Un portátil, miles de tarjetas regalo para Kim Jong Un: cómo hackers de Corea del Norte vulneraron el servicio cripto Bitrefi
Bitrefill hace balance tras el hackeo.
El ataque a Bitrefill fue mucho más que una falla habitual: comenzaron a desaparecer fondos del sistema, y los atacantes accedieron sin ser detectados a la infraestructura interna y a parte de los datos de los usuarios.
El incidente ocurrió el 1 de marzo de 2026. Por la naturaleza del ataque, el código malicioso utilizado y otras pistas, incluidas IP y direcciones de correo electrónico reutilizadas, los especialistas observaron similitudes con las operaciones del grupo Lazarus/Bluenoroff, vinculado a Corea del Norte y conocido por atacar a empresas de criptomonedas.
El punto inicial fue un portátil comprometido de un empleado. A través de él los atacantes obtuvieron credenciales desactualizadas que dieron acceso a una instantánea del sistema con secretos de producción. Después de eso los atacantes ampliaron el acceso a la infraestructura, incluyendo parte de la base de datos y algunas carteras de criptomonedas.
El problema no se detectó de inmediato. El equipo notó compras sospechosas a proveedores y pronto averiguó que los atacantes estaban usando las reservas de tarjetas de regalo. Al mismo tiempo empezaron las transferencias de fondos desde carteras calientes hacia direcciones controladas. Tras confirmar la intrusión, la empresa desconectó todos los sistemas para detener el ataque.
Bitrefill opera como un mercado internacional con decenas de proveedores, miles de productos y distintos métodos de pago, por lo que la parada completa y la recuperación requirieron tiempo. Ahora la mayor parte de los servicios ya ha vuelto a la normalidad.
La auditoría mostró que el objetivo principal de los atacantes no fue robar datos de usuarios. Nadie descargó la base de datos completa. Sin embargo, los atacantes realizaron consultas puntuales para averiguar qué activos estaban disponibles, incluidas las criptomonedas y las reservas de tarjetas de regalo.
No obstante, parte de los datos sí se vio afectada. Los atacantes accedieron aproximadamente a 18 500 registros de compras. Estos registros contenían direcciones de correo electrónico, direcciones de criptomonedas y datos técnicos, incluidos IP.
Unas 1 000 compras adicionales incluían nombres de usuario, ya que para ciertos productos se requería indicar un nombre. Esos datos se almacenaban cifrados, pero, debido al posible acceso a las claves de cifrado, la empresa considera que los atacantes podrían haber consultado también esa información. Todos los usuarios afectados ya han sido notificados por correo electrónico.
La empresa destacó que no almacena grandes volúmenes de datos personales y no exige verificación de identidad obligatoria. Si un usuario se somete a verificación, los datos se guardan con un proveedor externo y no se duplican dentro del sistema de Bitrefill.
Por ahora la empresa no ve razones para acciones urgentes por parte de los usuarios, pero recomienda prestar atención a cualquier mensaje sospechoso relacionado con el servicio o con las criptomonedas.
Tras el ataque, Bitrefill reforzó las medidas de protección, revisa los accesos dentro de la infraestructura, mejora la monitorización y comprueba los sistemas en busca de vulnerabilidades junto con especialistas externos. A pesar del daño, la empresa declaró que mantiene la estabilidad financiera y cubrirá las pérdidas con fondos propios. Las ventas y el funcionamiento de los servicios ya han vuelto a los niveles habituales.