Detective en la cadena resuelve el caso: Cómo TRM Labs rastrea los 35 millones de dólares en fondos robados de LastPass hasta la red de cibercriminales en Rusia

La empresa de inteligencia en blockchain TRM Labs publicó recientemente un informe en profundidad que revela las consecuencias posteriores a la importante brecha de datos de LastPass en 2022. El informe señala que la cantidad de criptomonedas robadas relacionadas con esta vulnerabilidad superó los 35 millones de dólares, y que los fondos fluyeron hacia una organización criminal en línea de Rusia que colaboró en el delito. Lo que resulta preocupante es que, aunque los hackers utilizaron herramientas avanzadas de privacidad como Wasabi Wallet y servicios de mezclado para ocultar sus rastros, los analistas de TRM Labs lograron reconstruir el proceso de mezcla de fondos identificando sus características únicas en la cadena y rastreando el flujo final hacia plataformas de comercio en Rusia, incluyendo Cryptex, que está sancionada por EE. UU. Este caso no solo es un ejemplo de una investigación en la cadena exitosa, sino que también expone el papel clave que desempeñan ciertas infraestructuras criptográficas regionales en las cadenas de lavado de dinero del crimen organizado global.

Una “hemorragia” lenta de activos digitales que dura años

La historia comienza con la impactante brecha de datos de LastPass en 2022, que conmocionó al mundo. En ese momento, esta empresa de gestión de contraseñas con millones de usuarios admitió haber sido hackeada, pero el riesgo no terminó allí. Según el último informe de TRM Labs, los atacantes continuaron durante varios años utilizando credenciales robadas para vaciar sistemáticamente los fondos almacenados en las carteras de criptomonedas vinculadas a los usuarios. Este método de robo gradual, en lugar de transferencias masivas en una sola vez, hizo que en las etapas iniciales fuera más difícil de detectar, hasta que las pérdidas acumuladas alcanzaron decenas de millones de dólares, atrayendo así una atención generalizada.

Estos fondos robados no permanecieron inactivos. La investigación de TRM Labs muestra que los hackers demostraron un alto nivel de profesionalismo y organización. No simplemente transfirieron directamente Ethereum u otros tokens a exchanges para convertirlos en dinero fiat, sino que ejecutaron un proceso complejo de lavado. Primero, mediante servicios de intercambio instantáneo, convirtieron diversos activos no Bitcoin en Bitcoin. Este paso no solo estandarizó los activos, sino que también preparó el terreno para usar herramientas de privacidad específicas de Bitcoin en etapas posteriores. Luego, los fondos se enviaron a mezcladores como Wasabi Wallet o a través del protocolo CoinJoin. La idea central de estos servicios es mezclar fondos de múltiples usuarios para distribuirlos posteriormente, con el objetivo de eliminar la relación entre las direcciones de entrada y salida en la cadena, logrando así el anonimato del origen de los fondos.

Sin embargo, este crimen aparentemente perfecto dejó huellas ante las tecnologías de análisis en blockchain. Los investigadores de TRM Labs descubrieron que, pese a usar herramientas de privacidad, la organización dejó un patrón de firma en la cadena que era consistente en sus operaciones. Esta firma no era simplemente la relación entre direcciones, sino una serie de comportamientos repetibles y reconocibles, como si fuera la huella digital o la forma de caminar de una persona en el mundo digital, que permite a los algoritmos identificarla incluso en medio de la multitud.

Caminos de lavado y puntos clave en el rastreo en la cadena

• Origen del ataque: credenciales robadas mediante la brecha de LastPass en 2022.
• Magnitud del robo: más de 35 millones de dólares en diversas criptomonedas.
• Primera fase del lavado (conversión): mediante servicios de intercambio instantáneo, unificaron diferentes activos en Bitcoin.
• Segunda fase del lavado (confusión): introdujeron Bitcoin en Wasabi Wallet, CoinJoin y otros mezcladores, intentando cortar la trazabilidad.
• Punto de ruptura en el rastreo: TRM Labs identificó características únicas en el comportamiento en la cadena o huellas digitales del grupo, como la forma de importar claves privadas en ciertos monederos, patrones en los horarios de las transacciones, etc.
• Salida final: tras la desmezcla, los fondos llegaron a plataformas de comercio en Rusia, Cryptex y Audi6, siendo que solo en Audi6 se estiman unos 7 millones de dólares.
• Conexión regional: las carteras que interactuaron con los mezcladores mostraron vínculos con Rusia antes y después del proceso de lavado, sugiriendo que los hackers probablemente operan desde esa región.

