¿Usaste KMSAuto entre 2020 y 2023? Revisa tus cargos ahora: la historia de cómo un hacker estafó a 2,8 millones de personas.
Tu monedero frío no te protegerá si copias la dirección en un equipo infectado
Un hacker extranjero que robó criptomonedas por un valor superior a 1,7 mil millones de won (unos 1,18 millones de dólares) mediante un programa malicioso que sustituía en secreto las direcciones de monedero fue extraditado a Corea del Sur. Según según la Oficina Nacional de Investigaciones del Servicio Nacional de Policía de Corea, un ciudadano lituano de 29 años fue entregado desde Georgia y posteriormente arrestado mediante una orden judicial.
La investigación considera que desde abril de 2020 hasta enero de 2023 el sospechoso distribuyó un software malicioso llamado KMSAuto, disfrazándolo como una herramienta de activación de Microsoft Windows. El programa estaba dirigido a usuarios que no utilizaban métodos de activación con licencia y, según la policía, fue descargado o instalado aproximadamente 2,8 millones de veces en todo el mundo.
El truco clave consistía en el llamado «ataque a la memoria». Durante una transacción de criptomonedas en un equipo infectado, el software malicioso automáticamente sustituía la dirección del monedero introducida por una dirección controlada por el atacante. Como resultado, la persona enviaba fondos aparentemente a los datos correctos, pero en realidad la transferencia iba al hacker, y el error a menudo pasaba desapercibido hasta que se comprobaba.
Según las autoridades policiales coreanas, la infección afectó a más de 3.100 direcciones de monedero y se interceptaron criptomonedas en más de 8.400 transacciones. El daño total se estimó en aproximadamente 1,7 mil millones de won (unos 1,18 millones de dólares). Entre los afectados había residentes de Corea del Sur: ocho personas perdieron en total 16 millones de won (unos 11.000 dólares).
La investigación comenzó en agosto de 2020 tras la denuncia de un usuario que informó la pérdida de un bitcoin, que entonces valía alrededor de 12 millones de won (unos 8.300 dólares): la transferencia se envió de manera repentina a otra dirección. El análisis posterior permitió rastrear el movimiento de los activos robados a través de seis países, incluidas plataformas de intercambio de criptomonedas internas, y localizar a otras siete víctimas surcoreanas.
Cuando identificaron al sospechoso, en diciembre de 2024 la policía coreana organizó acciones conjuntas con el Ministerio de Justicia de Lituania, la fiscalía y la policía locales. Durante el registro en el domicilio del sospechoso en Lituania se incautaron 22 artículos, incluidos teléfonos móviles y ordenadores portátiles. Para procesarlo en Corea del Sur se solicitó una «notificación roja» de Interpol, y en abril la policía de Georgia detuvo al hombre tras su entrada en el país. Tras eso, Seúl envió una solicitud de extradición, y finalmente, según la agencia, después de cinco años y cuatro meses de investigación el sospechoso fue trasladado a Corea del Sur.