Clonación de teléfonos y deepfakes con IA: cómo los hackers norcoreanos atacan a los profesionales de las criptomonedas

La industria de las criptomonedas se enfrenta a una nueva ola de amenazas cibernéticas. Los hackers norcoreanos, vinculados con Lazarus Group, emplean métodos innovadores de ataque, incluyendo la integración profunda de tecnologías de clonación de teléfonos y videos generados por IA. Esta combinación les permite infiltrarse en los sistemas de los profesionales de criptomonedas con una eficacia sin precedentes y robar activos digitales.

Según información de empresas de investigación, como Odaily y Huntress, los ciberdelincuentes utilizan cuentas comprometidas de Telegram para iniciar videollamadas con rostros falsificados. Se hacen pasar por conocidos, colegas o personas de confianza para convencer a las víctimas de instalar software malicioso.

Videollamadas con rostros falsificados: una nueva táctica de Lazarus Group

Martín Kucharz, cofundador de la conferencia BTC Prague, compartió detalles de uno de estos intentos. Los atacantes inician videollamadas a través de cuentas hackeadas y utilizan deepfakes generados por IA para falsificar identidades. Bajo el pretexto de solucionar problemas de audio en Zoom, persuaden a los usuarios de descargar un “plugin” o “actualización” especial.

Esto resulta ser precisamente la puerta de entrada por la cual se realiza la clonación del teléfono y la instalación de malware de múltiples niveles. La víctima, creyendo que está resolviendo un problema técnico, en realidad proporciona a los hackers acceso completo a su dispositivo.

Infección en capas: cómo el malware infecta los dispositivos

Investigaciones de Huntress revelaron que los scripts descargados pueden realizar operaciones complejas en dispositivos macOS. Los equipos infectados se convierten en objetivos para la implantación de backdoors — accesos ocultos a través de los cuales los hackers pueden regresar al sistema en cualquier momento.

Las capacidades del malware van mucho más allá del simple espionaje:

• Grabar todas las pulsaciones de teclas (incluyendo contraseñas y códigos de acceso)
• Interceptar el contenido del portapapeles (donde puede haber información sobre billeteras)
• Obtener acceso a activos cifrados y billeteras de criptomonedas
• Clonar datos del dispositivo para su uso en operaciones posteriores

Clonación de dispositivos y robo de activos cripto

Expertos de SlowMist señalan que estas operaciones muestran claros signos de una campaña planificada contra objetivos específicos. Cada ataque está cuidadosamente diseñado y adaptado a un profesional de criptomonedas o a una billetera concreta.

El grupo, también conocido como BlueNoroff, utiliza los datos de clonación del dispositivo no solo para acceso a corto plazo, sino para control a largo plazo. Pueden monitorear transacciones, rastrear movimientos de activos y esperar el momento perfecto para robarlos.

Es especialmente peligroso que la clonación del teléfono permita a los atacantes evadir los métodos tradicionales de autenticación de dos factores, que se basan en códigos SMS enviados al dispositivo de la víctima.

Protección contra ataques avanzados: medidas prácticas de seguridad

Con la expansión de las tecnologías de clonación de voz y rostros en videos y audios, los materiales multimedia dejan de ser un método confiable para verificar la autenticidad. La industria de las criptomonedas debe replantear urgentemente su enfoque de seguridad.

Los expertos recomiendan implementar las siguientes medidas:

• Autenticación multifactor (MFA) — no confiar solo en SMS, usar llaves de seguridad físicas
• Verificación de identidad a través de canales independientes — llamar a un número conocido si se duda de la autenticidad de la videollamada
• Actualizaciones de seguridad regulares — mantener siempre actualizados el software y las aplicaciones para cerrar vulnerabilidades
• Monitoreo de dispositivos — vigilar actividad inusual, procesos sospechosos, cambios en el sistema
• Aislamiento de activos críticos — guardar grandes sumas en billeteras frías, desconectadas de internet

Los hackers norcoreanos continúan perfeccionando sus tácticas, empleando tecnologías avanzadas de IA y clonación para evadir las defensas tradicionales. La industria de las criptomonedas debe mantenerse alerta y adaptar constantemente sus estrategias de seguridad para hacer frente a estas amenazas crecientes. Solo un enfoque integral de ciberseguridad, que incluya la clonación de teléfonos para detectar actividades sospechosas y fortalecer la autenticación multifactor, puede ofrecer una protección confiable para los profesionales de criptomonedas.