Introducción

En la noche del 21 de febrero de 2025, el intercambio global de criptomonedas Bybit experimentó el mayor hackeo en la historia de la industria cripto. Durante la brecha, más de 500,000 ETH, stETH y mETH fueron drenados de las carteras de Bybit, con una pérdida total que superó los $1.46 mil millones basados en los precios de mercado de ese día. Los activos robados fueron trasladados rápidamente a direcciones de cartera no identificadas. Este ataque superó el hackeo de Poly Network en 2021, que vio $611 millones robados, convirtiéndolo en el robo de cripto más significativo.

Fuente: https://www.ic3.gov/PSA/2025/PSA250226

Fuente: https://x.com/benbybit/status/1894768736084885929

Fundado en 2018, Bybit es uno de los mayores intercambios de criptomonedas del mundo, con un volumen de negociación diario promedio que supera los 36 mil millones de dólares. Según CoinMarketCap, Bybit tenía aproximadamente 16.2 mil millones de dólares en activos antes del hackeo, lo que significa que el Ethereum robado representaba alrededor del 9% de sus tenencias totales.

El analista en cadena ZachXBT proporcionó pruebas que sugieren que el hackeo probablemente fue realizado por el grupo de hackeo vinculado a Corea del Norte, Lazarus Group. Recibió una recompensa de $30,000 por su investigación sobre la vulnerabilidad.

Fuente: https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Cronología del Incidente

El Hack

Los atacantes utilizaron una interfaz de usuario falsificada (UI) para infiltrarse en la computadora de un empleado de Safe (proveedor de monedero), apuntando específicamente al front end del sistema Safe de Bybit. Al imitar una interfaz de usuario legítima, los piratas informáticos pudieron comprometer la cartera fría de firma múltiple ETH de Bybit. Los piratas informáticos alteraron sigilosamente el contenido de la transacción durante lo que parecía ser un proceso de transacción normal.

Dado que los firmantes creían que estaban autorizando una transacción legítima, no lograron detectar que había sido reemplazada por un contrato malicioso. Esto resultó en la transferencia no autorizada de $1.46 mil millones de ETH a direcciones desconocidas controladas por los atacantes.

Flujo de ataque, métodos y defensa:

Movimiento de Fondos y Lavado de Dinero

Entre las 3:00 PM y las 4:30 PM del 21 de febrero de 2025, los hackers completaron la mayoría de las transferencias de fondos. Después del ataque, solo quedaron alrededor de $3 millones de valor de ETH en la billetera principal. El ETH robado se dividió en 40 transacciones de 10,000 ETH cada una, mientras que el stETH y mETH se distribuyeron a múltiples billeteras diferentes para ocultar el rastro de los fondos. Posteriormente, los hackers utilizaron intercambios descentralizados (DEXs) para fragmentar y blanquear aún más los fondos, con el objetivo de borrar todas las huellas.

Origen: https://www.lazarusbounty.com/es?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Impacto en el mercado

Incluso antes de que Bybit confirmara oficialmente el hackeo, tanto los precios de BTC como de ETH comenzaron a caer. Dentro de horas del anuncio, Bitcoin cayó un 3%, mientras que Ethereum cayó un 7%.

Durante el fin de semana, ETH se recuperó a USD 2,800 luego de una recompra iniciada por Bybit, pero volvió a caer el lunes. El hacker se ha convertido en el 14º mayor poseedor de ETH, y tal concentración de fondos puede ejercer una presión a la baja sobre las perspectivas del mercado de Ethereum.

Fuente: https://x.com/Bybit_Official/status/1893585578706227545

Controversia sobre Protocolos de Interconexión de Cadenas

El grupo Lazarus usa con frecuencia protocolos de intercambio entre cadenas como THORChain para convertir activos robados en Bitcoin. THORChain facilita intercambios directos entre diferentes blockchains, como ETH a BTC, sin pasar por intercambios centralizados.

Según el Explorador de THORChain, el volumen de operaciones en 24 horas del protocolo el 5 de marzo alcanzó los $93 millones. Los desarrolladores detrás del protocolo han enfrentado duras críticas por supuestamente permitir transacciones ilícitas realizadas por hackers norcoreanos.

Fuente: https://thorchain.net/dashboard

¿Qué es el Grupo Lazarus?

El Grupo Lazarus es una de las organizaciones de piratería más activas y notorias a nivel mundial. El nombre "Lázaro" proviene de la figura bíblica devuelta a la vida, simbolizando la resiliencia y el resurgimiento.

