Una herramienta de detección de código abierto y un marco de identificación estándar de la industria: esos fueron algunos de los resultados de un único investigador trabajando con una beca de seis meses.
Los hallazgos, publicados por la Fundación Ethereum, surgieron de un programa llamado ETH Rangers, que se estableció a finales de 2024 para financiar trabajos de seguridad que beneficien al ecosistema cripto en general.
Un Investigador, Una Beca, 100 Operativos
Uno de los beneficiarios de la subvención utilizó los fondos para construir el Proyecto Ketman, una investigación centrada en identidades falsas de desarrolladores dentro de empresas de criptomonedas.
Durante seis meses, el proyecto rastreó a 100 trabajadores norcoreanos de TI infiltrados en organizaciones Web3. Se contactó y advirtió a unos 53 proyectos de que podrían haber contratado a operativos activos vinculados a la República Popular Democrática de Corea.
La Fundación Ethereum describió la amenaza como "una de las amenazas de seguridad operativa más urgentes a las que se enfrenta el ecosistema de Ethereum en la actualidad".
🚨 Un proyecto financiado por la #FundaciónEthereum reveló 100 trabajadores norcoreanos de TI que se infiltraron en empresas #Web3 utilizando identidades falsas. 💛#cryptosona $ETH pic.twitter.com/aCDKUV4mGO
— CryptOpus (@ImCryptOpus) 17 de abril de 2026
El sitio web del Proyecto Ketman describe las tácticas que utilizan estos trabajadores: patrones de comportamiento, hábitos técnicos y trucos de identidad que les permiten hacerse pasar por desarrolladores legítimos.
Algunas de las señales de alerta son sorprendentemente básicas. Se pilló a trabajadores reutilizando las mismas fotos de perfil y metadatos en diferentes cuentas de GitHub.
Durante sesiones de uso compartido de pantalla, se expusieron accidentalmente direcciones de correo electrónico no vinculadas. En algunos casos, la configuración de idioma del dispositivo —establecida en ruso— delató identidades que contradecían las nacionalidades que afirmaban tener.
ETHUSD cotizando a $2,348 en el gráfico de 24 horas: TradingView
Cómo Fueron Atrapados los Operativos
El Proyecto Ketman no solo identificó individuos. Construyó infraestructura. Se desarrolló una herramienta de código abierto para señalar actividad inusual en GitHub vinculada a cuentas sospechosas.
Se coescribió un marco separado para identificar trabajadores vinculados a Corea del Norte junto con Security Alliance, una organización sin ánimo de lucro centrada en la seguridad blockchain. Ambos recursos están ahora disponibles para que los utilicen otras organizaciones.
Los informes indican que la Fundación Ethereum no reveló los métodos específicos utilizados para desenmascarar a los operativos más allá de lo que describen las propias publicaciones del Proyecto Ketman. Sin embargo, el sitio web del proyecto ofrece informes detallados sobre los patrones operativos que delataron a los trabajadores.
Una Amenaza Medida en Miles de Millones
La presencia de Corea del Norte en el mundo cripto no es nueva. Grupos de hackers vinculados al estado, incluido el conocido Grupo Lazarus, han estado relacionados con algunos de los mayores robos en la historia de la industria.
Según los informes, actores norcoreanos han robado miles de millones de dólares en activos digitales a lo largo de los años.
El programa ETH Rangers se creó específicamente para abordar las brechas de seguridad a través de individuos financiados con becas que realizan trabajo de interés público.
El Proyecto Ketman representa uno de sus primeros resultados documentados públicamente. No se ha revelado si otros beneficiarios de subvenciones han producido hallazgos similares.
Imagen destacada de Chief Learning Officer, gráfico de TradingView
