En enero de 2026, Martin Kuchar, uno de los organizadores de BTC Prague, recibió un mensaje en Telegram. Un contacto conocido, una cuenta comprometida, un contexto familiar: una invitación a unirse a una llamada. El enlace llevaba a una página visualmente idéntica a Zoom. Lo que siguió fue el guion estándar: problemas de audio, una indicación para instalar una actualización. Eso fue todo lo que hizo falta.
Esto no es phishing en el sentido clásico. No hay un correo sospechoso con erratas y una dirección de remitente extraña. Es una operación de gestión de la confianza, y precisamente por eso funciona incluso con participantes experimentados del mercado cripto.
La escala de la amenaza
Según el FBI, en 2025 los usuarios estadounidenses presentaron 181 565 denuncias relacionadas con fraude de criptomonedas. La pérdida media por denuncia fue de $62 604. Las pérdidas totales por estafas de inversión alcanzaron los $7,23 mil millones de los $11,36 mil millones en fraude cripto documentado en el año.
Los ataques de suplantación de identidad en concreto crecieron más de un 1400 % interanual en 2025. El pago medio realizado por una víctima aumentó de $782 en 2024 a $2764 en 2025.
Una parte significativa de estos ataques puede rastrearse hasta una única estructura: Lazarus Group y sus unidades de inteligencia norcoreanas afiliadas. Según datos del FBI y Mandiant, en 2025 robaron $2,02 mil millones en criptomonedas, un aumento del 51 % respecto al año anterior. El ataque a Bybit en febrero de 2025 —$1,5 mil millones en una sola operación— les fue atribuido directamente por el FBI.
Cómo funciona el ataque: paso a paso
La operación comienza mucho antes de que se produzca cualquier llamada. Los atacantes llegan al objetivo a través de Telegram, LinkedIn, correo electrónico o X. Un pseudorreclutador ofrece un puesto Web3 con un salario de $16 000 a $44 000 al mes. Un «inversor» quiere discutir un acuerdo. Un «socio» quiere conectar. Todo parece un contacto comercial rutinario, porque en la industria cripto los desconocidos realmente se ponen en contacto entre sí cada día.
El siguiente paso es el enlace de la reunión. La víctima ve una imitación convincente: una sala de espera de Zoom con señales de audio de otros participantes, una página de Google Meet con una interfaz correcta. Los dominios están creados a medida: uswebzoomus[.]com, googlemeetinterview[.]click, 9ooggleactivemeett[.]live. Según Netcraft y Malwarebytes, los operadores preparan dominios de respaldo en varios proveedores de hosting con antelación, anticipando los inevitables cierres.
En la página de reunión falsa aparece un mensaje de error: problema con el micrófono, se requiere actualizar el cliente, hay que instalar una extensión. Se pide a la víctima que pegue un comando en la terminal, descargue un instalador o ejecute un script. Este momento está diseñado deliberadamente para parecer una resolución técnica rutinaria. Por eso funciona.
Tras la instalación, los atacantes obtienen acceso completo: registro de pulsaciones de teclas, monitoreo del portapapeles, capturas de pantalla en tiempo real, datos del navegador y datos de las extensiones de cartera: MetaMask, Trust Wallet, Phantom y otras. En macOS, el llavero de iCloud. Cualquier frase semilla o clave privada que alguna vez se haya tecleado o copiado en el dispositivo debe considerarse comprometida.
El deepfake que no lo es
Uno de los elementos técnicamente más sofisticados es lo que Kaspersky GReAT documentó como GhostCall. Los atacantes graban vídeo de las webcams de víctimas anteriores sin su conocimiento. Durante una llamada con el siguiente objetivo, reproducen esas imágenes: la víctima ve un flujo de vídeo en directo de una persona real de su red profesional.
No es un deepfake en el sentido técnico. Es una grabación de una persona real que la víctima probablemente conoce. El atacante permanece «con problemas de audio» y se comunica solo por chat de texto. Psicológicamente, es una trampa casi perfecta: ves una cara familiar, escuchas una voz familiar en la grabación y no tienes base para sospechar.
Inmediatamente después de comprometer un dispositivo, los atacantes obtienen acceso a los contactos de Telegram de la víctima y usan la cuenta para enviar el mismo enlace a la siguiente oleada de objetivos potenciales. El ataque se propaga a través de redes profesionales de confianza sin indicadores externos.
Quién está detrás de esto
Lazarus Group, BlueNoroff, UNC1069, TraderTraitor, Famous Chollima: todos son nombres de subunidades de una única operación dirigida por la Oficina General de Reconocimiento de Corea del Norte. Atribuida por el FBI, Mandiant y Kaspersky. Desde 2021, el foco principal ha sido Web3.
Campañas activas documentadas en 2025-2026: Contagious Interview, falsas entrevistas de reclutamiento con una carga ClickFix al final. Según SentinelLABS, al menos 230 personas se vieron afectadas solo en el primer trimestre de 2025, y la cifra real es probablemente mayor. GhostCall, falsas llamadas de Zoom dirigidas a ejecutivos Web3 e inversores de capital riesgo. Mach-O Man, ataques a través de cuentas de Telegram comprometidas dirigidos a la alta dirección en cripto y fintech.
El caso de Drift Protocol merece especial atención. Lazarus dedicó seis meses a la infiltración: reunirse con el equipo en persona en conferencias de varios países, depositar $1 millón de capital real para generar credibilidad. El drenaje de $286 millones tomó 12 minutos. Esto no es una estafa: es una operación a nivel estatal con presupuesto y horizonte de planificación.
