Atomic Wallet sufrió un daño potencial a sus carteras por encima de los u$s100 millones, cifra considerablemente superior a la informada en un primer momento, según estimaron expertos de Elliptic.
De acuerdo con los informes de la agencia, el ataque fue atribuido al grupo de hackers conocido como Lazarus, que se cree emplea la plataforma Garantex como medio para "limpiar" una porción de los fondos robados.
A principios de junio, se produjo un hackeo en Atomic Wallet, una billetera no custodial. En ese momento, se estimó que el perjuicio ascendía a u$s35 millones, aunque la gestión del proyecto aseguró que el número de cuentas afectadas era mínimo.
Luego, se reveló que los fondos estaban siendo transferidos mediante el uso de un servicio de mezcla.
Fue en aquel momento en que Elliptic, por primera vez, reveló que el grupo de hackers Lazarus, originario de Corea del Norte, estaba implicado en el incidente.
Se proporcionó una actualización por parte de la agencia respecto a la investigación del incidente de hackeo. Se estima que alrededor de 5.500 billeteras se vieron afectadas, y la cantidad total robada se estima en aproximadamente u$s100 millones.
En caso de que se verifique, el incidente de hackeo en Atomic Wallet representaría la primera gran ofensiva del grupo tras el ataque a Horizon Bridge en junio de 2022. Hasta el momento, la administración del servicio no emitió comentarios sobre la situación.
Además, Elliptic comunicó su participación en el bloqueo de activos valuados en alrededor de u$s1 millón, los cuales fueron previamente robados de las billeteras de los usuarios del servicio.
En respuesta a esta acción, los presuntos hackers trasladaron parte de los fondos a la plataforma Garantex.
Garantex es una plataforma con sede en Rusia que fue asociada con frecuencia a actividades delictivas, como transacciones y lavado de dinero relacionados con ganancias ilícitas.
El Departamento del Tesoro de los Estados Unidos impuso sanciones a esta entidad el año pasado debido a sus actividades ilícitas.
En síntesis, el incidente de seguridad en Atomic Wallet ilustra la complejidad y el nivel de sofisticación de los ataques cibernéticos en el contexto de las criptomonedas.
Actualmente, se encuentra en curso una investigación para identificar a los responsables de esta operación y buscar medidas preventivas contra posibles ataques futuros de naturaleza similar.
Martín Pueblas, vicepresidente de Consultoría de Ingeniería en Fortinet para América Latina, Caribe y Canadá, puntualiza los pasos a seguir ante un ataque.
Al asesorar a nuestros clientes, casi siempre descubrimos que muchos de ellos no están seguros sobre las políticas y procesos que sus organizaciones debieran tener para implementar un programa efectivo de respuesta a incidentes (IR) de ciberseguridad.
Contar con la estructura correcta es fundamental para proveer las herramientas y guías que tanto el equipo de respuesta ante incidentes como la organización necesitan para reaccionar rápido y reducir el daño.
Hay tres puntos fundamentales que creemos que todas las organizaciones deben tener en sus programas: una política bien definida de respuesta ante incidentes, un plan de respuesta y un manual bien documentado de respuesta ante incidentes.
¿Por qué necesitamos una política de respuesta ante incidentes? Para empezar, la creación de una política responsabiliza a la organización de hacer que la respuesta a incidentes sea una prioridad.
Como cualquier política, este documento sienta las reglas y el marco de gobernanza alrededor de la respuesta ante incidentes de cualquier organización, incluyendo:
El plan de respuesta provee una guía sobre cómo responder ante varios tipos de incidentes. Debiera cubrir cómo detectar, analizar, contener, erradicar y recuperarse. Ese plan debe definir y cubrir todas las fases del ciclo de vida de la respuesta ante incidentes, el antes y el después.
Existen varios marcos de respuesta a incidentes ampliamente utilizados que podrían usarse como referencia, como los del Instituto Nacional de Estándares y Tecnología (NIST), la Organización Internacional para la Estandarización (ISO) y el Instituto SANS.
Aunque no existe una plantilla única de respuesta a incidentes, se sugiere que el plan contenga lo siguiente: