En la investigación sobre el ciberataque que dejó a Drift sin 285 millones de dólares el 1 de abril de 2026, lo que inicialmente parecía un golpe rápido ha quedado revelado como el desenlace de una operación de ingeniería social planificada durante meses y dirigida por actores ligados a la República Popular Democrática de Corea (RPDC). Drift describe el incidente como “un ataque de seis meses de preparación”, y señala con confianza media a un conjunto de actores conocido en los círculos de ciberseguridad como UNC4736 —también citado bajo los nombres AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces—, un grupo con larga trayectoria en el robo de criptomonedas desde al menos 2018. La propia apreciación de Drift, que está trabajando con fuerzas de orden público y peritos forenses para reconstruir la cadena de eventos, se puede consultar en sus comunicados y entradas técnicas publicadas por la firma: https://drift.trade/blog/.
Lo que hace especialmente preocupante este ataque no fue una vulnerabilidad técnica sencilla, sino la meticulosidad con la que los atacantes construyeron confianza dentro de la comunidad. Según las explicaciones públicas de Drift, desde el otoño de 2025 individuos que se presentaban como una firma de trading cuantitativo comenzaron a establecer relaciones cara a cara con contribuyentes clave de Drift durante conferencias internacionales del ecosistema cripto. Fueron encuentros sucesivos, con perfiles profesionales cuidadosamente montados, que desembocaron en conversaciones técnicas continuadas y en la creación de un grupo de Telegram donde se discutieron estrategias, integraciones y herramientas durante meses. Esta praxis —apuntar, ganarse la confianza y validar profesionalmente una identidad falsa— encaja con tácticas de ingeniería social sofisticadas descritas en otros incidentes recientes.
La operación incluyó pasos deliberados para aparentar legitimidad: depósitos superiores a 1 millón de dólares, el alta de un Ecosystem Vault en Drift con documentación estratégica, intercambio de enlaces a proyectos y, según Drift, un patrón de preguntas técnicas muy informadas que simulaban el comportamiento típico de un socio comercial. Todo ello creó una presencia operativa funcional que, hasta la fase final, parecía auténtica. Poco después del asalto, los canales de mensajería y cierto software que habían usado los atacantes fueron eliminados, complicando la trazabilidad.
La pieza técnica clave detrás de la intrusión pudo ser doble: por un lado, un colaborador podría haber ejecutado código tras clonar un repositorio compartido por la supuesta firma; por otro, otro contribuyente fue persuadido para instalar a través de Apple TestFlight una versión de una billetera que debía probarse en beta. El vector del repositorio habría abusado de un mecanismo legítimo de Microsoft Visual Studio Code: la ejecución automática de tareas definida en el archivo tasks.json usando la opción "runOn: folderOpen", lo que permite que una acción se dispare cuando se abre el workspace en el editor. Es un método de explotación que fue detectado en campañas atribuidas a actores norcoreanos desde diciembre de 2025 y que motivó cambios en VS Code; Microsoft documenta las actualizaciones y controles de seguridad en sus notas de versión: https://code.visualstudio.com/updates.
Los lazos entre esta operación y otras campañas con sello norcoreano no son solo circunstanciales. Drift apunta a pruebas on-chain que conectan flujos de fondos utilizados para probar y montar esta operación con actores responsables del asalto a Radiant Capital, que sufrió un robo de 53 millones de dólares en octubre de 2024. Además, las técnicas y las identidades fabricadas muestran solapamientos con actividades previamente atribuidas a la RPDC. Este tipo de análisis técnico y de inteligencia operativa ha sido también objeto de publicaciones en la industria —por ejemplo, los informes de CrowdStrike sobre variantes como Golden Chollima, que describen una rama del programa norcoreano orientada específicamente al robo de criptodivisas mediante ataques a fintechs pequeñas y medianas en Occidente y Asia—: https://www.crowdstrike.com/blog/.
