La empresa de comercio electrónico cripto Bitrefill revela ciberataque y señala al grupo Lazarus de Corea del Norte como posible sospechoso

Bitrefill, una empresa de comercio electrónico de criptomonedas y tarjetas de regalo, declaró que fue víctima de un ciberataque probablemente perpetrado por el colectivo de hackers Lazarus Group, patrocinado por el estado de Corea del Norte, a principios de este mes.

"Basándonos en los indicadores observados durante la investigación - incluyendo el modus operandi, el malware utilizado, rastreo on-chain y direcciones IP + emails reutilizados (!) - encontramos muchas similitudes entre este ataque y los ataques cibernéticos anteriores del grupo DPRK Lazarus / Bluenoroff contra otras empresas del sector crypto”, dijo Bitrefill el martes, refiriéndose al subgrupo especializado de hackers Bluenoroff.

Según Bitrefill, los hackers lograron vaciar algunas de las hot wallets de la compañía y realizar compras sospechosas con sus proveedores. No está claro cuánto se perdió en el ataque, el cual supuestamente también pudo acceder a la "infraestructura más amplia de Bitrefill, incluyendo partes de nuestra base de datos y ciertas carteras de criptomonedas."

El ataque, que supuestamente comenzó el 1 de marzo, logró acceder a 18.500 registros de compras, revelando potencialmente "información limitada de clientes", como direcciones de correo electrónico, direcciones de pago crypto y metadatos incluyendo direcciones IP.

Alrededor de 1.000 de esos registros vulnerados presentan un mayor riesgo de haber revelado nombres de clientes cifrados. La empresa indicó que ha contactado a estos individuos.

La República Popular Democrática de Corea (DPRK) es la mayor y más activa amenaza para la seguridad crypto en la actualidad. Chainalysis estimó que los grupos y personas vinculadas a DPRK robaron un récord de 2,02 mil millones de dólares a través de robos de criptomonedas en 2025 — incluido el mayor exploit crypto hasta la fecha, el hackeo de Bybit exchange por parte de Lazarus por 1,5 mil millones de dólares — de un total de 3,4 mil millones en fondos crypto robados.

Bitrefill explicó que el ataque comenzó con el portátil de un empleado comprometido, un vector de ataque similar utilizado en otros casos. Lazarus, por ejemplo, suele intentar infiltrar trabajadores de IT fraudulentos dentro de servicios crypto para obtener acceso privilegiado a información o fondos, según Chainalysis.

Los exploits en el sector crypto suelen plantear preguntas sobre el almacenamiento corporativo de Información Personal Identificable (PII). El año pasado, Coinbase reveló que los ciberdelincuentes habían sobornado a representantes de servicio al cliente en el extranjero de la exchange para obtener datos de usuario y registros de gestión de cuentas, en un ataque que podría resultar en pérdidas de cientos de millones de dólares.

Bitrefill señaló que no requiere KYC obligatorio para la mayoría de las compras, y en los casos donde sí se requiere KYC, "los datos se mantienen exclusivamente con nuestro proveedor externo de KYC, sin copias de seguridad en nuestro sistema."

"Según nuestra investigación y nuestros registros, no tenemos motivos para pensar que los datos de los clientes fueron el objetivo de esta filtración", dijo Bitrefill. "No hay evidencia de que hayan extraído toda nuestra base de datos, solo que los atacantes realizaron un número limitado de consultas coherentes con intentos de sondear qué había para robar, incluyendo criptomonedas y el inventario de tarjetas de regalo de Bitrefill."

La compañía "absorberá" cualquier pérdida desde su capital operativo. Trabajó con las firmas de ciberseguridad zeroShadow, SEAL911, RecoverisTeam y otras durante la respuesta al ataque.

"Casi todo ha vuelto a la normalidad: pagos, inventario, cuentas", indicó Bitrefill, destacando que puso sus sistemas fuera de línea como parte de la respuesta inicial de contención. "Los volúmenes de ventas también han vuelto a la normalidad, y estamos eternamente agradecidos a nuestros clientes por su continua confianza en nosotros."