MetaMask y Corea del Norte: el desarrollador encubierto que estuvo un mes en el código

La empresa de ciberseguridad Consensys bloqueó el acceso del intruso antes de que pudiera causar daños; el caso ilustra la creciente infiltración de trabajadores norcoreanos en empresas cripto. Aunque no hubo robo, se avisó a las autoridades y se revisarán los procesos de contrat

Un currículum falso y una cuenta de GitHub fueron suficientes para que un desarrollador norcoreano accediera al código fuente de MetaMask, la wallet de criptomonedas que utilizan más de 30 millones de personas al mes. Ocurrió entre marzo y abril de este año. La empresa detrás de la wallet, Consensys, lo detectó antes de que pudiera robar un solo céntimo. Pero el susto fue mayúsculo.

El intruso se hizo pasar por un consultor llamado Tyler Knapp. Durante aproximadamente un mes, desde el 9 de marzo hasta abril —cuando Consensys le cortó el acceso—, realizó modificaciones en el código que movía fondos entre criptomonedas y moneda fiduciaria. Utilizaba el usuario imyugioh en GitHub. El método, conocido como ‘ingeniería social de contratación’, está en auge.

Publicidad

La firma de inteligencia TRM Labs advierte de que las configuraciones de desarrolladores se han convertido en la vía más rápida para acceder a los sistemas de aprobación de retiros en empresas cripto. De hecho, el propio asesor legal de Consensys, Matt Corva, pidió al personal que detuviera todos los lanzamientos de producto hasta esclarecer el incidente. La empresa ya ha avisado a las autoridades y está revisando sus procesos de verificación de contratistas.

La respuesta oficial de Consensys fue clara: «Descubrimos la amenaza… e iniciamos una investigación completa que confirmó que no hubo apropiación indebida de activos ni datos, no se desplegó código malicioso y no hubo impacto en la seguridad ni en la protección de los usuarios», declaró Corva. Sin embargo, el temor a lo que podría haber sucedido persiste.

Cómo se infiltró el desarrollador norcoreano en MetaMask

El acceso se produjo a través de un contratista externo, no de un empleado fijo de Consensys. Esto permitió al atacante saltarse algunos de los filtros de seguridad habituales en las contrataciones directas. Una vez dentro, tuvo la capacidad de escribir y proponer cambios en el código de MetaMask. Ninguno de esos cambios llegó a implementarse en la versión de producción de la wallet, pero el riesgo era evidente: un desarrollador con intenciones maliciosas podría haber insertado una puerta trasera o una función oculta para robar fondos de los usuarios.

El caso no es aislado. Recientemente, un proyecto financiado por Ethereum encontró a 100 supuestos trabajadores de IT norcoreanos en 53 proyectos cripto distintos. Los métodos son siempre similares: ofertas de empleo falsas, reclutadores inventados y, en ocasiones, cómplices locales. En Estados Unidos ya hay ciudadanos condenados por ayudar a estos trabajadores a fingir que operaban desde el país.

Por qué este caso enciende las alarmas en el sector cripto

La infiltración del desarrollador norcoreano en MetaMask no causó pérdidas económicas, pero es un síntoma preocupante. La cadena de suministro del software es cada vez más compleja y los equipos de desarrollo remotos son la norma. Cuando un programador norcoreano puede integrarse en el flujo de trabajo durante semanas sin levantar sospechas, la pregunta no es si el próximo ataque tendrá éxito, sino cuándo.

En 2025, los hackers norcoreanos robaron 1.500 millones de dólares del exchange Bybit, según el FBI. TRM Labs calcula que Corea del Norte se llevó más de la mitad de los 2.700 millones perdidos en hacks cripto aquel año. Con cifras así, la infiltración de personal ya no es una hipótesis de laboratorio: es una industria.

Un falso consultor y un usuario de GitHub bastaron para rozar el código que maneja millones de monedas.

Las empresas de cripto están reaccionando compartiendo señales de amenaza y patrones de comportamiento sospechoso. La detección temprana por parte de Consensys demuestra que los protocolos de respuesta pueden funcionar. Pero el verdadero reto es impedir que esos falsos trabajadores lleguen a tocar el código en primer lugar.

Qué significa esto para el usuario de a pie

Para el usuario medio de MetaMask, el incidente no tuvo consecuencias directas. Sus fondos nunca estuvieron en peligro. Sin embargo, la noticia es un recordatorio de que la seguridad de una wallet depende tanto del código como de quién lo escribe. El episodio también subraya la importancia de mantener las aplicaciones actualizadas y de verificar siempre la autenticidad de las extensiones del navegador. Las consecuencias de un código malicioso en una wallet tan extendida habrían sido catastróficas.

A nivel de sector, este caso refuerza la necesidad de controles de identidad mucho más estrictos, incluso para contratistas temporales. No basta con una entrevista por videollamada y un perfil de LinkedIn. La guerra cibernética se libra, cada vez más, con currículums envenenados.


Publicidad