Corea del Norte está utilizando recientemente llamadas falsas de Zoom potenciadas con IA para engañar a perfiles del sector de las criptomonedas y vaciar sus carteras en cuestión de minutos. ¿Cómo es posible que una simple videoconferencia sea suficiente para tomar el control total de sus dispositivos y eludir la vigilancia de los más expertos?
Un programa a gran escala con el objetivo de engrosar las cuentas públicas
Desde principios de 2020, Corea del Norte lleva a cabo una operación mundial de infiltración en empresas gracias a su ejército de «teletrabajadores falsos» en el marco de un programa de generación de ingresos para el Gobierno. Parece que parte de esta fuerza de trabajo ha sido reasignada recientemente a una nueva campaña de ingeniería social, esta vez dirigida al sector de las criptomonedas.
🚨 ADVERTENCIA (OTRA VEZ)
Los actores maliciosos de la RPDC siguen estafando a demasiados de vosotros a través de sus reuniones falsas en Zoom y Teams.
Están tomando el control de vuestros Telegram y utilizándolos para estafar a todos vuestros amigos.
Ya han robado más de 300 millones de dólares con este método.
Leed esto. Detened el ciclo. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13 de diciembre de 2025
Últimamente, se han robado cerca de 300 millones de dólares, según detalla Taylor Monahan (más conocido por el pseudónimo de Tayvano), investigador de seguridad en MetaMask.
El modo de funcionamiento es bastante conocido y documentado, ya que Microsoft Threat Intelligence lleva observando estas actividades desde 2024. El atacante comienza por robar un perfil coherente y legítimo en función del objetivo al que se dirige. A continuación, crea todo un ecosistema digital en torno a ese perfil robado (mensajería, redes sociales, perfiles de GitHub o LinkedIn) con el fin de establecer una huella digital legítima.
A continuación, se utiliza la inteligencia artificial (IA) para superponer la imagen de su perfil original en imágenes y vídeos que sirven a sus objetivos. También utilizan VPN, VPS, servicios proxy y herramientas RMM para ocultar su geolocalización y su verdadera identidad digital.
Esto es lo que nos indicó recientemente Clarisse Hagège, fundadora de Dfns, quien nos confió haber sido objeto de un intento de intrusión por parte de tres hackers norcoreanos.
Además, destaca que el sector de las criptomonedas es un objetivo privilegiado en la estrategia de Corea del Norte. Encuentre nuestra entrevista completa en nuestro podcast:
Los candidatos deben proporcionar al menos tres referencias de sus empleos anteriores. La gente se olvida de hacerlo, pero funciona muy bien.
Una campaña de ingeniería social que aprovecha plataformas como Teams o Zoom
Esta estrategia se recicla hoy en día y se orienta hacia nuevos objetivos. Como describe Taylor Monahan, el ataque tiene su origen en la corrupción de una cuenta legítima de Telegram. Estas cuentas objetivo suelen ser inversores de capital riesgo o conferenciantes, perfiles que pueden explotar nuestro sesgo de autoridad.
Después de analizar minuciosamente el historial de conversaciones de su primera víctima para alimentar su leyenda, explotan los contactos ya establecidos. Estos serán dirigidos a reuniones de Zoom o Teams a través de un enlace Calendly camuflado.
🇰🇵 En las noticias: Corea del Norte estaría detrás del hackeo de 30 millones de dólares a Upbit
En el vídeo, la víctima interactúa con una grabación reciclada de un podcast o una aparición pública de la persona de autoridad. Gracias a un inteligente uso de la IA, el flujo de vídeo parece legítimo.
A continuación, el atacante simula problemas de audio o vídeo. Pide a su víctima que descargue un SDK que le permita restablecer la conexión. Este despliega un script malicioso, instalando un malware en el equipo del objetivo. Este troyano otorga un control total sobre el ordenador de la víctima, dando acceso total a las carteras del objetivo.
Reforzar la seguridad operativa y mantener la vigilancia
Para protegerse de este tipo de amenazas, es fundamental disponer de una autenticación fuerte (contraseña segura) y multifactorial (aplicación MFA y 2FA) en sus aplicaciones de comunicación.
Además, es importante recordar que, durante una conversación con su interlocutor, debe saber quién le escribe (autenticidad), debe saber que lo que le escribe no ha sido alterado (autenticidad) y debe asegurarse de que nadie más sepa lo que han intercambiado (confidencialidad).
Además, nunca descargue paquetes de datos si no está seguro de su integridad y legitimidad. Si no es así, puede abrirlos en una máquina virtual dedicada para verificar su contenido.
Por último, si su cuenta de Telegram se ve comprometida, elimine su espacio y avise a sus contactos para prevenirlos y romper la cadena de estafas.
Manténgase alerta y tenga en cuenta que su funcionamiento antropológico le expone a sesgos cognitivos (sesgo de autoridad, sesgo de familiaridad, sesgo de urgencia, etc.). Cuando estos se explotan, es probable que usted sea la víctima.
