La IA Deepfake se convierte en un nuevo arma para atacar a las empresas de criptomonedas de Corea del Norte: Google advierte

El equipo de seguridad de Mandiant de Google advierte que hackers de Corea del Norte están integrando tecnología deepfake generada por IA en reuniones de video falsas, como parte de una campaña de ataques cada vez más sofisticados dirigidos a empresas de criptomonedas, según un informe publicado el lunes.

Mandiant indica que recientemente investigaron una intrusión en una empresa fintech, atribuida a UNC1069 (también conocido como “CryptoCore”), un actor de amenazas con un alto grado de relación con Corea del Norte. El ataque utilizó una cuenta de Telegram comprometida, una reunión falsa de Zoom y la técnica ClickFix para engañar a la víctima y hacer que ejecutara comandos maliciosos. Los investigadores también encontraron evidencia de que se había utilizado un video generado por IA en la reunión falsa para engañar al objetivo.

Según el informe, Mandiant detectó que UNC1069 implementó estas técnicas para atacar tanto a organizaciones como a individuos en el sector de las criptomonedas, incluyendo empresas de software, programadores, fondos de inversión de riesgo, así como su personal y líderes.

La campaña de robo de criptomonedas de Corea del Norte se intensifica

La advertencia se emite en un contexto donde los robos de criptomonedas relacionados con Corea del Norte continúan aumentando en escala. A mediados de diciembre, la firma de análisis blockchain Chainalysis informó que hackers norcoreanos habían robado 2,02 mil millones de dólares en criptomonedas en 2025, un aumento del 51% respecto al año anterior. El valor total de activos digitales sustraídos por grupos vinculados a Pyongyang se estima en aproximadamente 6,75 mil millones de dólares, aunque el número de ataques ha disminuido.

Estos hallazgos muestran un cambio en la forma en que operan los grupos de ciberdelincuentes con vínculos estatales. En lugar de realizar campañas de phishing masivas, CryptoCore y grupos similares se enfocan en ataques altamente personalizados, explotando la confianza en interacciones digitales familiares como invitaciones a reuniones o llamadas de video. De esta forma, los hackers pueden robar mayor valor con menos incidentes, pero con objetivos claros.

Según Mandiant, el ataque comenzó cuando la víctima fue contactada a través de Telegram por una persona que parecía ser un líder familiar en el sector de las criptomonedas, pero que en realidad había sido controlada por hackers. Tras generar confianza, el atacante envió un enlace de Calendly para programar una reunión de 30 minutos, dirigiendo a la víctima a una llamada de Zoom falsa alojada en la infraestructura privada del grupo. En la llamada, la víctima afirmó haber visto un video deepfake de un CEO de criptomonedas muy conocido.

Al comenzar la reunión, el hacker alegó problemas de audio y guió a la víctima a ejecutar comandos de “solución de errores” —una variante de la técnica ClickFix— que activaron un malware. La análisis forense posterior detectó siete diferentes tipos de malware en el sistema de la víctima, diseñados para robar credenciales, datos del navegador y tokens de sesión, con fines de robo financiero y suplantación.

Deepfake y IA mejoran las tácticas de suplantación

Fraser Edwards, cofundador y CEO de cheqd, una empresa de reconocimiento descentralizado, opina que el incidente refleja una tendencia en la que los hackers apuntan cada vez más a individuos que dependen de reuniones en línea y trabajo remoto. Según él, la efectividad de este método radica en que casi no presenta signos evidentes de anomalías: remitentes familiares, formatos de reunión conocidos, sin archivos adjuntos ni vulnerabilidades obvias. La confianza se explota antes de que las medidas técnicas de protección puedan intervenir.

Edwards explica que los videos deepfake suelen usarse en etapas avanzadas, por ejemplo, en llamadas en vivo, cuando la imagen de un rostro familiar puede eliminar dudas surgidas por solicitudes inusuales o fallos técnicos. El objetivo no es prolongar la interacción, sino que basta con que la imagen sea lo suficientemente realista para motivar a la víctima a dar el siguiente paso.

También destaca que la IA se usa actualmente para apoyar la suplantación fuera de las llamadas en vivo, incluyendo la redacción de mensajes, la modificación del tono y la simulación del estilo de comunicación habitual de una persona con colegas o amigos. Esto hace que los mensajes cotidianos sean más difíciles de sospechar y reduce la probabilidad de que la víctima se detenga a verificar la autenticidad.

Edwards advierte que el riesgo seguirá creciendo a medida que las tecnologías de IA se integren más profundamente en la comunicación y la toma de decisiones diarias. Estos sistemas pueden enviar mensajes, programar llamadas y actuar en nombre del usuario a velocidad de máquina. Si se abusan o se hackean, los deepfakes de audio y video podrían desplegarse automáticamente, transformando los intentos de suplantación manual en procesos escalables.

Considera que no es realista esperar que la mayoría de los usuarios detecten los deepfakes por sí mismos. En lugar de exigir mayor vigilancia, es necesario construir sistemas de protección por defecto, mejorar los mecanismos de autenticación y mostrar la veracidad del contenido, para que los usuarios puedan identificar rápidamente si la información es real, ha sido generada por IA o no ha sido verificada, en lugar de confiar en la intuición o familiaridad.