(CNN) — Un equipo de espías surcoreanos e investigadores privados estadounidenses se reunió en silencio en el servicio de inteligencia de Corea del Sur en enero, pocos días después de que Corea del Norte disparara tres misiles balísticos al mar.
Llevaban meses siguiendo la pista de US$ 100 millones robados a una empresa californiana de criptomonedas llamada Harmony, a la espera de que los hackers norcoreanos trasladaran las criptomonedas robadas a cuentas que pudieran convertirse en dólares o yuanes chinos, moneda fuerte que podría financiar el programa ilegal de misiles del país.
Cuando llegó el momento, los espías y detectives -que trabajaban en una oficina del gobierno en una ciudad, Pangyo, conocida como el Silicon Valley de Corea del Sur- solo tenían unos minutos para ayudar a incautar el dinero antes de que pudiera blanquearse a través de una serie de cuentas y convertirse en intocable.
Finalmente, a finales de enero, los hackers trasladaron una fracción de su botín a una cuenta de criptomoneda vinculada al dólar, cediendo temporalmente su control. Los espías y los investigadores se abalanzaron sobre la transacción y la pusieron en conocimiento de las fuerzas de seguridad estadounidenses, que estaban a punto de congelar el dinero.
El equipo de Pangyo ayudó a confiscar algo más de un millón de dólares ese día. Aunque los analistas afirman a CNN que la mayor parte de los US$ 100 millones robados siguen estando fuera del alcance de Corea del Norte en criptomoneda y otros activos controlados por Corea del Norte, fue el tipo de incautación que Estados Unidos y sus aliados necesitarán para evitar que Pyongyang obtenga grandes beneficios.
La operación encubierta, descrita a CNN por investigadores privados de Chainalysis, una empresa de rastreo de blockchain con sede en Nueva York, y confirmada por el Servicio Nacional de Inteligencia de Corea del Sur, ofrece una rara ventana al turbio mundo del espionaje de criptomoneda, y el floreciente esfuerzo para cerrar lo que se ha convertido en un negocio multimillonario para el régimen autoritario de Corea del Norte.
En los últimos años, hackers norcoreanos han robado miles de millones de dólares a bancos y empresas de criptomonedas, según informes de la Organización de las Naciones Unidas (ONU) y empresas privadas. A medida que los investigadores y los reguladores se han ido dando cuenta, el régimen norcoreano ha ido probando formas cada vez más elaboradas de blanquear ese dinero digital robado y convertirlo en moneda fuerte, según explican a CNN funcionarios estadounidenses y expertos privados.
Cortar el flujo de criptomonedas de Corea del Norte se ha convertido rápidamente en un imperativo de seguridad nacional para Estados Unidos y Corea del Sur. La capacidad del régimen para utilizar el dinero digital robado -o las remesas de los trabajadores informáticos norcoreanos en el extranjero- para financiar sus programas de armamento forma parte del conjunto habitual de productos de inteligencia que se presentan a los altos funcionarios estadounidenses, incluido, en ocasiones, el presidente Joe Biden, según un alto funcionario estadounidense.
Los norcoreanos «necesitan dinero, así que van a seguir siendo creativos», declaró el funcionario a CNN. «No creo que dejen de buscar formas ilícitas de obtener fondos porque se trata de un régimen autoritario sometido a fuertes sanciones».
El pirateo de criptodivisas por parte de Corea del Norte fue uno de los temas principales en una reunión celebrada el 7 de abril en Seúl, en la que diplomáticos estadounidenses, japoneses y surcoreanos hicieron pública una declaración conjunta en la que lamentaban que el régimen de Kim Jong Un siga «volcando sus escasos recursos en sus programas de ADM (armas de destrucción masiva) y misiles balísticos».
«También estamos profundamente preocupados por cómo Corea del Norte apoya estos programas robando y blanqueando fondos, así como recopilando información a través de actividades cibernéticas maliciosas», decía la declaración trilateral, utilizando el acrónimo DPRK para el gobierno norcoreano.
Corea del Norte negó anteriormente acusaciones similares. CNN envió un correo electrónico y llamó a la embajada de Corea del Norte en Londres en busca de comentarios.