La motivación económica es clara y, según expertos, persistente. Informes recientes sostienen que, aun con algunos avances diplomáticos y económicos con aliados como Rusia, la RPDC necesita generar ingresos fuera de sanciones para sustentar programas militares ambiciosos, desde nuevos buques hasta proyectos espaciales. En ese contexto, la explotación sistemática del sector cripto se ha convertido en una fuente regular de financiación. Organizaciones como Chainalysis han documentado de forma recurrente cómo las criptomonedas facilitan el reciclado y la evasión de sanciones, y cómo fluyen pagos procedentes de operaciones cibernéticas hacia redes que favorecen a Pionyang: https://blog.chainalysis.com/.
Pero la arquitectura operativa norcoreana no se limita a “hackers” aislados: investigaciones de DomainTools apuntan a una estrategia de desarrollo de malware y operaciones deliberadamente fragmentada. Según esos análisis, el ecosistema se ha organizado en pistas de trabajo separadas —espionaje, generación de fondos ilícitos y operaciones de impacto como ransomware o wipers— con herramientas, infraestructura y patrones operativos compartimentados para minimizar el riesgo de exposición y enturbiar la atribución. El propio análisis de DomainTools resume cómo esa fragmentación complica que un fallo en una campaña revele el conjunto del programa: https://www.domaintools.com/blog/.
Esta fragmentación incluye también tácticas humanas y logísticas complejas. Entre las técnicas documentadas figuran campañas de “fraude al trabajador IT” en las que operadores norcoreanos y una red de facilitadores crean identidades falsas, reclutan desarrolladores en el extranjero y colocan a esas personas en empleos remotos en organizaciones occidentales. Los trabajadores pueden usar laptops remitidas por facilitadores en “laptop farms” y son guiados para pasar entrevistas, actualizar currículums y asumir roles legítimos que luego explotan para introducir backdoors, exfiltrar datos o robar activos digitales. Informes de IBM X-Force y otros analistas han descrito la magnitud y la sistematicidad de estos programas; IBM mantiene recursos y análisis en: https://www.ibm.com/security/xforce.
El alcance geográfico de las redes de reclutamiento tampoco es anecdótico: evidencias recientes muestran intentos de captación en países como Irán, Siria, Líbano y Arabia Saudí, con algunas contrataciones reales y ofertas emitidas por empleadores estadounidenses. Además, facilitadores contactan candidatos en plataformas profesionales, los preparan para entrevistas e incluso actúan como “callers” para superar pruebas técnicas. Estudios de firmas como Flare han documentado ejemplos de este proceso y la conexión entre las remuneraciones en criptomoneda y el flujo de fondos hacia la RPDC.
Para la comunidad cripto y para cualquier organización que integre código de terceros, el ataque a Drift es un recordatorio severo de que la seguridad no sólo es técnica sino también humana. La ingeniería social avanzada, la validación de identidades y la vetting de integraciones externas son tan importantes como las auditorías de código y las revisiones de infraestructura. La explotación de flujos de trabajo cotidianos —clonar un repositorio, abrir un proyecto en un editor, probar una app en TestFlight— puede ser la puerta de entrada para una operación que se cocina durante meses.
Las lecciones que deja este episodio ya están impulsando cambios: desde la atención renovada sobre las configuraciones por defecto de herramientas de desarrollo hasta la necesidad de controles más estrictos en procesos de onboarding y en la gestión de relaciones con contrapartes. También subrayan la importancia de la colaboración entre proyectos cripto, empresas de seguridad y agencias gubernamentales para rastrear transacciones on-chain, desmantelar infraestructuras de lavado y compartir indicadores de compromiso. Si se quiere profundizar en medidas concretas y en alertas sobre técnicas específicas, las notas públicas de seguridad de empresas como Microsoft y los análisis sectoriales públicos constituyen lectura obligada: https://code.visualstudio.com/updates y las publicaciones de los equipos de respuesta a incidentes en CrowdStrike, IBM X-Force y Chainalysis proporcionan contexto adicional.
En definitiva, el asalto a Drift no es un suceso aislado, sino un ejemplo más de cómo un actor estatal con recursos y un programa organizado puede combinar ingeniería social, supply chain y explotaciones técnicas aparentemente inofensivas para sustraer cantidades masivas de valor. Mientras la comunidad aprende de este incidente y endurece prácticas, la historia muestra que los adversarios también evolucionan; la ventaja, por ahora, la tiene quien integre mejor la seguridad humana y técnica en todos los eslabones del ecosistema.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...