También conocido como “Guardianes,” “Paz,” o el “Equipo Whois,” la membresía del grupo y su estructura interna siguen siendo en gran parte desconocidas. Sin embargo, se cree ampliamente que opera bajo el control directo del gobierno norcoreano. Inicialmente funcionando como una banda de ciberdelincuentes, Lazarus ha evolucionado con el tiempo debido a la escala y sofisticación de sus ataques. Ahora se considera un grupo de Amenazas Persistentes Avanzadas (APT).

Diferentes instituciones se refieren a Lazarus con varios nombres:

• El Departamento de Seguridad Nacional de los Estados Unidos lo llama "Cobra Oculta"
• Microsoft se refiere a él como "ZINC" o "Diamond Sleet"

Según el ex oficial de inteligencia norcoreano Kim Kuk-song, el grupo es conocido internamente en Corea del Norte como la Oficina de Enlace 414.

El Departamento de Justicia de los Estados Unidos ha declarado que el Grupo Lazarus opera como una extensión del estado norcoreano. Sus actividades van más allá de la interrupción cibernética e incluyen esfuerzos para evadir sanciones internacionales y generar ingresos ilícitos. Al llevar a cabo ciberataques de bajo costo y alto impacto, Corea del Norte puede desplegar pequeños equipos de piratas informáticos que representan amenazas significativas para los sistemas financieros globales e infraestructuras críticas, especialmente en Corea del Sur y países occidentales.

Origen: https://es.wikipedia.org/wiki/Lazarus_Group

Estructura Organizativa

El Grupo Lázaro está compuesto principalmente por dos ramas:

1. BlueNorOff

También conocido como APT38, Stardust Chollima, o BeagleBoyz, BlueNorOff se centra en ciberdelitos financieros, a menudo implicando transacciones SWIFT fraudulentas para mover fondos ilegalmente. El grupo ha atacado a instituciones financieras en varios países, y se cree que los fondos robados apoyan los programas de misiles y armas nucleares de Corea del Norte.

Su operación más infame ocurrió en 2016, cuando intentaron robar casi $1 mil millones a través de la red SWIFT. Un error de ortografía en una de las instrucciones impidió que el Banco de la Reserva Federal de Nueva York completara parte de las transferencias. BlueNorOff utiliza tácticas como el phishing, puertas traseras, exploits y malware (por ejemplo, DarkComet, WannaCry). También colaboran con otros grupos de ciberdelincuentes para expandir canales de dinero ilícito, aumentando los riesgos de ciberseguridad globales.

2. Andariel

También conocido como "Silent Chollima," "Dark Seoul," "Rifle," y "Wassonite," Andariel se especializa en ciberataques dirigidos a Corea del Sur, y es conocido por sus operaciones sigilosas. Según un informe de 2020 del Ejército de EE. UU., el grupo está formado por aproximadamente 1,600 miembros responsables de reconocimiento cibernético, evaluaciones de vulnerabilidades y mapeo de infraestructuras de red enemigas para prepararse para futuros ataques.

Además de apuntar a Corea del Sur, Andariel también ha lanzado ataques contra agencias gubernamentales, infraestructuras críticas y corporaciones en otros países.

Fuente: https://home.treasury.gov/news/press-releases/sm774

Operaciones Anteriores

A lo largo de los años, Lazarus Group ha lanzado una serie de ciberataques en todo el mundo. Comenzando con las primeras campañas DDoS como la Operación Troya (2009) y Ten Days of Rain (2011), han evolucionado hacia operaciones más complejas que involucran:

• Borrado de datos (por ejemplo, Operación Dark Seoul, 2013)
• Robo de datos (por ejemplo, Hackeo de Sony Pictures, 2014)
• Robos financieros (que comenzaron en 2015)

Desde 2017, el grupo ha apuntado fuertemente al sector de criptomonedas, lanzando ataques contra:

• Exchanges como Bithumb, Youbit, Atomic Wallet y WazirX
• Puentes entre cadenas como Horizon Bridge
• Juegos de blockchain como Axie Infinity

Sus campañas han robado miles de millones de dólares en activos digitales.

En los últimos años, Lazarus ha seguido expandiéndose a nuevos sectores, como la sanidad, la ciberseguridad y los juegos de azar online. Solo en 2023, el grupo causó aproximadamente 300 millones de dólares en pérdidas, lo que representa el 17,6% de todos los daños por piratería informática a nivel mundial.

Fuente: https://x.com/Cointelegraph/status/1894180646584516772

Cómo responden las plataformas a los ataques de hackers

Los intercambios de criptomonedas suelen adoptar una estrategia de seguridad integral basada en cuatro pilares clave: prevención, detección, respuesta a incidentes y recuperación.