«Corea del Norte Inc» se hace virtual
Desde finales de la década de 2000, las autoridades estadounidenses y sus aliados rastrean las aguas internacionales en busca de indicios de que Corea del Norte esté eludiendo las sanciones mediante el tráfico de armas, carbón u otros cargamentos valiosos, una práctica que continúa. Ahora, los hackers y los blanqueadores de dinero de Pyongyang, por un lado, y las agencias de inteligencia y las fuerzas del orden de Washington a Seúl, por otro, ofrecen un giro muy moderno a esta contienda.
El FBI y el Servicio Secreto han encabezado esa labor en Estados Unidos (ambas agencias declinaron hacer comentarios cuando CNN les preguntó cómo rastrean el blanqueo de dinero norcoreano). El FBI informó en enero que congeló una parte no especificada de los US$ 100 millones robados a Harmony.
La sucesión de miembros de la familia Kim que ha gobernado Corea del Norte durante los últimos 70 años ha utilizado todas las empresas estatales para enriquecer a la familia y garantizar la supervivencia del régimen, según expertos.
Es un negocio familiar que el académico John Park llama «Corea del Norte Inc».
Kim Jong Un, el actual dictador de Corea del Norte, «redobló las capacidades cibernéticas y el robo de criptomonedas como generador de ingresos para su régimen familiar», dijo Park, quien dirige el Proyecto Corea en el Centro Belfer de la Harvard Kennedy School. «Corea del Norte Inc se volvió virtual».
En comparación con el comercio de carbón del que Corea del Norte ha dependido para obtener ingresos en el pasado, el robo de criptomoneda es mucho menos intensivo en mano de obra y capital, dijo Park. Y los beneficios son astronómicos.
El año pasado, en todo el mundo se registró la cifra récord de US$ 3.800 millones en criptomonedas robadas, según Chainalysis. Casi la mitad de esa cantidad, US$ 1.700 millones, fue obra de hackers vinculados a Corea del Norte, dijo la empresa.
Se desconoce cuánto de los miles de millones en criptomonedas robadas ha podido convertir Corea del Norte en dinero en efectivo. En una entrevista, un funcionario del Departamento del Tesoro estadounidense centrado en Corea del Norte se negó a dar una estimación. El registro público de las transacciones de blockchain ayuda a los funcionarios estadounidenses a rastrear los esfuerzos de los presuntos operativos norcoreanos para mover criptomoneda, dijo el funcionario del Tesoro.
Pero cuando Corea del Norte recibe ayuda de otros países para blanquear ese dinero es «increíblemente preocupante», dijo el funcionario. (Se negaron a nombrar un país en particular, pero Estados Unidos acusó en 2020 a dos hombres chinos por presuntamente blanquear más de US$ 100 millones para Corea del Norte).
Los hackers de Pyongyang también han registrado las redes de varios gobiernos y empresas extranjeras en busca de información técnica clave que podría ser útil para su programa nuclear, según un informe privado de la ONU de febrero revisado por CNN.
Medidas enérgicas
Un portavoz del Servicio Nacional de Inteligencia de Corea del Sur declaró a CNN que este organismo desarrolló un sistema de «intercambio rápido de inteligencia» con aliados y empresas privadas para responder a la amenaza, y que busca nuevas formas de impedir el contrabando de criptomoneda robada a Corea del Norte.
Los esfuerzos recientes se han centrado en el uso por parte de Corea del Norte de lo que se conoce como servicios de mezcla, herramientas disponibles públicamente que se utilizan para ocultar el origen de las criptomonedas.
El 15 de marzo, el Departamento de Justicia y las fuerzas de seguridad europeas anunciaron el cierre de un servicio de mezcla conocido como ChipMixer, que los norcoreanos supuestamente utilizaron para blanquear una cantidad no especificada de los aproximadamente US$ 700 millones robados por hackers en tres robos de criptomonedas diferentes, incluido el robo de US$ 100 millones de Harmony, la empresa de criptomonedas de California.
