En el ecosistema de las criptomonedas, donde la seguridad se predica como un evangelio de matemáticas y criptografía inquebrantable, existe un recordatorio constante de la fragilidad humana.
De hecho, el pasado martes 17 de marzo de 2026, Bitrefill, la empresa sueca que se ha convertido en el puente principal entre el código digital y el consumo real, rompió su silencio, al revelar que fue víctima de un ataque “quirúrgico” y “sofisticado” que fue ejecutado por el brazo armado digital de Corea del Norte, el Grupo Lazarus.
Para los que no lo sabem, Bitrefill fue fundada en 2014 por Sergej Kotliar (CEO) junto a Michael Grünberger y Michel Gustavsson, con una idea inicial que era tan simple como ambiciosa: “permitir que cualquier persona en el mundo pudiera usar Bitcoin para algo práctico y cotidiano, sin necesidad de convertirlo a moneda local a través de un banco” y ahora, tras 12 años de fundada, enfrentaron un ciberataque del Grupo Lazarus.
March 1st incident report
On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation – including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) – we find many similarities…
— Bitrefill (@bitrefill) March 17, 2026
A través de un comunicado en la red social X, el equipo de Bitrefill, dijo: “El 1 de marzo de 2026, Bitrefill fue blanco de un ciberataque” y más adelante indicó “el acceso inicial se originó a través de un portátil de un empleado comprometido, desde el cual se extrajo una credencial antigua”.
Indudablemente, lo que diferencia este ataque de otros no es solo el botín —que la empresa afirma poder absorber con su propio capital—, sino la meticulosa paciencia de un depredador que sabe que el eslabón más débil nunca es el protocolo de la cadena de bloques, sino el empleado que se sienta frente a una laptop un lunes por la mañana.
El informe técnico revelado por la compañía, indica que el incidente comenzó mucho antes de que se encendieran las alarmas el 1 de marzo. El Grupo Lazarus, también conocido por su subdivisión BlueNoroff, que se ha especializado en el “espionaje de guante blanco”, hizo su entrada en Bitrefill de manera clásica, comprometiendo un equipo portátil perteneciente a un empleado.
A través de este dispositivo, los atacantes no buscaron inmediatamente el “botón del pánico”, ya que en su lugar, realizaron una infiltración silenciosa hasta encontrar una credencial legada. En el mundo de la ciberseguridad, estas “llaves antiguas” son como una llave olvidada bajo un felpudo en una mansión con alarmas de última generación.
Esta credencial permitió a los atacantes acceder a una instantánea (snapshot) de producción, una copia de seguridad que contenía la estructura completa del sistema y, lo más grave, las llaves de cifrado.
“Dicha credencial proporcionó acceso a una instantánea que contenía información confidencial de producción. A partir de ahí, los atacantes pudieron ampliar su acceso a nuestra infraestructura general, incluyendo partes de nuestra base de datos y ciertas carteras de criptomonedas”, señala el comunicado de Bitrefill en la red social X.
Para entender por qué Lazarus está atacando una tienda de tarjetas de regalo en Estocolmo, hay que entender la situación geopolítica de Corea del Norte. En primer lugar, ese país se encuentra bajo sanciones internacionales asfixiantes, debido a ello, el régimen de Kim Jong-un ha convertido el cibercrimen en una política de Estado.
No son simples “hackers” buscando fama o dinero, en este caso el Grupo Lazarus, es considerado una unidad militar destinada a financiar programas de armamento y la supervivencia del régimen mediante ciberataques en todo el mundo y contra todo tipo de empresas e Instituciones.
De hecho, Lazarus no tiene el perfil de un atacante común, ya que operan de manera muy sofisticada, siendo capaces de pasar meses estudiando la jerarquía de una empresa, enviando ofertas de trabajo falsas por LinkedIn que contienen malware, o incluso infiltrando a sus propios desarrolladores en proyectos de código abierto.