1. Medidas preventivas (defensa proactiva)

• Fortalezca la arquitectura de seguridad: implemente la separación de billeteras frías y calientes, almacene la mayoría de los activos en billeteras frías fuera de línea y utilice mecanismos de autorización de múltiples firmas (multi-sig).
• Control estricto de acceso: limite el acceso de los empleados a datos sensibles y adopte un modelo de seguridad de confianza cero para mitigar las amenazas internas o sistemas internos comprometidos.
• Mejorar la seguridad del contrato inteligente: Realizar auditorías exhaustivas de contratos inteligentes para evitar vulnerabilidades como ataques de reentrada y desbordamientos de enteros.
• Autenticación de múltiples factores (MFA): Requiere que todos los administradores y usuarios habiliten el 2FA (Autenticación de dos factores) para reducir el riesgo de toma de cuentas.
• Protección DDoS: Utilice redes de distribución de contenido (CDN) y servidores proxy inversos para defenderse contra ataques de denegación de servicio distribuido (DDoS), garantizando la disponibilidad de la plataforma.

2. Detección en Tiempo Real (Identificación Rápida de Amenazas)

• Monitoreo de Anomalías: aproveche la inteligencia artificial y el aprendizaje automático para detectar patrones de transacciones sospechosas y señalar retiros inusuales o transferencias grandes.
• Análisis en cadena: Colaborar con empresas de inteligencia blockchain como Chainalysis y Elliptic para monitorear direcciones en lista negra y bloquear flujos de fondos ilícitos.
• Registros de auditoría: Mantener registros completos de todas las operaciones sensibles (por ejemplo, retiros, cambios de permisos) y realizar auditorías en tiempo real.

Fuente: demo.chainalysis.com

3. Protocolos de Respuesta a Incidentes (Protocolos Post-Ataque)

• Congelación inmediata de la cuenta: al detectar retiros sospechosos, suspenda rápidamente las cuentas afectadas y congele las transferencias de fondos para evitar más pérdidas.
• Notificar a los socios: Alertar rápidamente a otras casas de cambio, empresas de seguridad blockchain y agencias de aplicación de la ley para rastrear activos robados.
• Parche de vulnerabilidades: analizar rápidamente el vector de ataque, sellar cualquier vulnerabilidad y prevenir recurrencias.
• Comunicación transparente con el usuario: Publicar anuncios de inmediato para informar a los usuarios sobre el incidente y los pasos de remedio.

4. Recuperación de activos (mitigación de pérdidas)

• Colaboración con las fuerzas del orden: Trabajar con agencias internacionales como el FBI, Interpol y empresas de rastreo de blockchain para recuperar fondos robados.
• Compensación de Seguros: Algunas plataformas mantienen pólizas de seguros contra hackeos para compensar a los usuarios afectados.

• Fondos de emergencia: Establecer fondos de emergencia como el SAFU (Fondo de Activos Seguros para Usuarios) de Gate.io para proteger los activos del usuario durante incidentes críticos.

  A partir del 5 de marzo de 2025, el fondo de reserva de Gate.io se situó en 10.328 mil millones de dólares, destacando su fortaleza financiera y capacidades de protección al usuario.

Fuente: www.gate.io

Fuente: https://www.gate.io/safu-user-assets-security-fund

La piedra angular de la ciberseguridad de una plataforma de cripto reside en el principio:

"Primero la prevención, detección oportuna, respuesta eficiente y recuperación sólida."

Las plataformas pueden maximizar la protección de los activos del usuario al combinar una arquitectura de seguridad optimizada, análisis en cadena y mecanismos de respuesta rápida.

Cómo los usuarios pueden proteger sus activos de cripto

Las criptomonedas son completamente digitales, y una vez perdidas o robadas, la recuperación suele ser imposible a través de medios tradicionales (por ejemplo, bancos). Por lo tanto, es esencial tomar estrictas precauciones de seguridad. A continuación se presentan las estrategias fundamentales para salvaguardar sus activos de cripto.

1. Elija Métodos de Almacenamiento Seguros

Almacenamiento en frío:

• Utilice monederos de hardware (como Ledger, Trezor) o monederos de papel para almacenar la mayoría de los activos sin conexión, lejos de los ataques basados en Internet.
• Nota: Manipule las carteras de hardware con cuidado para evitar daños físicos o pérdidas. Siempre verifique las transacciones cuidadosamente antes de firmar, nunca confirme a ciegas.

Monederos Calientes:

• Usar solo para almacenar pequeñas cantidades destinadas a transacciones diarias. Evitar almacenar grandes tenencias.
• Elija billeteras de buena reputación (por ejemplo, MetaMask, Trust Wallet) y mantenga el software actualizado regularmente.

Fuente: https://metamask.io/

2. Proteja sus claves privadas y frases de semilla

• Nunca Comparta: Su clave privada o frase semilla es la única credencial para acceder a sus activos, nunca la comparta con nadie.
• Respaldo seguro: Escriba su frase semilla y guárdela en un lugar a prueba de fuego y agua (por ejemplo, una caja fuerte). Evite guardarlo en dispositivos conectados a internet.
• Almacenamiento dividido: Considere dividir la frase semilla en partes y almacenar cada una en diferentes ubicaciones para aumentar la seguridad.

