Cuando el enemigo lleva 6 meses sentado a tu mesa: El hackeo de 285 millones de dólares

Abril 2026 | Blog HackBlock | N. Korean hacker silhouette with North Korean flag. Bill Hinton/Getty.

Hay robos que se ejecutan en minutos. Y hay robos que se preparan durante meses, con paciencia quirúrgica, construyendo confianza pieza a pieza hasta que el objetivo baja la guardia completamente.

El hackeo que sufrió Drift el 1 de abril de 2026 es del segundo tipo. Y lo que revela sobre el futuro de la ingeniería social debería quitarle el sueño a cualquier director técnico o responsable de seguridad.

Seis meses de teatro perfecto

Drift, el exchange descentralizado basado en Solana, reveló que el ataque que les costó 285 millones de dólares fue la culminación de una operación de ingeniería social planificada durante meses, atribuida con confianza media al grupo de hackers norcoreanos UNC4736, también conocido como Citrine Sleet o Golden Chollima. thehackernews

No entraron por una vulnerabilidad de día cero. No compraron credenciales en la dark web. Hicieron algo mucho más difícil de detectar y mucho más difícil de defender: se ganaron la confianza de las personas adecuadas.

Todo comenzó en el otoño de 2025, cuando individuos que se hacían pasar por una empresa de trading cuantitativo abordaron a colaboradores de Drift en conferencias internacionales de criptodivisas. Durante seis meses, construyeron relaciones con personas específicas del equipo en múltiples países.

¿El pretexto? Integraciones técnicas. Conversaciones sobre estrategias de trading. Preguntas detalladas e informadas sobre el producto. Todo absolutamente normal.

La parte que más impacta

Aquí viene el detalle que cambia todo:

Los actores depositaron más de un millón de dólares propios en el ecosistema de Drift. Fue un movimiento calculado para construir una presencia operativa funcional dentro del sistema.

Invirtieron dinero real para ganarse credibilidad real. No estaban improvisando. Estaban ejecutando un plan con un ROI calculado. Gastaron un millón para robar 285 millones.

Y los individuos que aparecieron en persona ni siquiera eran ciudadanos norcoreanos. Los actores que operan a este nivel utilizan intermediarios externos para realizar la construcción de relaciones cara a cara. Lo cual hace que nadie sospeche de que sean norcoreanos.

Piénsalo, es mucho más sencillo subcontratar una cara visible con presencia profesional real y conocimiento técnico sólido que conseguir descubrir un exploit zero day.

El vector de ataque final

Después de meses de groundwork, el ataque técnico fue casi trivial.

Se sospecha que uno de los vectores de compromiso fue un repositorio de código malicioso compartido como parte del proceso de integración, que utilizaba un proyecto de Visual Studio Code con un archivo tasks.json manipulado para ejecutar código malicioso automáticamente al abrir el proyecto.

El otro vector: una app de wallet enviada por TestFlight de Apple para "beta testing".

Dos acciones completamente cotidianas para cualquier desarrollador. Clonar un repo de un partner. Probar una app en beta. Acciones que cualquier miembro técnico de tu equipo haría sin pensarlo dos veces después de meses construyendo una relación de confianza.

Lo que esto nos dice del futuro

Este ataque no es una anomalía. Es una señal de hacia dónde van los cibercriminales más sofisticados, y el patrón ya se está democratizando hacia atacantes con menos recursos.

Las investigaciones muestran que los perfiles usados en esta operación tenían identidades completamente construidas, con historiales de empleo, credenciales públicas y redes profesionales capaces de superar cualquier escrutinio en una relación de negocio normal.

Traducido al mundo de las empresas medianas españolas: el próximo ataque dirigido a tu organización no llegará con errores ortográficos en un email. Llegará con un perfil de LinkedIn impecable, referencias verificables, y meses de conversaciones genuinamente útiles antes de pedirte nada.

El phishing ya no es un email. Es una relación compleja.

La pregunta que deberías hacerte

¿Cuántas personas de tu equipo técnico reciben solicitudes de conexión de desconocidos que les piden revisar código, probar herramientas o colaborar en proyectos?

¿Tienen criterio para distinguir una oportunidad legítima de un vector de ataque en construcción?

¿Sabes cuánto tarda un atacante paciente en ganarse la confianza de tu CTO?

En HackBlock llevamos tiempo diciéndolo. El firewall más vulnerable de cualquier empresa está en la cabeza de las personas que abren repositorios, instalan apps y aceptan colaboraciones.

Los simulacros de phishing hiperrealistas no son un ejercicio obligatoria en auditorías. Son la única forma de saber, con datos reales, cuánto tiempo aguanta tu equipo ante un atacante que se ha tomado el tiempo de ganarse su confianza.

Porque si esperas a que te roben los 285 millones para averiguarlo será demasiado tarde.

¿Quieres saber qué haría tu equipo frente a un ataque de ingeniería social real? En HackBlock diseñamos simulacros que imitan exactamente estas tácticas hiperpersonalizadas. Habla con nosotros.