en la solicitud de empleo, en el commit de GitHub, en la publicación de npm. Y el costo de fingir lo contrario ahora se denomina en miles de millones por año.
Los protocolos que sobrevivan a la próxima década serán aquellos que interioricen una verdad dura: en una industria donde el código es dinero y el trabajo remoto es la norma, tu embudo de contratación es tu superficie de ataque.
BlockEden.xyz opera infraestructura de RPC e indexación de nivel de producción para Sui, Aptos, Ethereum, Solana y una docena de otras cadenas; el tipo de infraestructura donde la integridad de la cadena de suministro, los lanzamientos firmados y las operaciones de claves aisladas no son opcionales. Explora nuestro mercado de APIs para construir sobre una infraestructura diseñada para el modelo de amenazas al que la industria se enfrenta realmente.