3. Seguridad de la cuenta y del intercambio

• Habilitar la autenticación de dos factores (2FA): Utilizar aplicaciones como Google Authenticator en lugar de la autenticación de dos factores basada en SMS, que es vulnerable al secuestro.
  Google Authenticator en Play Store
• Contraseñas seguras: Utilice una contraseña de al menos 12 caracteres de longitud, incluyendo mayúsculas, minúsculas, números y símbolos. Cambie las contraseñas regularmente.
• Diversificar el almacenamiento: No almacene todo su cripto en una sola billetera o exchange.
• Elige intercambios seguros: opta por plataformas con características como protección contra DDoS y almacenamiento en frío, y retira rápidamente grandes fondos a carteras privadas.
• Desactivar el acceso innecesario a la API: Prevenir el robo a través de exploits de la API.
• Usar Passkeys: Autentíquese de forma segura con aprobación basada en dispositivos en lugar de contraseñas.

Origen: play.google.com

4. Prevenir ciberataques

• Cuidado con el Phishing: Siempre verifica dos veces las URL de los sitios web y evita hacer clic en correos electrónicos, mensajes de texto o enlaces de redes sociales desconocidos.
• Dispositivo Dedicado: Considere el uso de un dispositivo separado exclusivamente para transacciones de cripto para evitar la exposición a malware o sitios web riesgosos.
• Verificar direcciones de transferencia: Verifique la dirección antes de enviar fondos para evitar el secuestro del portapapeles. \
  Fuente: Kratikal sobre el secuestro de portapapeles
• Evite las redes Wi-Fi públicas: Utilice una VPN y evite realizar transacciones a través de redes no seguras.

Fuente: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. Seguridad de contratos inteligentes y DeFi

• Solo utiliza contratos inteligentes de confianza: Interactúa solo con contratos auditados por firmas de seguridad conocidas.
  Los mejores auditores de blockchain de Alchemy Prueba con Cantidades Pequeñas: Comience con una pequeña transacción de prueba antes de comprometer fondos significativos.
• Evite estafas de alto rendimiento: tenga precaución con los proyectos DeFi, NFT o de agricultura de rendimiento que prometen retornos inusualmente altos.

Fuente: https://www.alchemy.com/best/blockchain-auditing-companies

6. Estrategia de seguridad a largo plazo y planificación de emergencias

• Usar billeteras Multifirma: Requiere múltiples aprobaciones para autorizar transacciones, ideal para gestionar activos de alto valor.
• Auditorías regulares: Revisar periódicamente los saldos de activos y los historiales de transacciones en busca de anomalías.
• Planificación legal y patrimonial: Incluya las tenencias de cripto en su plan patrimonial o documentación fiduciaria para evitar pérdidas irreversibles debido a claves perdidas.
• Mantén un perfil bajo: no exhibas tu riqueza en cripto en redes sociales o foros públicos para evitar convertirte en un objetivo de los hackers.

Fuente:coindesk.com

Conclusión

Este incidente no solo resultó en importantes pérdidas financieras para Bybit, sino que también planteó preocupaciones más amplias sobre la confianza y la seguridad dentro de la industria cripto. Mirando hacia el futuro, los intercambios, los equipos de proyectos y los usuarios deben poner un mayor énfasis en prácticas de seguridad sólidas. Las áreas clave de enfoque deberían incluir la gestión de claves privadas, la implementación de billeteras de firma múltiple y auditorías exhaustivas de contratos inteligentes.

A medida que las amenazas cibernéticas se vuelven más sofisticadas, se espera que los organismos reguladores globales introduzcan requisitos de seguridad más estrictos. La Financial Action Task Force (FATF), por ejemplo, está avanzando nuevas propuestas contra el lavado de dinero que apuntan a los protocolos de intercambio cruzado para mejorar la supervisión de plataformas descentralizadas e interacciones multi-cadena. Paralelamente, agencias como la SEC de EE. UU. y los reguladores europeos pueden aumentar la supervisión de los estándares de seguridad de los intercambios y abogar por medidas de cumplimiento de KYC y AML más estrictas.

Para los inversores individuales, proteger los activos digitales requiere un enfoque proactivo. Esto incluye elegir plataformas con sólidos registros de seguridad, diversificar los métodos de almacenamiento de activos y mantenerse informado sobre los riesgos emergentes. A medida que el ecosistema cripto continúa evolucionando, la seguridad debe seguir siendo una prioridad central para garantizar un crecimiento sostenible y la confianza del usuario.