(CNN) Un equipo de espías surcoreanos e investigadores privados estadounidenses se reunió discretamente en el servicio de inteligencia de Corea del Sur en enero, pocos días después de que Corea del Norte disparara tres misiles balísticos al mar.
Durante meses, habían estado rastreando $ 100 millones robados de una firma de criptomonedas de California llamada Harmony, esperando que los piratas informáticos de Corea del Norte movieran las criptomonedas robadas a cuentas que eventualmente podrían convertirse en dólares o yuanes chinos, moneda fuerte que podría financiar el comercio ilegal del país. programa de misiles
Cuando llegara el momento, los espías y sabuesos, que trabajaban en una oficina del gobierno en una ciudad, Pangyo, conocida como el Silicon Valley de Corea del Sur, tendrían solo unos minutos para ayudar a incautar el dinero antes de que pudiera lavarse a un lugar seguro a través de una serie. de cuentas y vuelto intocable.
Finalmente, a fines de enero, los piratas informáticos movieron una fracción de su botín a una cuenta de criptomonedas vinculada al dólar, renunciando temporalmente al control de la misma. Los espías e investigadores se abalanzaron y señalaron la transacción a los funcionarios encargados de hacer cumplir la ley de EE. UU. que estaban listos para congelar el dinero.
El equipo de Pangyo ayudó a incautar un poco más de un millón de dólares ese día. Aunque los analistas le dicen a CNN que la mayor parte de los 100 millones de dólares robados siguen fuera del alcance de las criptomonedas y otros activos controlados por Corea del Norte, fue el tipo de incautación que Estados Unidos y sus aliados necesitarán para evitar grandes ganancias para Pyongyang.
La operación encubierta, descrita a CNN por investigadores privados de Chainalysis, una firma de seguimiento de cadenas de bloques con sede en Nueva York, y confirmada por el Servicio Nacional de Inteligencia de Corea del Sur, ofrece una rara ventana al turbio mundo del espionaje de criptomonedas, y el creciente esfuerzo para cerrar lo que se ha convertido en un negocio multimillonario para el régimen autoritario de Corea del Norte.
En los últimos años, los piratas informáticos de Corea del Norte han robado miles de millones de dólares de bancos y empresas de criptomonedas, según informes de las Naciones Unidas y empresas privadas. A medida que los investigadores y los reguladores se dieron cuenta, el régimen de Corea del Norte ha estado probando formas cada vez más elaboradas de lavar ese dinero digital robado en moneda fuerte, según le dijeron a CNN funcionarios estadounidenses y expertos privados.
Cortar la tubería de criptomonedas de Corea del Norte se ha convertido rápidamente en un imperativo de seguridad nacional para los EE. UU. y Corea del Sur. La capacidad del régimen de usar el dinero digital robado, o las remesas de los trabajadores de TI de Corea del Norte en el extranjero, para financiar sus programas de armas es parte del conjunto regular de productos de inteligencia presentados a altos funcionarios estadounidenses, incluido, a veces, el presidente Joe Biden, un alto funcionario estadounidense. dijo el oficial.
Los norcoreanos “necesitan dinero, así que seguirán siendo creativos”, dijo el funcionario a CNN. «No creo [they] nunca van a dejar de buscar formas ilícitas de obtener fondos porque es un régimen autoritario bajo fuertes sanciones».
La piratería de criptomonedas de Corea del Norte fue lo más importante en una reunión del 7 de abril en Seúl, donde diplomáticos de EE. UU., Japón y Corea del Sur emitieron una declaración conjunta lamentando que el régimen de Kim Jong Un continúe «invirtiendo sus escasos recursos en armas de destrucción masiva». [weapons of mass destruction] y programas de misiles balísticos».
«También estamos profundamente preocupados por cómo la RPDC apoya estos programas mediante el robo y el lavado de fondos, así como la recopilación de información a través de actividades cibernéticas maliciosas», dijo la declaración trilateral, utilizando un acrónimo del gobierno de Corea del Norte.
Corea del Norte ha negado previamente acusaciones similares. CNN envió un correo electrónico y llamó a la Embajada de Corea del Norte en Londres en busca de comentarios.
