1928374656574839.25T de dólares en diez segundos de limpieza: cuando hackers de nivel estatal se convierten en recursos humanos de Silicon Valley, ¿cuántas prendas quedan en la ropa interior de Web3?

Dos mil ochocientos cincuenta millones de dólares.
Cuando Drift Protocol monitorea en la pantalla los números que en apenas diez segundos vuelven a cero, los operadores cuantitativos de Wall Street apenas tienen tiempo de tragar un sorbo de café espresso. En esta utopía descentralizada que se autodenomina “el código es la ley”, diez segundos son suficientes para completar un golpe espectacular. Pero si piensas que esto fue solo una vulnerabilidad común en contratos inteligentes o la obra de un hacker genial golpeando frenéticamente en su sótano, estás muy equivocado.
El verdadero inicio de esta fiesta, valorada en casi tres mil millones de dólares, no está en esos fatales diez segundos, sino en un mensaje privado en LinkedIn de hace medio año, lleno de cortesía. En este mundo mágico de las criptomonedas, los hackers hace tiempo que se cansaron de romper tus algoritmos de cifrado asimétrico a golpes. Se quitan la capucha, se ponen trajes virtuales de Armani de alta costura, y en canales falsificados de Slack conversan contigo sobre planes profesionales y millones en financiamiento. Tú crees que has encontrado a un mentor que te hará rico y libre, pero en realidad solo desean acceder a los permisos del sistema en tu computadora.

El máximo nivel de phishing es acompañarte durante dos meses hablando de tus aspiraciones profesionales

La línea de defensa en la industria de las criptomonedas siempre ha estado marcada por una disfunción absurda. Los proyectos están dispuestos a gastar millones en auditorías de primera categoría para revisar línea por línea la lógica de sus contratos inteligentes, pero no les importa con quién chatean los desarrolladores principales con permisos de fusión de código en línea. UNC1069, o esa organización de hackers de nivel estatal de Corea del Norte que ha estado operando en las profundidades de la dark web, ha identificado con precisión esta vulnerabilidad. Ahora, sus ataques siguen una estrategia de cazatalentos de alto nivel, centrada en “largo plazo” y “valor emocional”. Es una forma de golpe de dimensión reducida, completamente industrializada. La infiltración en el mantenedor de la biblioteca de código abierto Axios, Jason Saayman, y en varios líderes clave de la comunidad Node, es un ejemplo clásico de ingeniería social.
No envían archivos comprimidos con troyanos ni usan mensajes de “su cuenta está involucrada en lavado de dinero, haga clic para verificar”. Estos hackers con respaldo estatal han dedicado semanas o incluso meses a construir cuidadosamente una fachada de empresa tecnológica falsa. Crearon un sitio web corporativo impecable, un espacio de trabajo en Slack con múltiples canales activos, e incluso organizaron “compañeros” en diferentes departamentos para discutir negocios con entusiasmo. Conocen muy bien la psicología de los techies. Para parecer ejecutivos ocupados, incluso reservan reuniones con anticipación y envían correos corteses pidiendo cambios de horario justo antes de la reunión. Esos pequeños roces que solo existen en el mundo real, se convierten en el golpe final para romper la línea de defensa psicológica de la víctima.
Tras semanas de saludos, discusiones y elogios mutuos que generan confianza, comienza una entrevista en línea en Microsoft Teams. La víctima, feliz, hace clic en “Unirse a la reunión”, y aparece un mensaje que dice “Falta un plugin de actualización del sistema, no se puede unir a la llamada”. Para no hacer esperar al “jefe”, el desarrollador hace clic en instalar. En ese instante, un troyano de control remoto oculto se infiltra silenciosamente en el dispositivo que maneja miles de millones en transacciones.

Seis meses de cortesía solo para esto: crees que estás buscando trabajo, pero en realidad estás clavando la última estaca en tu ataúd digital.

