Banderas Ketman respaldadas por Ethereum revelan una infiltración generalizada de Corea del Norte en contrataciones de criptomonedas

Una nueva investigación respaldada por la Fundación Ethereum ha puesto nuevamente la atención en un problema de seguridad de larga data en las criptomonedas: operativos norcoreanos que se hacen pasar por desarrolladores remotos legítimos. En un reciente resumen de ETH Rangers de la Fundación Ethereum, la organización afirmó que un beneficiario financiado utilizó la beca para construir y escalar Ketman, un proyecto de inteligencia de amenazas enfocado en descubrir trabajadores de TI de DPRK dentro de proyectos blockchain. El resumen indicó que el equipo contactó aproximadamente a 53 proyectos e identificó alrededor de 100 diferentes trabajadores de TI de DPRK operando dentro de organizaciones Web3.

Los hallazgos surgieron después de que el comentarista de criptomonedas Colin Wu destacara el informe en X, diciendo que la revisión mostró que Ketman había descubierto unos 100 hackers norcoreanos infiltrándose en proyectos de criptomonedas. La publicación de Wu también señaló informes que indicaban que los operativos comúnmente usaban documentos de identidad japoneses falsificados para asegurar trabajos remotos en Web3, un detalle que encaja con el patrón descrito en el propio informe de Ketman sobre la infiltración en plataformas freelance.

El informe público de Ketman, publicado el 16 de abril de 2025, describe cómo la investigación comenzó con un actor sospechoso en el repositorio de un desarrollador legítimo y se expandió a un grupo más amplio vinculado al ecosistema freelance onlyDust. Los investigadores escribieron que primero notaron manipulación en el historial de cuentas, actividad de spam, cambios sospechosos de identidad y varias otras señales de alerta, para luego rastrear esas cuentas hasta una red más amplia de contribuyentes que trabajaban en múltiples repositorios. En el informe, Ketman afirma que descubrió actores que usaban múltiples alias, identidades falsas e incluso documentos fabricados como parte del proceso de contratación.

Alerta de Seguridad en Criptomonedas

Una de las partes más llamativas del informe de Ketman es la afirmación de que algunos de los actores sospechosos se presentaron como japoneses, aunque los investigadores finalmente concluyeron que estaban vinculados a actividades relacionadas con DPRK. El informe indica que un sujeto usó múltiples nombres y afirmó ser japonés, mientras que el equipo también hizo referencia a un documento japonés falso utilizado durante su proceso de verificación. Ketman señala que este tipo de lavado de identidad puede ayudar a los contribuyentes sospechosos a construir credibilidad, recolectar pagos y, posteriormente, usar esa experiencia para acceder a roles más sensibles.

El resumen de la Fundación Ethereum enmarcó este trabajo como parte de un esfuerzo de seguridad más amplio, en lugar de una investigación aislada. Junto con los hallazgos de Ketman, el resumen de ETH Rangers afirmó que el programa en general recuperó o congeló más de 5.8 millones de dólares, documentó más de 785 vulnerabilidades e identificó aproximadamente a 100 operativos patrocinados por el estado en todo el ecosistema. Ese contexto ayuda a explicar por qué la Fundación está tratando esta clase de amenaza como un problema operativo serio para los equipos de Web3, y no solo como un problema de investigación de nicho.

Ketman también ha argumentado públicamente que los equipos deberían verificar a los trabajadores remotos de manera más rigurosa, incluyendo llamadas por video y una mayor vigilancia de las inconsistencias en el comportamiento o las afirmaciones de identidad. En su informe, el proyecto señala que los documentos KYC por sí solos no son suficientes y recomienda pasos de verificación que vayan más allá de la documentación estática. La advertencia llega en un año en el que las autoridades estadounidenses han continuado señalando la actividad de trabajadores de TI norcoreanos como una amenaza en evolución, incluyendo extorsión de datos y otras formas de abuso relacionadas con estafas de empleo remoto.

Para las startups de criptomonedas, la conclusión es incómoda pero clara. La infiltración vinculada a Corea del Norte ya no es solo un problema de hacking en el borde de la red. También es un problema de contratación, de evaluación de contratistas y de confianza dentro de los equipos que dependen de la colaboración remota. Los hallazgos de Ketman sugieren que currículums falsos, historiales pulidos en GitHub y personajes convincentes en entrevistas aún pueden colarse, a menos que los proyectos refuercen la forma en que verifican a los desarrolladores antes de darles acceso al código, fondos o comunicaciones internas.