‘North Korea Inc’ se vuelve virtual
A partir de fines de la década de 2000, los funcionarios estadounidenses y sus aliados rastrearon aguas internacionales en busca de señales de que Corea del Norte estaba evadiendo las sanciones mediante el tráfico de armas, carbón u otros cargamentos preciosos, una práctica que continúa. Ahora, se está desarrollando un giro muy moderno en esa competencia entre piratas informáticos y lavadores de dinero en Pyongyang, y agencias de inteligencia y funcionarios encargados de hacer cumplir la ley desde Washington hasta Seúl.
El FBI y el Servicio Secreto han encabezado ese trabajo en los EE. UU. (ambas agencias se negaron a comentar cuando CNN preguntó cómo rastrean el lavado de dinero de Corea del Norte). El FBI anunció en enero que había congelado una parte no especificada de los $ 100 millones robados de Harmony. .
Según los expertos, la sucesión de miembros de la familia Kim que han gobernado Corea del Norte durante los últimos 70 años han utilizado empresas estatales para enriquecer a la familia y garantizar la supervivencia del régimen.
Es una empresa familiar que el erudito John Park llama «North Korea Incorporated».
Kim Jong Un, el actual dictador de Corea del Norte, ha «doblado sus capacidades cibernéticas y el robo de criptomonedas como generador de ingresos para su régimen familiar», dijo Park, quien dirige el Proyecto de Corea en el Centro Belfer de la Escuela Kennedy de Harvard. «North Korea Incorporated se ha vuelto virtual».
En comparación con el comercio de carbón en el que Corea del Norte ha dependido para obtener ingresos en el pasado, robar criptomonedas requiere mucho menos mano de obra y capital, dijo Park. Y las ganancias son astronómicas.
El año pasado, se robó un récord de USD 3800 millones en criptomonedas en todo el mundo, según Chainalysis. Casi la mitad de eso, o $ 1.7 mil millones, fue obra de piratas informáticos vinculados a Corea del Norte, dijo la firma.
No está claro cuánto de sus miles de millones en criptomonedas robadas Corea del Norte ha podido convertir en efectivo. En una entrevista, un funcionario del Tesoro de EE. UU. centrado en Corea del Norte se negó a dar una estimación. El registro público de las transacciones de blockchain ayuda a los funcionarios estadounidenses a rastrear los esfuerzos de los presuntos operativos norcoreanos para mover criptomonedas, dijo el funcionario del Tesoro.
Pero cuando Corea del Norte recibe ayuda de otros países para lavar ese dinero, es «increíblemente preocupante», dijo el funcionario. (Se negaron a nombrar un país en particular, pero EE. UU. en 2020 acusó a dos hombres chinos por supuestamente lavar más de $ 100 millones para Corea del Norte).
Los piratas informáticos de Pyongyang también han rastreado las redes de varios gobiernos y empresas extranjeras en busca de información técnica clave que podría ser útil para su programa nuclear, según un informe privado de las Naciones Unidas de febrero revisado por CNN.
la represión
Un portavoz del Servicio Nacional de Inteligencia de Corea del Sur le dijo a CNN que ha desarrollado un esquema de «intercambio rápido de inteligencia» con aliados y empresas privadas para responder a la amenaza y está buscando nuevas formas de evitar que las criptomonedas robadas entren de contrabando en Corea del Norte.
Los esfuerzos recientes se han centrado en el uso de Corea del Norte de lo que se conoce como servicios de mezcla, herramientas disponibles públicamente que se utilizan para ocultar la fuente de la criptomoneda.
El 15 de marzo, el Departamento de Justicia y las agencias de aplicación de la ley europeas anunciaron el cierre de un servicio de mezcla conocido como ChipMixer, que los norcoreanos supuestamente usaron para lavar una cantidad no especificada de los aproximadamente $ 700 millones robados por piratas informáticos en tres criptoatracos diferentes, incluido el Robo de $100 millones de Harmony, la firma de criptomonedas de California.
Los investigadores privados utilizan software de seguimiento de cadenas de bloques, y sus propios ojos cuando el software los alerta, para determinar el momento en que los fondos robados salen de las manos de los norcoreanos y pueden ser incautados. Pero esos investigadores necesitan relaciones de confianza con las fuerzas del orden y las firmas de criptomonedas para moverse lo suficientemente rápido como para recuperar los fondos.