Tu doble factor de autenticación, en realidad, solo es una luz ambiental para la puerta trasera que los hackers han instalado

Muchos profesionales de Web3 tienen una confianza misteriosa, creen que si activan la 2FA (autenticación de doble factor) y guardan su clave privada en una billetera fría, están usando un chaleco antibalas cibernético. Pero esa percepción es como intentar defenderse con una pistola de agua frente a un ataque nuclear de hackers de nivel estatal. En el momento en que se ejecuta un plugin malicioso, todo tu sistema operativo ya ha sido tomado. Cada píxel en tu pantalla es una ilusión creada por los hackers. La pila tecnológica que usan es un ejemplo extremo de “parasitismo”: abusan de los archivos de accesos directos .LNK de Windows, que para un usuario normal son solo iconos en el escritorio, pero en manos de un hacker pueden ser scripts de PowerShell confusos y obfuscados.
Lo más sorprendente es que ya no usan dominios maliciosos fáciles de bloquear por firewalls, sino que colocan sus servidores de comando y control (C2) en GitHub. Cuando tu sistema de monitoreo detecta que una máquina solicita datos a GitHub, nadie lo considera extraño, porque todos los programadores usan GitHub para obtener código. Así, los hackers aprovechan la infraestructura pública legítima para construir un pasillo secreto directo al corazón de tu computadora. Cuando toman control total del sistema, las medidas como 2FA, firmas múltiples o hardware wallet dejan de tener sentido.
Los hackers tienen control unilateral de tu máquina, pueden registrar tus pulsaciones en el teclado en el momento en que ingresas la contraseña, interceptar tus códigos de verificación por SMS, e incluso activar silenciosamente tu navegador mientras duermes, con toda tu sesión iniciada, para distribuir paquetes en NPM sin que te des cuenta. Axios, esa biblioteca de código abierto que se descarga más de mil millones de veces por semana, fue víctima de esto. Tras tomar control del equipo del mantenedor, inyectaron dependencias maliciosas con el troyano de control remoto XenoRAT. Si no fuera por la detección y eliminación milagrosa en solo tres horas por parte de la comunidad, la explosión de esta “bomba nuclear” digital habría destruido servidores de millones de aplicaciones, devolviéndolos a la era de piedra. No es solo un esquema de estafa, es como envenenar el agua potable de una ciudad.

El oscuro bosque del ciberespacio y la prueba del “cerdo gordo” invulnerable

Salir del laberinto del código, en realidad, es una proyección de un brutal juego geopolítico en el mundo digital. En estos tiempos turbulentos, cada pulsación de tecla de un desarrollador puede estar vinculada a fondos para investigación nuclear en otra parte del planeta. La dictadura de Kim Jong-un, sometida a severas sanciones internacionales, ya considera el cibercrimen como una de sus principales industrias de recaudación. Según informes de la ONU, miles de hackers norcoreanos altamente organizados extraen dinero de un mercado de criptomonedas sin regulación, con un KPI único: extraer sangre de esa piscina de liquidez sin control.
La expansión de la inteligencia artificial también ha dado alas a estos hackers estatales. Antes, los ataques de ingeniería social interculturales y multilingües tenían un costo muy alto, porque era fácil cometer errores en la comunicación. Ahora, los grandes modelos de lenguaje pueden generar en segundos un argot de Silicon Valley fluido y auténtico, ayudando a los hackers a mantener una fachada de élite sin fisuras. El costo de clics se ha reducido a cero, y la confianza se construye a un ritmo vertiginoso. La defensa en esta guerra asimétrica se ha vuelto exponencialmente más difícil. Aunque los fallos en el código pueden repararse con pruebas matemáticas, las vulnerabilidades humanas son un pozo sin fondo. Frente a esta infiltración armada hasta los dientes, la revisión técnica se vuelve secundaria, y las defensas verdaderamente efectivas parecen absurdas.
En medio de esta tormenta, un video que circula en X se ha convertido en la nota más surrealista. Un ejecutivo occidental en una entrevista remota de TI, al sospechar de la identidad del entrevistado, no le pide resolver algoritmos complejos, sino que le exige en inglés que grite: “Kim Jong-un es un cerdo gordo y feo”. La persona en la pantalla, un “ingeniero full-stack senior”, se congela, finge no entender, y luego abandona la reunión con dificultad. En un contexto de alta tensión política, incluso hackers en el extranjero que trabajan para regímenes no se atreven a arriesgar sus vidas y las de sus familias por un meme así.
Este episodio es sin duda una sátira mordaz a la situación actual de la seguridad en DeFi. Hemos construido la prueba de conocimiento cero más rigurosa de la historia, diseñado el consenso bizantino más complejo, invertido miles de millones en prevenir ataques de brujas, y al final, la forma más efectiva de detectar amenazas en el núcleo del sistema resulta ser una simple frase política llena de ataques personales. Los más de 200 millones de dólares de Drift Protocol se convirtieron en fuegos artificiales en el cielo de Pyongyang, y esta industria de realismo mágico sigue buscando día a día la próxima leyenda de riqueza que parezca invulnerable, pero que en realidad tenga muchas grietas.