A través de videollamadas con deepfake: cómo los hackers norcoreanos atacan a los profesionales de criptomonedas

Los hackers que trabajan bajo el liderazgo de Corea del Norte están ampliando el arsenal de sus métodos de ataque a especialistas en la industria cripto. Un nuevo enfoque —el uso de videollamadas con deepfakes generados por IA— permite a los atacantes hacerse pasar por conocidos o contactos autorizados, y luego animar a las víctimas a instalar software malicioso. Este método demuestra lo hábil que se ha vuelto el uso de tecnologías de fusión para ciberataques.

Videollamadas como herramienta de ingeniería social

Según la empresa de investigación Huntress, el escenario del ataque se desarrolla de la siguiente manera: los atacantes secuestran las cuentas de Telegram de personas reales conocidas por la víctima objetivo. Luego inician videollamadas, durante las cuales la cara del atacante es reemplazada por un deepfake generado por IA. Esto evita las comprobaciones visuales básicas que suelen ayudar a identificar fraudes.

Martin Kuchař, coorganizador de la conferencia BTC Praga, compartió información sobre un método específico: una videollamada engañosa va acompañada de una oferta para instalar un supuesto plugin para arreglar Zoom, supuestamente para resolver problemas de audio. Una vez instalado el malware, los atacantes obtienen acceso total al dispositivo infectado y pueden robar criptoactivos, correspondencia y otros datos críticos.

Análisis técnico de malware: una infección multinivel

El malware inyectado demuestra complejidad y multifuncionalidad. En sistemas macOS, el código malicioso puede:

• desplegar puertas traseras para la gestión remota de dispositivos
• Registrar pulsaciones de teclas del usuario
• copiar contenido del portapapeles
• acceder a monederos criptográficamente seguros y sus claves privadas

Esta funcionalidad permite a los hackers no solo comprometer un dispositivo específico, sino también utilizarlo como trampolín para operaciones posteriores.

Grupo Lazarus y apoyo gubernamental

Investigadores de SlowMist y Huntress identificaron a los autores de los ataques con un alto grado de confianza. Este es el grupo norcoreano Lazarus Group, también conocido bajo el seudónimo BlueNoroff. El grupo recibe financiación y apoyo político del Estado, lo que le permite mejorar constantemente sus métodos de hacking.

Una característica característica es la reutilización de componentes de código y técnicas de ataque en múltiples operaciones. Esto indica una gobernanza centralizada y una estrategia a largo plazo para dirigirse a especialistas y traders en criptomonedas.

Cómo protegerte de ataques deepfake mediante videollamadas

La proliferación de tecnologías de síntesis facial y de voz hace que los métodos de autenticación de vídeo y audio sean poco fiables. La industria necesita replantear urgentemente su enfoque en la verificación de identidad. Las recomendaciones incluyen:

• Habilitar la autenticación multifactor (MFA) en todos los servicios críticos
• Uso de claves de seguridad por hardware en lugar de métodos de verificación por software
• Escepticismo ante videollamadas inesperadas, incluso si la persona que llama parece una cara conocida
• Actualizaciones regulares de sistemas operativos y software
• Formar al equipo para reconocer la ingeniería social

La industria cripto debe ser consciente de la magnitud de la amenaza y tomar medidas proactivas para fortalecer sus defensas.