cryptonews.net
Upbit, la mayor plataforma de intercambio de criptomonedas de Corea del Sur, se enfrentó recientemente a nuevos problemas de seguridad tras descubrir alrededor de 54 mil millones de wones (unos 36 millones de dólares) relacionados con activos de Solana. La compañía congeló de inmediato los depósitos y retiros en sus servicios de activos digitales.
Desde entonces, los investigadores en Seúl han iniciado una investigación formal, cuyo análisis inicial apunta a métodos típicamente utilizados por el Grupo Lazarus, uno de los ciberoperativos estatales más infames del mundo.
El ataque se produce en un año caracterizado por tasas récord de robo de criptomonedas, y 2025 se ha convertido en el año más dañino en la historia de los delitos contra activos digitales. Dado que el dinero robado crece más rápido que en los últimos años, la brecha de seguridad de Upbit es otro indicio de un entorno más hostil para las plataformas de intercambio, los usuarios y las plataformas descentralizadas.
El ataque se produjo después de que los sistemas de Upbit detectaran transferencias salientes inusuales de varias billeteras vinculadas a Solana. El operador de la plataforma de intercambio, Dunamu, confirmó la salida no autorizada de dinero. Momentos después, se decretó un bloqueo de alta seguridad.
Upbit insistió en que la compensación a los clientes se realizaría con sus propias reservas y que los activos de los miembros no contribuirían en modo alguno a la pérdida. La plataforma también afirmó que ya se habían congelado tokens por valor de unos 12 000 millones de wones gracias a la cooperación con instituciones asociadas, y que se estaban realizando nuevos intentos para rastrear y congelar el resto del dinero robado.
El gobierno surcoreano inició de inmediato la investigación del ataque. Las autoridades indicaron que este se asemejaba a la brecha de seguridad de Upbit de 2019, que causó la pérdida de 58 000 millones de wones y que posteriormente se atribuyó al Grupo Lazarus. Según fuentes citadas por la agencia de noticias Yonhap, el evento más reciente presentaba las mismas características de los ataques anteriores de Lazarus, como las peculiaridades del enrutamiento de las transacciones y la estructura de los tiempos de retiro. El departamento de ciberdelincuencia de la Agencia Nacional de Policía ya está siendo investigado por el departamento forense, y la comunidad de inteligencia de Corea del Sur está estudiando el movimiento entre cadenas para identificar la presencia de la infraestructura conocida de Lazarus. Estados Unidos y varias agencias europeas llevan tiempo denunciando a Lazarus como una ciberamenaza muy sofisticada, capaz de descubrir importantes sistemas financieros y utilizar redes blockchain mediante métodos tanto técnicos como de ingeniería social. El caso de Upbit se suma a la creciente lista de casos en los que actores vinculados a estados están ampliando su enfoque a plataformas de intercambio con alta liquidez y gran presencia.
Noviembre registra otro mes costoso en robo de criptomonedas
La vulneración de Upbit se produjo en un mes ya de por sí difícil, que ya había registrado grandes pérdidas en la industria de las criptomonedas. En el informe de amenazas de noviembre publicado por CertiK, el número de exploits, estafas y pérdidas confirmadas por vulneraciones de billeteras ascendió a aproximadamente 127 millones de dólares. La estimación original de los daños superó los 172 millones de dólares, cuyo importe neto se redujo tras las recuperaciones y la congelación de activos.
El evento más impactante fue el ataque al protocolo de liquidez Balancer, que solo causó daños por más de 113 millones de dólares. El exploit afectó a varios ecosistemas asociados a Ethereum y plataformas de capa 2, perturbando los fondos de liquidez y afectando a las aplicaciones descentralizadas asociadas. La plataforma BEX de Berachain sufrió otras pérdidas de 12 millones de dólares, pero anunció que el dinero robado podía congelarse o recuperarse con éxito, lo que se sumó a la cantidad total de dinero (45 millones) congelado o recuperado a lo largo del mes.
También se reportaron vulnerabilidades graves en otras plataformas como Beets y Gana Payment, que registraron pérdidas de más de 3,8 y 3,1 millones de dólares, respectivamente. Aunque fueron menores que las brechas de seguridad importantes de los protocolos, pusieron de relieve las vulnerabilidades no resueltas en la seguridad operativa y las superficies de ataque dirigidas a los usuarios.
Las estadísticas de noviembre indican que las plataformas financieras descentralizadas sufrieron la mayor proporción de pérdidas, a diferencia de octubre, cuando los ataques de puente ocuparon el primer lugar en las pérdidas globales. Durante el mes, los protocolos DeFi sufrieron más de 134 millones de dólares en pérdidas confirmadas relacionadas con exploits, principalmente debido a la presencia de una vulnerabilidad en forma de código en contratos inteligentes. Aproximadamente 33 millones de dólares también se sumaron a la cuenta debido a vulnerabilidades de billeteras, generalmente causadas por credenciales robadas o malware.
Los casos de phishing, aunque siguen reportándose con frecuencia, experimentaron una disminución significativa. En noviembre, las pérdidas relacionadas con el phishing fueron de aproximadamente 5,8 millones de dólares, frente a los 28 millones de dólares de octubre, pero los analistas advirtieron que esta disminución no representa una tendencia a largo plazo. La siguiente categoría más afectada fue la de los exchanges, con Upbit como la siguiente en importancia, y en esta ocasión las pérdidas totalizaron casi 29 millones de dólares debido a brechas operativas.
2025 se convirtió en el año más terrible del crimen criptográfico
El análisis de Chainalysis sobre la situación, publicado a mediados de 2025, muestra que más de 2.170 millones de dólares en criptomonedas fueron robadas solo en el primer semestre de 2025. Esta cifra ya supera la cantidad acumulada robada en todo 2024 y representa una tendencia que se acercará o incluso superará los 4.000 millones de dólares para finales de año.
El evento más notable en el panorama de amenazas en 2025 será el hackeo de ByBit por 1.500 millones de dólares, causado por Corea del Norte. Se trata del mayor robo de criptomonedas registrado y representa aproximadamente el 70 % del valor total robado por los servicios este año. Lo más destacable del ataque es su magnitud y, sobre todo, su enfoque, que supuestamente incluyó una profunda intrusión del personal de TI mediante estrategias avanzadas de ingeniería social. Otros ataques relacionados con la RPDC han seguido las mismas técnicas de infiltración, lo que implica que las organizaciones respaldadas por el Estado están explorando aún más las debilidades humanas internas, en lugar de centrarse únicamente en la vulneración técnica. Los ataques a nivel de servicio, o aquellos que se juzgan por la pérdida principal, son predominantes, pero las vulnerabilidades de billeteras personales han asumido una proporción cada vez mayor de la actividad delictiva total. Chainalysis proyecta que más del 23 % de todos los fondos robados se encontrarán en billeteras individuales en 2025, lo que indica un aumento en el malware dirigido, la recopilación de credenciales y las operaciones de phishing sofisticadas.
La cantidad total de activos robados almacenados en direcciones de billeteras personales controladas por atacantes actualmente es de aproximadamente $8.5 mil millones, en comparación con los $1.28 mil millones de ataques a nivel de servicio que se realizan en la cadena de bloques. Esta tendencia implica que, a menudo, los atacantes prefieren congelar el dinero robado, sin necesariamente blanquearlo de inmediato, quizás porque confían más en su capacidad de pasar desapercibidos o porque actúan en el momento oportuno según los factores del mercado.