Acabo de ponerme al día con algo bastante importante en el espacio de seguridad. ¿Esa ataque de Radiant Capital del que todos han estado hablando? Resulta que fue UNC4736, el grupo vinculado al estado norcoreano que también se rastrea como AppleJeus o Citrine Sleet.

Lo que realmente es interesante aquí no es solo que lograron llevar a cabo el ataque, sino cómo lo hicieron. Estos tipos son conocidos por realizar operaciones cibernéticas realmente sofisticadas, y este ejemplo muestra exactamente por qué. Las personas directamente involucradas en la brecha de Radiant ni siquiera eran nacionales norcoreanos; en su lugar, usaron intermediarios de terceros.

Esta es la parte que llamó mi atención. ¿Las identidades con las que trabajaban estos intermediarios? Meticulosamente construidas. Hablamos de personajes específicamente diseñados para pasar desapercibidos en las verificaciones de diligencia debida. Eso no es cosa de amateurs. Muestra un nivel de planificación operativa que va mucho más allá de solo habilidades técnicas.

UNC4736 ha estado operando de esta manera por un tiempo — usando intermediarios y actores proxy para crear distancia entre la operación real y la atribución estatal. Es efectivo porque añade capas de plausible deniability y hace que la cadena de investigación sea más difícil de rastrear.

Si estás involucrado en DeFi o gestionas un protocolo, esto vale la pena entenderlo. El panorama de amenazas ya no se trata solo de encontrar vulnerabilidades; ahora se trata de cómo actores tan sofisticados usan ingeniería social y fabricación de identidades como parte de su vector de ataque. Algo a tener en cuenta.