Una importante firma de pagos camboyana recibió cripto por valor de más de 150.000 dólares de una cartera digital utilizada por el grupo de piratas informáticos norcoreanos Lazarus, según muestran los datos de blockchain, un atisbo de cómo el colectivo criminal ha blanqueado fondos en el Sudeste Asiático.

Huione Pay, que tiene su sede en Phnom Penh y ofrece servicios de cambio de divisas, pagos y remesas, recibió el cripto entre junio de 2023 y febrero de este año, según los datos de blockchain revisados por Reuters, de los que no se había informado anteriormente.

El cripto fue enviado a Huione Pay desde una cartera digital anónima que, según dos analistas de blockchain, fue utilizada por los piratas informáticos de Lazarus para depositar fondos robados a tres empresas de criptomonedas en junio y julio del año pasado, principalmente a través de ataques de phishing.

El FBI dijo en agosto de 2023 que Lazarus saqueó unos 160 millones de dólares de las criptoempresas: Atomic Wallet y CoinsPaid, con sede en Estonia; y Alphapo, registrada en San Vicente y las Granadinas. La agencia no reveló detalles concretos. Fueron los últimos de una serie de robos perpetrados por Lazarus que, según Estados Unidos, financia los programas armamentísticos de Pyongyang.

Las criptomonedas permiten a Corea del Norte eludir las sanciones internacionales, según ha afirmado Naciones Unidas. Eso, a su vez, puede ayudarle a pagar bienes y servicios prohibidos, según el Real Instituto de Servicios Unidos, un grupo de expertos en defensa y seguridad con sede en Londres.

La junta directiva de Huione Pay dijo en un comunicado que la empresa no sabía que había "recibido fondos indirectamente" de los hackeos y citó las múltiples transacciones entre su monedero y la fuente del hackeo como la razón por la que no estaba al corriente. El monedero que envió los fondos no estaba bajo su gestión, dijo Huione.

Los terceros no pueden controlar las transacciones hacia y desde los monederos que no están bajo su gestión. Sin embargo, las herramientas de análisis de blockchain permiten a las empresas identificar los monederos de alto riesgo y tratar de evitar la interacción con ellos, afirman los expertos en cripto seguridad.

Huione Pay -entre cuyos tres directores se encuentra Hun To, primo del primer ministro Hun Manet- declinó especificar por qué había recibido fondos del monedero o proporcionar detalles sobre sus políticas de cumplimiento. La compañía dijo que la dirección de Hun To no incluye la supervisión diaria de sus operaciones.

Reuters no pudo ponerse en contacto con Hun para obtener sus comentarios. La agencia de noticias no tiene pruebas de que Hun To o la familia gobernante de Camboya tuvieran conocimiento de las criptotransacciones.

El Banco Nacional de Camboya (NBC) dijo en una declaración a Reuters que a las empresas de pagos como Huione no se les permitía negociar ni comerciar con criptodivisas ni activos digitales. En 2018, dijo que la prohibición buscaba evitar pérdidas de inversión debido a la volatilidad del cripto, el cibercrimen y el anonimato de la tecnología "que puede causar riesgos de blanqueo de dinero y financiación del terrorismo."

El CNB dijo a Reuters que "no dudaría en imponer cualquier medida correctiva" contra Huione, sin decir si tal acción estaba prevista. La misión norcoreana ante las Naciones Unidas en Nueva York no respondió a una solicitud de comentarios. Una persona de su misión ante las Naciones Unidas en Ginebra dijo a Reuters en enero que las informaciones anteriores sobre Lazarus eran "todo especulación y desinformación".

Atomic Wallet y Alphapo no respondieron a las solicitudes de comentarios. CoinsPaid dijo a Reuters que sus propios datos mostraban que cripto robado de ella por valor de 3.700 dólares llegó a la cartera Huione Pay.

Aunque la criptomoneda es anónima y fluye al margen del sistema bancario convencional, sus movimientos son rastreables en la cadena de bloques (blockchain), un libro de contabilidad público e inmutable que registra la cantidad de cripto enviada de monedero a monedero y cuándo se produjeron las transacciones.

La empresa estadounidense de análisis de blockchain TRM Labs dijo a Reuters en un comunicado que Huione Pay fue una de las varias plataformas de pago y corredores extrabursátiles (OTC) que recibieron la mayor parte del cripto robado en el hackeo de Atomic Wallet. Los corredores conectan a compradores y vendedores de cripto, ofreciendo a los comerciantes un mayor grado de privacidad que las bolsas de cripto.