El arte de “desmezclar”: cómo el análisis de comportamiento atraviesa la niebla de las herramientas de privacidad

Frente a flujos de fondos procesados por mezcladores, los métodos tradicionales de rastreo suelen ser insuficientes. Pero la tecnología de análisis de continuidad de comportamiento que TRM Labs mostró en esta investigación marca una nueva etapa en la investigación en la cadena. Su núcleo radica en que no rastrean simplemente direcciones, sino los hábitos de comportamiento de los operadores detrás de esas direcciones. Estos hábitos pueden incluir: configuraciones específicas al usar ciertos monederos, preferencias de horarios de transacción (relacionadas con zonas horarias), patrones únicos en la interacción con contratos inteligentes, e incluso pequeñas huellas digitales en la importación de claves privadas o en la construcción de transacciones.

Por ejemplo, aunque Wasabi Wallet está diseñado para ofrecer una fuerte privacidad en cada transacción, los usuarios pueden dejar involuntariamente metadatos o patrones de comportamiento relacionados con la operación del software. Los analistas de TRM Labs lograron, mediante la integración de estos datos aparentemente desconectados, reconstruir el proceso de mezcla y clarificar las transacciones que estaban encriptadas. Es como si, al desenredar un ovillo de lana completamente enredado, se identificaran las fibras con patrones y colores únicos para volver a unirlo en su forma original. Este informe demuestra que, frente a análisis avanzados en blockchain, muchas de las garantías de anonimato que ofrecen las herramientas de privacidad no son absolutas, especialmente cuando los operadores dejan huellas en su comportamiento que los delatan.

Este avance tiene un gran significado. No solo proporciona a las autoridades una vía técnica para investigar estos delitos, sino que también advierte a los criminales que intentan lavar dinero con estas técnicas. Más aún, plantea un nuevo desafío para el campo de la privacidad en criptomonedas: la protección real de la privacidad puede requerir ir más allá de la simple confusión en las transacciones, extendiéndose a la protección de todos los posibles patrones de comportamiento del usuario. Esto también genera resonancia en el ámbito de la regulación financiera tradicional (TradFi), donde, independientemente de cómo evolucione la tecnología, el monitoreo basado en patrones de comportamiento y la evaluación de riesgos seguirán siendo pilares en la lucha contra el lavado de dinero.

Plataformas de comercio en Rusia: “nodos” y “destinos” del dinero del crimen en línea

Con el rastreo de los fondos, la cadena apunta claramente a plataformas de criptomonedas en Rusia. El informe menciona dos: Cryptex y Audi6. La primera, Cryptex, es especialmente relevante porque está sancionada por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. Se estima que unos 7 millones de dólares robados llegaron a Audi6, mientras que la mayor parte de los fondos permaneció en plataformas como Cryptex.

Estas plataformas jugaron un papel crucial en la salida de fondos. El Bitcoin limpio, tras un proceso de lavado complejo, fue convertido en moneda fiat o transferido a otros destinos, completando así la monetización final de los activos digitales. TRM Labs señala que estas plataformas mantienen vínculos profundos y duraderos con el crimen organizado en Rusia, proporcionando liquidez y infraestructura financiera esencial. La investigación revela que las direcciones que interactuaron con los servicios de mezcla mostraron conexiones con Rusia antes y después del proceso, sugiriendo que los hackers no solo alquilaron infraestructura en ese país, sino que probablemente operan desde allí o están controlados por personas de habla rusa.

Esto pone de manifiesto un problema regulatorio persistente: algunas plataformas en jurisdicciones específicas, debido a regulaciones laxas o dificultades en la cooperación legal, se convierten en centros de tránsito y refugio para fondos ilícitos. Su existencia reduce las barreras económicas y técnicas para el crimen en criptomonedas, permitiendo a los hackers legalizar sus ganancias con mayor facilidad. Esto daña la reputación del sector y representa una amenaza constante para la seguridad financiera global. También evidencia la necesidad urgente de establecer un marco regulatorio internacional coordinado, alineado con los estándares tradicionales de supervisión financiera, para cortar las rutas de flujo ilícito. La colaboración entre agencias, compartiendo inteligencia y presionando plataformas fuera de la ley, es clave para abordar este problema. Las capacidades de análisis en blockchain de las empresas privadas están jugando un papel fundamental en conectar el mundo cripto con los sistemas de aplicación de la ley tradicionales.

Este caso, que abarca varios años y decenas de millones de dólares, funciona como un espejo que refleja los desafíos complejos en seguridad, privacidad y cumplimiento normativo en el universo de las criptomonedas. Demuestra que, en la cadena de bloques, las huellas pueden ser cuidadosamente ocultadas, pero siempre que se actúe, dejarán rastros digitales que pueden ser rastreados. Para toda la industria, construir un ecosistema que garantice la seguridad de los activos y la privacidad de los usuarios, a la vez que sea capaz de detectar y perseguir actividades ilícitas, será una tarea central en los próximos años. En este proceso, las ideas maduras de gestión de riesgos del sector financiero tradicional, las tecnologías regulatorias y la colaboración con las autoridades serán herramientas indispensables.