Los investigadores privados utilizan software de seguimiento de blockchain -y sus propios ojos cuando el software les alerta- para determinar con precisión el momento en que los fondos robados salen de las manos de los norcoreanos y pueden ser incautados. Pero esos investigadores necesitan relaciones de confianza con las fuerzas de seguridad y las empresas de criptomonedas para actuar con la rapidez suficiente para recuperar los fondos.
Uno de los mayores contraataques estadounidenses hasta la fecha se produjo en agosto, cuando el Departamento del Tesoro sancionó a un servicio de «mezcla» de criptomonedas conocido como Tornado Cash, que supuestamente blanqueó US$ 455 millones para hackers norcoreanos.
Tornado Cash era especialmente valioso porque tenía más liquidez que otros servicios, lo que permitía que el dinero norcoreano se ocultara más fácilmente entre otras fuentes de fondos. Tornado Cash procesa ahora menos transacciones después de que las sanciones del Tesoro obligaran a los norcoreanos a buscar otros servicios de mezcla.
Según Chainalysis, presuntos operativos norcoreanos enviaron US$ 24 millones en diciembre y enero a través de un nuevo servicio de mezcla, Sinbad, pero aún no hay indicios de que Sinbad sea tan eficaz para mover dinero como Tornado Cash.
Las personas que están detrás de los servicios de mezcla, como Roman Semenov, desarrollador de Tornado Cash, suelen describirse a sí mismos como defensores de la privacidad que argumentan que sus herramientas de criptomoneda pueden utilizarse para bien o para mal, como cualquier tecnología. Pero eso no ha impedido que las fuerzas de seguridad tomen medidas enérgicas. En agosto, la policía neerlandesa detuvo a otro presunto creador de Tornado Cash, cuyo nombre no dio a conocer, por supuesto blanqueo de dinero.
Empresas privadas de rastreo de criptomonedas como Chainalysis cuentan cada vez más con antiguos agentes de la ley estadounidenses y europeos que aplican lo aprendido en el mundo secreto para rastrear el blanqueo de dinero de Pyongyang.
Elliptic, una empresa con sede en Londres que cuenta en su plantilla con exagentes de las fuerzas de seguridad, afirma que ayudó a incautar US$ 1,4 millones en dinero norcoreano robado en el hackeo de Harmony. Los analistas de Elliptic dicen a CNN que pudieron seguir el dinero en tiempo real en febrero cuando se movió brevemente a dos populares mercados de criptomonedas, Huobi y Binance. Los analistas dicen que notificaron rápidamente a los mercados, que congelaron el dinero.
«Es un poco como las importaciones de drogas a gran escala», dijo Tom Robinson, cofundador de Elliptic, a CNN. «Los norcoreanos están dispuestos a perder parte del dinero, pero la mayor parte probablemente se les escape por el volumen y la velocidad a la que lo hacen, y son bastante sofisticados».
Los norcoreanos no solo intentan robar a las empresas de criptomonedas, sino también directamente a otros ladrones de criptomonedas.
Después de que un hacker desconocido robara US$ 200 millones de la empresa británica Euler Finance en marzo, presuntos operativos norcoreanos intentaron tender una trampa: enviaron al hacker un mensaje en la blockchain aderezado con una vulnerabilidad que podría haber sido un intento de acceder a los fondos, según Elliptic. (La treta no funcionó).
Nick Carlsen, que fue analista de inteligencia del FBI centrado en Corea del Norte hasta 2021, estima que este país puede tener solo un par de cientos de personas centradas en la tarea de explotar la criptodivisa para evadir las sanciones.
Con un esfuerzo internacional para sancionar a los intercambios de criptodivisas deshonestos e incautar el dinero robado, a Carlsen le preocupa que Corea del Norte pueda recurrir a formas menos llamativas de fraude. En lugar de robar US$ 500 millones de una bolsa de criptomonedas, sugirió, los agentes de Pyongyang podrían montar un esquema Ponzi que atraiga mucho menos la atención.
Sin embargo, incluso con márgenes de ganancia reducidos, el robo de criptodivisas sigue siendo «tremendamente rentable», señaló Carlsen, que ahora trabaja en la empresa de investigación de fraudes TRM Labs. «Así que no tienen ninguna razón para parar».
Gawon Bae en Seúl y Richard Roth en Nueva York, de CNN, contribuyeron a este artículo.