Ripple comparte datos internos sobre operativos norcoreanos con el sector tras dos hackeos que sumaron más de 500 millones de dólares en abril usando ingeniería social, no vulnerabilidades de código.
Es real que en menos de 30 días fueron robados más de 500 millones de dólares. En abril de 2026 ocurrieron dos de los hackeos más grandes del año en el ecosistema cripto: la explotación de Drift, que se llevó 285 millones de dólares, y la del puente Kelp DAO, que drenó 292 millones de dólares en ETH. Ambos fueron públicamente atribuidos al Grupo Lazarus, la unidad de hackers del estado norcoreano.
Ripple anunció el día 5 de mayo que va a compartir su inteligencia interna sobre actores amenazantes norcoreanos con el Crypto ISAC, el grupo sectorial de intercambio de amenazas de la industria cripto.
Cómo opera el Grupo Lazarus
La tendencia de hackeos en los últimos años era que los atacantes encontraban fallas en contratos inteligentes y vaciaban protocolos en minutos. Era un problema de código. Se resolvía con auditorías, mejores prácticas de desarrollo y herramientas de monitoreo. Sin embargo, este año parece haber cambiado el modus operandi.
Como los sistemas se volvieron más estrictos y difíciles de vulnerar, los atacantes se vieron obligados a poner en foco a las personas dentro de los protocolos. Ahora los operativos solicitan empleos reales en empresas cripto: arman perfiles de LinkedIn creíbles, superan verificaciones de antecedentes, participan en llamadas de Zoom, construyen relaciones con los equipos durante meses. Luego instalan malware en las máquinas de los colaboradores y roban las claves de acceso desde adentro.
Así es como lograron vulnerar a Drift, con meses de trabajo interno para ganarse la confianza de los empleados. No fue un exploit a un contrato, fue una ingenieria social muy bien organizada. Cuando los 285 millones de dólares salieron, todos los sistemas de seguridad no tenían nada que señalar porque el atacante ya era parte del equipo.
¿Qué compartirá Ripple?
Lo que propone Ripple es comenzar a verificar los antecedentes de las empresas. Y compartir con el ecosistema la información aquellos que tengan un historial poco claro y no pasen los filtros. Administrando datos concretos como perfiles de LinkedIn, direcciones de correo electrónico, ubicaciones, números de contacto. El tipo de información que permite a un equipo de seguridad reconocer que el candidato que acaban de entrevistar es el mismo operativo que no pasó las verificaciones en otras tres firmas la semana anterior.
Ficharían personas o empresas que no poseen credibilidad y se armaría una red de aviso masivo. Para evitar que se propague esta forma de trabajar de la entidad criminal norcoreana.
Conclusión
Así como el Grupo Lazarus migró su estrategia hacia las personas dentro de los protocolos, Ripple plantea hacer lo mismo, en cierto modo. Comenzar a compartir loas registros de aquellos perfiles que resulten sospechosos, para mitigar o reducir al máximo los nuevos casos de ingeniería social que podrían ocurrir.