En el caso de Bitrefill, su objetivo fue doble, por un lado el robo directo de activos de las hot wallets y por el otro, la expropiación del inventario de tarjetas de regalo, que en la práctica funcionan como moneda de curso legal en el mercado negro.
Curiosamente, en este caso de infiltración no fue un firewall o el equipo del SOC (Centro de Operaciones de Seguridad) el que detectó la brecha, sino que fue directamente un desfase en el inventario. Y es que, el equipo de producción de Bitrefill notó “patrones de compra sospechosos”.
Los atacantes estaban usando la propia infraestructura de la tienda para generar tarjetas de regalo de forma masiva, drenando el stock antes de proceder al vaciado de las billeteras digitales, lo que dejó un rastro que seguir y analizar.
Cuando Bitrefill decidió “apagar” sus sistemas, se enfrentó a un desafío logístico monumental, porque como plataforma global que conecta a cientos de proveedores y miles de productos, el proceso de desconexión y reconexión segura es comparable a intentar detener el tráfico de una ciudad entera para revisar cada motor.
No obstante, a pesar de la gravedad del acceso (que dejó 18.500 registros de compra comprometidos), Bitrefill ha salido mejor parada que otras víctimas de Lazarus por una razón filosófica, su minimalismo en la recolección de datos.
Al no obligar a sus usuarios a pasar por procesos de KYC (Know Your Customer) exhaustivos —dejando esa tarea a proveedores externos—, los atacantes se encontraron con una base de datos que contenía correos electrónicos y direcciones IP, pero no pasaportes o escaneos faciales.
Así que, de los miles de registros, solo unos 1.000 contenían nombres reales (cifrados), correspondientes a productos específicos que por ley exigen esa información, dejando de esta forma, una lección vital para la industria, aquel dato que no se guarda es el dato que no se puede robar.
Aunque Bitrefill afirma que el riesgo para los clientes es bajo, la realidad es que el Grupo Lazarus ahora posee una lista de 18.500 personas interesadas en criptomonedas, lo que las pudiera exponer a futuro, por lo que algunos analistas en ciberseguridad, señalan que esto no es un detalle menor.
Con correos electrónicos y direcciones IP, el siguiente paso suele ser el phishing dirigido, por lo que un usuario podría recibir un correo perfectamente redactado, mencionando su compra reciente de una tarjeta de Amazon o Uber, pidiéndole que “valide su cuenta” debido al reciente ataque.
Con que un usuario haga un clic en el enlace equivocado, el atacante ya no estará metido de lleno en los registros robados de los servidores de Bitrefill, sino en la computadora personal del usuario que cayó en la trampa.
El ataque a Bitrefill ocurre en un contexto donde el Grupo Lazarus está empezando a utilizar Inteligencia Artificial para pulir sus ataques de ingeniería social, eliminando los errores gramaticales que antes delataban su origen.
La respuesta de Bitrefill, apoyada por firmas de élite como ZeroShadow y SEAL Org, marca el camino de la “defensa colectiva”, con transparencia total, cooperación con las fuerzas del orden y una auditoría implacable de los controles internos.
Más allá de lo ocurrido, Bitrefill ha sobrevivido a su encuentro con los norcoreanos del Grupo Lazarus. Además, su rentabilidad y su capital operativo le permiten absorber el golpe sin desaparecer, algo que pocas startups podrían decir tras un encuentro cercano con la élite del cibercrimen del régimen de Corea del Norte.
Sin embargo, la herida queda ahí como un recordatorio, mostrando que la “maldad” no es una pulsión caótica, es una industria estatal fríamente calculada para obtener beneficios con cada ciberataque.
Mientras haya valor digital que extraer, la armada del Grupo Lazarus seguirá ahí, esperando a que alguien olvide revocar una credencial antigua o a que una instantánea del sistema quede mal protegida, para acceder y tras analizar a la víctima, robarle lo más valioso que posea.
La enseñanza clave de este suceso es que en la guerra digital que se libra a diario en las tripas del Internet, la victoria no se logra con un muro más alto, sino con una vigilancia que no parpadea.