Cómo los agentes norcoreanos orquestaron un cripto atraco de 270 millones de dólares después de meses de infiltración de pacientes

El 1 de abril, Drift Protocol sufrió una catastrófica violación de seguridad de 270 millones de dólares luego de una extensa campaña de infiltración orquestada por un colectivo de piratería respaldado por el estado de Corea del Norte que duró aproximadamente medio año. 🚨COREA DEL NORTE ACABA DE REALIZAR EL HACK MÁS ATERRIZANTE EN LA HISTORIA DE LAS CRIPTOGRAFÍAS... Y LES TOMÓ 6 MESES DE PACIENCIA... No enviaron un correo electrónico de phishing... No explotaron un contrato inteligente... Construyeron una relación... Otoño de 2025... Una "empresa comercial cuantitativa" se acerca a Drift... https://t.co/pTScEhV9sb pic.twitter.com/z8awPLGQ7l — Evan Luthra (@EvanLuthra) 5 de abril de 2026 La sofisticada operación comenzó en una destacada conferencia sobre criptomonedas durante el otoño de 2025. Los perpetradores se hicieron pasar con éxito por representantes de una operación comercial cuantitativa y llegaron con conocimientos técnicos integrales, credenciales profesionales autenticadas y familiaridad detallada con la infraestructura y las operaciones de Drift. Las comunicaciones iniciales se establecieron a través de un canal de Telegram, iniciando meses de diálogo sostenido. Las discusiones se centraron en temas típicos de las asociaciones comerciales institucionales: protocolos de integración de bóvedas, metodologías comerciales estratégicas y marcos operativos. Durante el período de diciembre de 2025 a enero de 2026, la entidad fraudulenta estableció oficialmente una Bóveda de Ecosistema dentro del ecosistema Drift. Llevaron a cabo numerosas sesiones de trabajo colaborativo con los contribuyentes de la plataforma y desplegaron más de $1 millón en capital real, una medida calculada diseñada para establecer la autenticidad. A lo largo de febrero y marzo de 2026, el personal de Drift participó en reuniones directas cara a cara con representantes del grupo en varios lugares de conferencias internacionales en varios países. En el momento del ataque del 1 de abril, la relación había madurado durante casi medio año. La infracción se materializó mediante una estrategia de ataque de doble vector. Inicialmente, un miembro del equipo instaló una aplicación TestFlight (el sistema de distribución beta de Apple que elude los procesos de verificación de seguridad estándar de la App Store) que los atacantes habían comercializado como su solución de billetera patentada. Además, los actores de amenazas utilizaron como arma una vulnerabilidad documentada públicamente presente en VSCode y Cursor, dos entornos de desarrollo integrados predominantes. El exploit no requirió más que abrir un archivo comprometido dentro de cualquiera de los editores para ejecutar silenciosamente el código de carga útil malicioso sin activar notificaciones de usuario ni alertas de seguridad. Luego de comprometer exitosamente el dispositivo, los atacantes extrajeron metódicamente las credenciales necesarias para asegurar dos aprobaciones de billeteras multifirma. Estas transacciones preautorizadas permanecieron inactivas durante más de una semana antes de su ejecución el 1 de abril, lo que resultó en la extracción de 270 millones de dólares en sesenta segundos. Los analistas de ciberseguridad han relacionado el incidente con UNC4736, un grupo de actores de amenazas también designado como AppleJeus o Citrine Sleet. Los análisis forenses de blockchain revelaron patrones de transacciones relacionados con el compromiso de Radiant Capital de octubre de 2024, que los investigadores también atribuyeron a actores norcoreanos. En particular, las personas que aparecieron físicamente en las conferencias no eran ciudadanos norcoreanos; los grupos afiliados a la RPDC suelen emplear representantes de terceros con identidades elaboradamente fabricadas. El especialista legal en criptomonedas Ariel Givner ha indicado que el incidente constituye potencialmente una negligencia civil procesable. Enfatizó que los protocolos de seguridad fundamentales, incluido el mantenimiento de claves de firma en sistemas aislados y aislados y la realización de una verificación exhaustiva de los antecedentes de los desarrolladores encontrados en eventos de la industria, parecen haberse implementado de manera inadecuada. "Todo proyecto creíble comprende estos requisitos. Drift no los implementó", afirmó Givner. Los materiales de marketing para litigios de acción colectiva dirigidos a Drift ya están en circulación. El equipo de seguridad de Drift ha expresado una “confianza media-alta” en que actores de amenazas idénticos ejecutaron el ataque de Radiant Capital en octubre de 2024, donde se distribuyó software malicioso a través de Telegram por parte de un individuo que se hacía pasar por un excontratista.