Un ataque estatal con fines económicos
La alerta proviene del Grupo de Inteligencia de Amenazas de Google (GTIG), que ha documentado cómo Corea del Norte ha incorporado sofisticadas técnicas para instalar malware en transacciones realizadas mediante blockchain. Este avance representa, según los expertos, una evolución crítica en la ciberguerra patrocinada por Estados.
Lo alarmante no es solo el uso del blockchain para alojar código malicioso, sino que estas herramientas están siendo empleadas para el robo de criptomonedas, lo que sugiere una clara motivación financiera detrás de las operaciones.
Malware distribuido en redes descentralizadas
El equipo de Google destaca que los actores norcoreanos utilizan la infraestructura de blockchain para almacenar y distribuir cargas maliciosas. Al aprovechar las propiedades criptográficas de estas plataformas, el malware permanece fuera del alcance de las herramientas convencionales de detección y eliminación.
A pesar de que blockchain se diseñó para ser descentralizado y resistente a manipulaciones, los expertos de Google subrayan que la mayoría de los usuarios emplean servicios centralizados para interactuar con estas redes. Esto abre la puerta a ataques que se desarrollan en capas superiores, como las interfaces API, donde Google ha observado múltiples comportamientos sospechosos.
España entre los objetivos de la campaña
Una de las revelaciones más delicadas del informe es la presencia de hackers norcoreanos en infraestructuras empresariales españolas. Aunque no se han identificado nombres concretos, el hecho de que compañías nacionales estén comprometidas añade una dimensión crítica al problema de seguridad global.
Estas infiltraciones no son nuevas: Google ya había advertido previamente sobre campañas dirigidas contra desarrolladores, entidades financieras y plataformas tecnológicas en Europa. Ahora, el uso del blockchain como vector operativo intensifica la amenaza.
Uso de servicios centralizados como disfraz
Corea del Norte no interactúa directamente con las cadenas de bloques. En su lugar, utiliza servicios centralizados tipo Web2 para enviar y recibir información, evitando así los mecanismos de control típicos del entorno descentralizado. Esta estrategia permite ocultar sus operaciones dentro de flujos de tráfico aparentemente legítimos.
Además, estos puntos intermedios —como servicios API controlados por terceros— actúan como cortafuegos que dificultan el rastreo directo del malware hasta sus autores.
El auge de las ciberamenazas con respaldo estatal
Google destaca que más del 50% de las amenazas digitales detectadas en 2024 fueron de origen financiero, lo que demuestra una tendencia clara hacia el uso del ciberespacio como arma económica. Dentro de esta dinámica, Corea del Norte e Irán figuran entre los principales estados promotores de ataques coordinados y altamente sofisticados.
En paralelo, se observa un aumento preocupante del uso de malware tipo infostealer, capaz de robar datos personales, y de nuevas formas de explotación dentro del ecosistema Web3.
Una amenaza en evolución constante
El estudio concluye que los actores estatales están adoptando tácticas cada vez más difíciles de detectar, lo que hace necesario reforzar la cooperación internacional en materia de ciberseguridad. España, como parte del ecosistema digital global, se convierte en un objetivo especialmente vulnerable.
Para mitigar este tipo de riesgos, los expertos recomiendan a las empresas españolas revisar sus sistemas de acceso, actualizar protocolos de seguridad y establecer canales de colaboración con entidades como INCIBE.
El papel de Google en la detección de amenazas
Gracias a sus herramientas de análisis de tráfico, Google ha podido identificar comportamientos anómalos en entornos que, hasta ahora, se consideraban seguros por definición. El hecho de que estas amenazas se oculten en estructuras tecnológicas innovadoras, como blockchain, obliga a repensar los conceptos tradicionales de protección digital.
La presencia activa de Corea del Norte en el ecosistema digital español y europeo confirma que la ciberseguridad ya no es una opción, sino una prioridad estratégica para gobiernos y empresas por igual.