Uno de los mayores contraataques de EE. UU. hasta la fecha se produjo en agosto, cuando el Departamento del Tesoro sancionó un servicio de «mezcla» de criptomonedas conocido como Tornado Cash que supuestamente lavó $ 455 millones para los piratas informáticos de Corea del Norte.
Tornado Cash fue particularmente valioso porque tenía más liquidez que otros servicios, lo que permitía que el dinero de Corea del Norte se escondiera más fácilmente entre otras fuentes de fondos. Tornado Cash ahora está procesando menos transacciones después de que las sanciones del Tesoro obligaron a los norcoreanos a buscar otros servicios de mezcla.
Los presuntos agentes de Corea del Norte enviaron $ 24 millones en diciembre y enero a través de un nuevo servicio de mezcla, Sinbad, según Chainalysis, pero aún no hay señales de que Sinbad sea tan efectivo para mover dinero como Tornado Cash.
Las personas detrás de los servicios de mezcla, como el desarrollador de Tornado Cash, Roman Semenov, a menudo se describen a sí mismos como defensores de la privacidad que argumentan que sus herramientas de criptomonedas se pueden usar para bien o para mal como cualquier tecnología. Pero eso no ha impedido que las agencias de aplicación de la ley tomen medidas enérgicas. La policía holandesa arrestó en agosto a otro presunto desarrollador de Tornado Cash, a quien no nombró, por presunto lavado de dinero.
Las empresas privadas de seguimiento de criptomonedas como Chainalysis cuentan cada vez más con exagentes de las fuerzas del orden de EE. UU. y Europa que están aplicando lo que aprendieron en el mundo clasificado para rastrear el lavado de dinero de Pyongyang.
Elliptic, una empresa con sede en Londres que cuenta con ex agentes de la ley en su plantilla, afirma que ayudó a incautar 1,4 millones de dólares de dinero norcoreano robado en el hackeo de Harmony. Los analistas de Elliptic le dijeron a CNN que pudieron seguir el dinero en tiempo real en febrero cuando se movió brevemente a dos intercambios de criptomonedas populares, Huobi y Binance. Los analistas dicen que notificaron rápidamente a los intercambios, que congelaron el dinero.
“Es un poco como las importaciones de medicamentos a gran escala”, dijo a CNN Tom Robinson, cofundador de Elliptic. «[The North Koreans] están preparados para perder algo de eso, pero la mayoría probablemente pasa solo en virtud del volumen y la velocidad a la que lo hacen y son bastante sofisticados».
Los norcoreanos no solo intentan robar a las empresas de criptomonedas, sino también directamente a otros ladrones de criptomonedas.
Después de que un pirata informático desconocido robara $ 200 millones de la firma británica Euler Finance en marzo, presuntos operativos norcoreanos intentaron tenderle una trampa: enviaron al pirata informático un mensaje en la cadena de bloques con una vulnerabilidad que podría haber sido un intento de obtener acceso a los fondos. , según Elíptica. (La treta no funcionó.)
Nick Carlsen, quien fue analista de inteligencia del FBI enfocado en Corea del Norte hasta 2021, estima que Corea del Norte puede tener solo un par de cientos de personas enfocadas en la tarea de explotar criptomonedas para evadir sanciones.
Con un esfuerzo internacional para sancionar los intercambios de criptomonedas deshonestos y confiscar el dinero robado, a Carlsen le preocupa que Corea del Norte pueda recurrir a formas de fraude menos notorias. En lugar de robar 500 millones de dólares de un intercambio de criptomonedas, sugirió, los agentes de Pyongyang podrían establecer un esquema Ponzi que atraiga mucha menos atención.
Sin embargo, incluso con márgenes de ganancia reducidos, el robo de criptomonedas sigue siendo «tremendamente rentable», dijo Carlsen, quien ahora trabaja en la firma de investigación de fraudes TRM Labs. «Entonces, no tienen ninguna razón para detenerse».
Gawon Bae de CNN en Seúl y Richard Roth en Nueva York contribuyeron a este informe.