Según Mandiant y el Google Threat Intelligence Group, la unidad UNC1069 ha sido documentada oficialmente usando Google Gemini para investigación operativa, generando contenido de cebo personalizado dirigido a víctimas concretas y escribiendo código. Automatización de ataques al nivel de un actor estatal.
Por qué los consejos de seguridad estándar no funcionan aquí
El consejo convencional de «no hacer clic en enlaces sospechosos» es inútil en este contexto. El enlace parece Zoom. El dominio es visualmente idéntico al real. La persona del vídeo es alguien que la víctima realmente conoce. El instalador está firmado con un certificado digital válido, robado a una empresa legítima. El antivirus permanece en silencio, porque algunos atacantes no despliegan malware personalizado en absoluto, sino software comercial de monitoreo empresarial reutilizado.
«Nos encontramos con este patrón de ataque en las investigaciones con regularidad. La diferencia fundamental respecto al phishing clásico es que no hay un exploit técnico. On-chain, la transacción parece totalmente legítima, autorizada por el propietario de la cartera. Precisamente por eso una investigación adecuada requiere no solo el rastreo on-chain, sino la reconstrucción de eventos off-chain: la cronología del ataque, la identificación del vector de entrada, el análisis del dispositivo. Ninguno es suficiente sin el otro cuando se trata de trabajar con las fuerzas del orden.»
— Ais Dorzhinov, cofundador de Match Systems
Esta es una categoría de amenaza fundamentalmente distinta: una operación de gestión de la confianza, no un exploit técnico. La defensa tiene que ser operativa, no solo técnica.
Cómo protegerte: lo que realmente funciona
Para los tenedores e inversores individuales, una cartera de hardware sigue siendo la única barrera fiable incluso en caso de compromiso total del dispositivo. Una frase semilla que nunca existió en un ordenador no puede robarse mediante malware. Un dispositivo dedicado usado exclusivamente para operaciones cripto —sin navegación, llamadas ni descargas de archivos— no es paranoia. Es higiene operativa.
La medida individual más importante: verificar por un canal alternativo antes de cualquier llamada inesperada. Si un «socio» te escribe por Telegram, llámalo al número de teléfono de tu agenda, no a través de Telegram. Si un «reclutador» te envía un enlace de Meet, busca la empresa en Google y contáctala directamente. Un paso de verificación adicional cierra la mayoría de los escenarios de ataque.
Para empresas y equipos: aísla las carteras corporativas de los dispositivos de trabajo, usa multisig con claves divididas para activos significativos, prohíbe la instalación de cualquier «software de reuniones» fuera de una lista aprobada. Todas las actualizaciones de cliente deben venir directamente de sitios web oficiales, nunca a través de un enlace en un chat. Sesiones informativas periódicas del equipo con ejemplos concretos de esquemas actuales, no como una formalidad de compliance, sino como preparación real.
Una medida organizativa subestimada: si alguien de tu equipo o red profesional ha sido comprometido, notifica a todos sus contactos de inmediato. Los ataques tipo GhostCall se propagan a través de redes de confianza al instante, y la rapidez de la notificación afecta directamente a cuántas personas se convierten en las siguientes víctimas.
Si ya ha ocurrido: las primeras horas lo son todo
El drenaje de Bybit tomó unas pocas horas. Drift Protocol, 12 minutos. Una vez que los fondos salen de la cartera principal, cada minuto estrecha la ventana para una congelación.
El patrón de movimiento típico de los fondos robados en las operaciones de Lazarus: retirada inmediata a direcciones intermedias, intercambios a través de DEX para romper la conexión directa on-chain, puenteo a otra red, fragmentación en decenas de direcciones intermedias, retirada final a través de operadores OTC con requisitos de KYC débiles o conversión a Monero.
La forense blockchain en estos casos permite la atribución de direcciones mediante patrones de comportamiento on-chain, el rastreo de movimientos de fondos a través de puentes e intercambios, el etiquetado de las direcciones de destino y el envío de notificaciones de congelación a los exchanges antes de la retirada final. También apoya la estructuración de datos on-chain para solicitudes a las fuerzas del orden y procesos legales. Una limitación importante que hay que comprender: si los fondos ya se han retirado a través de pequeños exchangers sin etiquetar, las opciones se reducen significativamente. Por eso la velocidad de respuesta en las primeras horas es decisiva.
Si ya se ha producido un incidente, no dediques tiempo al autoanálisis. Contacta a firmas profesionales especializadas en la investigación de robos de criptomonedas y la recuperación de activos.
Populares
- Artículos Un usuario legítimo puede ver su USDT congelado por fondos con un historial contaminado.
- Artículos ¿Se pueden recuperar las criptomonedas robadas?
- Noticias Sanciones a HTX: riesgos para los activos cripto
- Artículos Cómo los hackers roban criptomonedas
- Noticias Tether descongeló 79 M$ — y sabemos por qué
- Artículos ¿Te robaron cripto? Los primeros 60 minutos deciden qué se puede recuperar.
- Noticias Recuperación de criptoactivos a través de redes OTC
- Artículos Tether congeló tus USDT: qué está pasando y qué hacer
- Artículos Las carteras cripto se hackean a través de dispositivos, apps y error humano, no de la blockchain.
- Artículos ¿Se puede identificar quién es el dueño de un monedero de cripto?
