Miles de millones desaparecen: los descarados robos de criptomonedas atribuidos a una nación rebelde.

La campaña de infiltración de seis meses de Corea del Norte en Drift sacudió una industria criptográfica que ya se tambaleaba por hazañas de miles de millones de dólares.

Pero a medida que se difundió la noticia, surgió una pregunta más importante: ¿por qué Corea del Norte sigue volviendo a las criptomonedas en primer lugar y por qué su enfoque parece tan diferente de cualquier otra operación de piratería respaldada por el Estado en el planeta?

La respuesta corta, según los expertos en seguridad, es que las criptomonedas ayudan a darle al régimen un flujo de ingresos y a mantenerlo a flote.

"Corea del Norte no puede darse el lujo de tener paciencia", dijo Dave Schwed, director de operaciones de SVRN y fundador del programa de maestría en ciberseguridad de la Universidad Yeshiva. "Están bajo sanciones internacionales integrales y necesitan divisas fuertes para financiar programas de armas. La ONU y múltiples agencias de inteligencia han confirmado que el robo de criptomonedas es un mecanismo de financiación principal para su desarrollo de misiles nucleares y balísticos".

Esa urgencia explica una dinámica que ha desconcertado a los investigadores durante mucho tiempo: por qué los piratas informáticos norcoreanos llevan a cabo atracos rastreables a gran escala en cadenas de bloques públicas en lugar de utilizar silenciosamente criptomonedas para evadir sanciones como lo hacen otros actores estatales.

La respuesta, sostiene Schwed, es estructural. Rusia todavía tiene una economía: petróleo, gas, exportaciones de materias primas y socios comerciales dispuestos a utilizar soluciones alternativas. Necesita criptomonedas como vía de pago, pero no para mucho más. Irán también tiene bienes que transportar: petróleo sancionado, redes de financiación indirectas e intermediarios dispuestos en todo Medio Oriente. A Corea del Norte no le queda casi nada que vender.

"Sus exportaciones están casi totalmente sancionadas. No tienen una economía funcional que necesite un sistema de pago. Necesitan ingresos directos", dijo Schwed. "El robo de criptomonedas les da acceso inmediato a valor líquido, a nivel mundial, sin necesidad de una contraparte dispuesta a hacer negocios con ellos".

Esa distinción (cripto como infraestructura versus cripto como objetivo) es lo que separa a Corea del Norte no sólo de Rusia, sino también de Irán. Mientras que Rusia envía dinero a través de criptomonedas para evitar las sanciones, e Irán lo utiliza para financiar redes proxy en todo el Medio Oriente, Corea del Norte está ejecutando algo más cercano a una operación de atraco patrocinada por el estado.

"Sus objetivos son los intercambios, los proveedores de billeteras, los protocolos DeFi y los ingenieros y fundadores individuales que tienen autoridad de firma o acceso a la infraestructura", dijo Alexander Urbelis, director de seguridad de la información de ENS Labs y profesor de ciberseguridad en el King's College de Londres. "La víctima es quien posee las llaves o accede a la infraestructura que posee las llaves".

Rusia e Irán, en comparación, tratan las criptomonedas como algo incidental, un medio para fines geopolíticos más amplios.

"Rusia apunta a las elecciones, la infraestructura energética y los sistemas gubernamentales. Irán persigue a los disidentes y adversarios regionales", dijo Urbelis. "Cuando cualquiera de ellos toca las criptomonedas, es para mover dinero, no para robarlo del ecosistema".

Ese enfoque singular ha empujado a los agentes norcoreanos a adoptar tácticas más comúnmente asociadas con agencias de inteligencia que con piratas informáticos criminales: construcción de relaciones de meses de duración, identidades fabricadas e infiltración en la cadena de suministro.

La campaña Drift es sólo el ejemplo más reciente.

"No te estás defendiendo de un correo electrónico de phishing de un estafador al azar", dijo Urbelis. "Te estás defendiendo de alguien que pasó seis meses construyendo una relación específicamente para comprometer a una persona que tiene el acceso que necesitas proteger".

La propia arquitectura de Crypto la convierte en un coto de caza excepcionalmente atractivo. En las finanzas tradicionales, incluso los hackeos exitosos se topan con fricciones en forma de controles de cumplimiento, controles bancarios corresponsales, retrasos en la liquidación y la posibilidad de revertir transferencias fraudulentas. Cuando los piratas informáticos de Corea del Norte llevaron a cabo el robo del Banco de Bangladesh en 2016, el atraco tardó días en procesarse y la mayoría de los fondos finalmente fueron recuperados o bloqueados. En criptografía, ninguna de esas salvaguardas existe a nivel de protocolo.

"Una vez que una transacción se firma y confirma, es definitiva", dijo Urbelis. El exploit de Bybit a principios del año pasado movió 1.500 millones de dólares en aproximadamente 30 minutos, un ritmo y una escala que serían casi imposibles en el sistema bancario tradicional.

Esa finalidad cambia fundamentalmente el cálculo de la seguridad. En la banca, se puede construir una defensa razonable a través de la prevención, la detección y la respuesta, porque siempre hay una ventana para congelar fondos o revertir una transferencia. En criptografía, esa ventana apenas existe, lo que significa que detener un ataque antes de que ocurra no sólo es preferible: es esencialmente la única opción.

Y si bien los bancos operan bajo décadas de orientación regulatoria y requisitos de auditoría, muchos proyectos criptográficos todavía están improvisando, a menudo priorizando la velocidad y la innovación sobre la gobernanza y los controles.

Esa brecha crea un entorno en el que incluso los equipos sofisticados pueden ser vulnerables, particularmente al tipo de tácticas de infiltración a largo plazo que Corea del Norte ha estado perfeccionando.

"Este es el problema de seguridad operativa más difícil en cripto en este momento", dijo Urbelis sobre el ch