Google alerta sobre intento de hackeo patrocinado por el estado a CZ, fundador de Binance, en medio de crecientes amenazas cibernéticas norcoreanas

Resumen ejecutivo

El cofundador de Binance, Changpeng "CZ" Zhao, recibió recientemente una alerta de seguridad de Google que indicaba un presunto ciberataque patrocinado por el estado dirigido a su cuenta personal. El incidente, que sugiere un intento de robar su contraseña, es consistente con los métodos atribuidos al Grupo Lazarus de Corea del Norte. Este evento destaca una tendencia más amplia e intensificada de sofisticadas amenazas cibernéticas contra la industria de las criptomonedas, marcada por un cambio estratégico de los exploits técnicos a las tácticas de ingeniería social.

El evento en detalle

Changpeng "CZ" Zhao fue notificado por Google de un intento "respaldado por el gobierno" de comprometer su cuenta. Dichas alertas suelen reservarse para usuarios de alto riesgo que enfrentan amenazas de estados-nación, lo que subraya la gravedad y la naturaleza sofisticada del intento de violación. Si bien la notificación de Google no confirma una violación exitosa, sirve como una advertencia crítica. Este incidente se alinea con las advertencias públicas previas de CZ con respecto a los hackers norcoreanos, específicamente el Grupo Lazarus, que se infiltran en las empresas de criptomonedas. Estas tácticas con frecuencia implican suplantación de identidad, como hacerse pasar por solicitantes de empleo o reclutadores, y aprovechar las oportunidades de empleo para implementar malware u obtener acceso no autorizado.

Implicaciones para el mercado

El intento de compromiso de la cuenta de CZ ocurre en medio de un aumento significativo en el cibercrimen relacionado con las criptomonedas atribuido a entidades norcoreanas. En 2024, los hackers norcoreanos supuestamente robaron 1.340 millones de dólares en 47 ataques, lo que representa el 61% del total de fondos robados ese año y un aumento del 103% con respecto a 2023. Esta tendencia se aceleró en 2025, con más de 2.000 millones de dólares en criptoactivos robados, lo que eleva su robo acumulado a más de 6.000 millones de dólares desde 2017. Un incidente notable fue el hackeo del intercambio Bybit en febrero de 2025, donde aproximadamente 401.347 Ethereum (ETH), valorados en más de 1.400 millones de dólares, fueron robados de una billetera fría. El análisis forense sugiere que el Grupo Lazarus utilizó phishing avanzado e ingeniería social para eludir los protocolos de seguridad y explotar las vulnerabilidades en los procesos de autenticación de múltiples firmas.

Esta escalada señala una mayor cautela y preocupación dentro de las empresas de criptomonedas y entre los usuarios con respecto a los riesgos de ciberseguridad. Los ataques se dirigen cada vez más a las vulnerabilidades humanas a través de la ingeniería social, como lo demuestra una disminución reportada del 37% en las pérdidas totales de criptomonedas en el tercer trimestre de 2025, junto con un aumento en las violaciones de ingeniería social.

Comentarios de expertos y respuestas de la empresa

Los líderes de la industria han expresado sus preocupaciones y han implementado protocolos de seguridad mejorados. CZ ha advertido constantemente a las empresas de criptomonedas que refuercen la seguridad en la contratación, señalando que los hackers norcoreanos se hacen pasar por solicitantes de empleo o reclutadores para insertar malware en muestras de código, actualizaciones falsas de Zoom y enlaces de soporte al cliente. Se informa que estos grupos respaldados por el estado se dirigen a roles de desarrollador, seguridad y finanzas, utilizando portfolios infectados o enlaces de entrevista maliciosos para comprometer los sistemas internos. Brian Armstrong, CEO de Coinbase, se hizo eco de estas preocupaciones, afirmando que agentes de la República Popular Democrática de Corea (RPDC) han buscado repetidamente trabajos remotos en Coinbase para acceder a sistemas sensibles. Coinbase está considerando salvaguardias más estrictas, incluida la capacitación obligatoria en persona y la restricción del acceso a ciertos sistemas a ciudadanos estadounidenses con verificaciones de huellas dactilares.

En respuesta a las amenazas en evolución, Binance emplea un enfoque de cumplimiento multicapa. Nils Andersen-Röed, Jefe Global de la Unidad de Inteligencia Financiera de Binance, destacó el uso de herramientas que cruzan la información del usuario con bases de datos globales, sistemas de monitoreo de transacciones en tiempo real que utilizan aprendizaje automático y colaboración activa con las agencias de aplicación de la ley a nivel mundial. Estas medidas están diseñadas para detectar, responder y prevenir actividades ilícitas, incluidos los sofisticados intentos de ingeniería social. Los expertos aconsejan medidas de seguridad básicas como el uso de la autenticación de dos factores (2FA) a través de aplicaciones de autenticación y la rotación regular de contraseñas, junto con el monitoreo continuo de los dispositivos vinculados.

Contexto más amplio: Motivaciones geopolíticas y perspectivas futuras

Se cree ampliamente que las actividades cibernéticas persistentes y crecientes del Grupo Lazarus financian el programa de armas nucleares de Corea del Norte. Esta motivación geopolítica subraya los altos riesgos y la evolución continua de sus tácticas. Se ha observado que el grupo crea negocios estadounidenses falsos, como Blocknovas LLC y Softglide LLC, para distribuir malware a través de ofertas de trabajo engañosas, lo que ilustra aún más su sofisticado enfoque de infiltración. El FBI ha respondido activamente, incautando el sitio web de Blocknovas, que se utilizó para difundir malware y engañar a las personas.

Esta tendencia probablemente impulsará una mayor inversión en soluciones de seguridad avanzadas, protocolos de contratación más estrictos y métodos de autenticación de usuarios mejorados en todo el sector de las criptomonedas. También podría influir en las discusiones regulatorias en torno a los estándares de ciberseguridad, impulsando marcos más sólidos para proteger los activos digitales y los datos de los usuarios. La naturaleza sostenida de estos ataques requiere una vigilancia continua, un intercambio de información colaborativo entre los intercambios y las fuerzas del orden, y una adaptación continua de las medidas de seguridad para contrarrestar las estrategias cada vez más engañosas empleadas por los actores de amenazas patrocinados por el estado. El incidente que involucra a CZ sirve como un duro recordatorio de que incluso los líderes de la industria siguen siendo objetivos principales para estas sofisticadas operaciones cibernéticas, enfatizando la necesidad crítica de controles internos robustos y personal bien capacitado como la defensa más efectiva del sector de las criptomonedas.