En su declaración, TRM también dijo que los piratas informáticos, para ocultar sus huellas, habían convertido el cripto robado mediante una compleja operación de blanqueo en diferentes criptodivisas, incluido el tether (USDT), una denominada stablecoin que conserva un valor estable en dólares. Para las transacciones de tether, utilizaron la blockchain Tron, un registro de rápido crecimiento que es popular por su velocidad y bajo coste, añadió TRM.

Esta mayoría de fondos fueron convertidos a USDT en la blockchain de Tron, y parecían ser enviados a intercambios, servicios y OTC - uno de los cuales, era Huione Pay", dijo TRM Labs a Reuters, refiriéndose a las acciones de los hackers. No proporcionó más detalles.

Un portavoz de Tron, registrada en las Islas Vírgenes Británicas, dijo: "Tron condena el abuso de las tecnologías blockchain y se dedica a combatir a estos, y otros actores maliciosos, en todas sus formas, y dondequiera que se encuentren". El portavoz no comentó directamente el hackeo de Atomic Wallet.

La investigación de Estonia sobre los hackeos de 2023 de Atomic Wallet y Coinspaid sigue abierta, dijo Ago Ambur, el jefe de la oficina de delitos cibernéticos de Estonia. La policía de ciberdelincuencia de San Vicente y las Granadinas no respondió a las solicitudes de comentarios sobre el hackeo de Alphapo.

BANDERA ROJA

La empresa estadounidense de análisis de blockchain Merkle Science, que cuenta entre sus clientes a las fuerzas de seguridad de Estados Unidos y Gran Bretaña y ha examinado anteriormente los atracos de Lazarus, examinó para Reuters el movimiento de monedas de los hackeos de 2023.

Su director ejecutivo, Mriganka Pattnaik, dijo que rastrear los fondos de los ataques a Lazarus era difícil debido a los complejos métodos utilizados para ocultar el rastro del dinero.

Merkle Science dijo que su investigación demostró que hubo tres "saltos" o transferencias desde los piratas informáticos de Atomic Wallet a la cartera anónima que posteriormente transfirió los fondos a Huione. Las transferencias entre múltiples criptocarteras suelen ser una señal de alarma para las organizaciones que pretenden blanquear fondos, afirman los expertos en delitos financieros y los analistas de blockchain.

Entre junio y septiembre de 2023, el hacker de Lazarus que atacó Atomic Wallet envió tether por valor de unos 87.000 dólares a la cartera anónima, según los datos descubiertos por Merkle Science. El monedero también recibió tether por valor de unos 15.000 dólares robados de CoinsPaid y Alphapo, según Merkle Science.

En enero, las Naciones Unidas afirmaron que Lazarus había compartido redes de blanqueo de dinero con delincuentes del sudeste asiático, sin nombrar ninguna de las plataformas implicadas.

Jeremy Douglas, ex director regional para el Sudeste Asiático de la Oficina de la ONU contra la Droga y el Delito, dijo que la región estaba inundada de proveedores de cripto servicios no regulados y casinos en línea que actuaban como "bancos clandestinos". No hizo comentarios sobre Huione.

Grupos como Lazarus se esfuerzan por ir por delante de las fuerzas del orden, añadió, y la tecnología y la infraestructura que se han extendido por el sudeste asiático son ahora una parte fundamental de su capacidad para hacerlo.

"El Sudeste Asiático se ha convertido en muchos sentidos en la zona cero mundial, el principal campo de pruebas, para las operaciones de blanqueo de dinero y ciberdelincuencia de alta tecnología", afirmó.

El organismo del G7 encargado de las finanzas ilícitas, el Grupo de Acción Financiera Internacional (GAFI), retiró el año pasado a Camboya de su "lista gris" de países con políticas deficientes contra el blanqueo de capitales, citando las mejoras introducidas en su régimen.

Sin embargo, un portavoz del GAFI remitió a Reuters a un informe de 2021 que destacaba "importantes lagunas" en las normas de financiación ilícita de Camboya para las criptoempresas, y añadió que la evaluación seguía en pie.

El banco central de Camboya dijo que estaba elaborando una normativa para identificar y castigar el uso de cripto para actividades ilegales, incluidos el fraude, el blanqueo de dinero y las amenazas a la ciberseguridad. (Reportaje de Tom Wilson; Edición de Sharon Singleton y Daniel Flynn)