Introducción
En abril de 2026, dos hackeos perpetrados por el Grupo Lazarus de Corea del Norte resultaron en el robo de $577 millones, lo que representó el 76% de todos los robos de criptomonedas de ese año. Ninguno de estos ataques fue una explotación de contrato inteligente. Los atacantes pasaron seis meses haciéndose pasar por una firma de trading, asistiendo a conferencias de criptomonedas en persona y estableciendo relaciones reales con ingenieros de Drift Protocol antes de obtener las firmas necesarias para drenar $285 millones en solo doce minutos. El segundo ataque drenó $292 millones de un único nodo de puente vulnerable. Esto ya no es solo un problema de seguridad en criptomonedas; es una operación de inteligencia patrocinada por un estado, dirigida por un país que utiliza los ingresos para financiar su programa de armas. La industria apenas comienza a reconocer esta realidad.
Detalles de los Ataques
A las 16:06:09 UTC del 1 de abril de 2026, un atacante drenó las bóvedas principales de Drift Protocol, el mayor intercambio de futuros perpetuos descentralizado en Solana, de aproximadamente $285 millones en activos de usuarios. El primer retiro movió 41.72 millones de tokens JLP, y el último movió 2,200 ETH envueltos. Todo el tesoro fue vaciado en doce minutos, aproximadamente el tiempo que se tarda en escribir un mensaje de texto largo. La primera declaración pública del equipo, publicada en X pocas horas después, pidió a la comunidad que confirmara que la actividad inusual que estaban observando no era una broma del Día de los Inocentes. No lo era. Fue la culminación de seis meses de preparación metódica por parte de operativos que trabajaban para el gobierno de Corea del Norte.
Diecisiete días después, el 18 de abril, los atacantes drenaron $292 millones de KelpDAO, un protocolo de restaking, manipulando una configuración de verificador único en su puente LayerZero. Los dos ataques combinados representaron aproximadamente el 95% de los $625 millones en robos de criptomonedas de abril, convirtiendo ese mes en el peor para la seguridad de criptomonedas en la historia registrada. El robo acumulado hasta abril superó los $1,000 millones. TRM Labs atribuyó el 76% del total de 2026 a estos dos ataques, ambos realizados por el mismo actor de amenaza.
El Grupo Lazarus
Ese actor de amenaza es el Grupo Lazarus, el nombre que utilizan las agencias de inteligencia occidentales para referirse a las operaciones de hacking patrocinadas por el estado que se llevan a cabo desde la Oficina General de Reconocimiento, la principal agencia de inteligencia de Corea del Norte. Desde 2017, Lazarus y sus subunidades han robado más de $6,000 millones en criptomonedas. Según cifras de Chainalysis, $2,060 millones de eso fueron robados solo en 2025, impulsados principalmente por el catastrófico hackeo de $1,500 millones de Bybit en febrero de ese año, el mayor robo de criptomonedas en la historia. El ritmo de 2026 pone al grupo en camino de superar cómodamente el total de 2025.
La Evolución de las Amenazas
Esta no es una historia de seguridad en criptomonedas en el sentido convencional. Las amenazas que enfrentan los protocolos DeFi hoy no son las amenazas para las que fueron diseñados para defenderse. La preocupación de la era 2020 eran los errores en contratos inteligentes y las explotaciones de préstamos flash, vulnerabilidades en el código. La realidad de 2026 es que se están llevando a cabo operaciones sostenidas, de múltiples países y meses, dirigidas por profesionales de inteligencia que no necesitan una explotación de código porque ya tienen las claves. Solo tenían que convencer a alguien para que se las entregara. Eso es lo que fue el ataque a Drift. Y entenderlo es la lección de seguridad más importante que cualquier poseedor, constructor o ejecutivo de criptomonedas puede obtener en este momento.
Informe Post-Mortem de Drift Protocol
El informe post-mortem de Drift Protocol, publicado a principios de abril, se lee más como un informe de contrainteligencia que como una divulgación de seguridad. Comienza en octubre de 2025. En una importante conferencia de criptomonedas, un grupo de individuos que se presentaban como representantes de una firma de trading cuantitativa se acercó a los colaboradores de Drift. Tenían antecedentes profesionales verificados, demostraron fluidez técnica y hicieron exactamente los tipos de preguntas que una verdadera firma de trading institucional haría sobre la integración con un protocolo de perpetuos. Los colaboradores de Drift, que manejan tales solicitudes de manera rutinaria, los trataron como cualquier otro posible socio institucional. Drift ha aclarado desde entonces que los individuos en esas reuniones en persona no eran nacionales de Corea del Norte. Las operaciones de Lazarus casi siempre utilizan intermediarios de terceros para el contacto cara a cara, con los operadores técnicos reales permaneciendo dentro de Corea del Norte o China.
Ingeniería Social y Compromiso de Dispositivos
El investigador de blockchain ZachXBT, que ha estado rastreando las operaciones de criptomonedas de DPRK durante años, ha señalado que esta estructura de identidad en capas es una de las características definitorias de las campañas de Lazarus. El grupo no se detuvo después de la primera conferencia. Durante seis meses, los mismos operativos, o operativos que presentaban las mismas identidades, aparecieron en múltiples eventos de la industria global, profundizando relaciones con colaboradores específicos de Drift. Se creó un grupo de Telegram para la discusión continua de estrategias de trading y posibilidades de integración. Desde diciembre de 2025 hasta enero de 2026, la falsa firma de trading «incorporó un tesoro del ecosistema» con Drift, presentando detalles de estrategia y depositando más de $1 millón en el protocolo como socio. Esto no es una operación de estafa normal. Este es un servicio de inteligencia que lleva a cabo una campaña de HUMINT con un presupuesto.
Acceso y Ejecución del Ataque
Para febrero y marzo de 2026, las relaciones eran lo suficientemente profundas como para que los colaboradores confiaran en estos contrapartes para compartir repositorios y aplicaciones. Según Drift, los atacantes utilizaron dos vectores de malware específicos. Uno involucraba compartir repositorios que contenían código que, al abrirse en VSCode o Cursor (el editor de código mejorado por IA), podría desencadenar la ejecución silenciosa de código a través de una vulnerabilidad que no había sido parcheada en ese momento. El otro involucraba a un colaborador que descargaba lo que se presentaba como un producto de billetera distribuido a través de TestFlight, la plataforma de pruebas beta de Apple, que comprometía el dispositivo. Una vez que los atacantes tuvieron acceso a las máquinas correctas, tuvieron acceso a las billeteras correctas. Y una vez que tuvieron las billeteras correctas, el resto de la operación fue logística.
El Resultado del Ataque
El 23 de marzo, más de una semana antes del robo, los atacantes configuraron cuatro billeteras utilizando la función de «nonce durable» de Solana, que permite que las transacciones prefirmadas se ejecuten en cualquier momento futuro. Dos de esas billeteras pertenecían a miembros comprometidos del Consejo de Seguridad de Drift, el grupo de firmantes multisig que controlaba las funciones más sensibles del protocolo. Las otras dos estaban bajo control directo de los atacantes. A través de ingeniería social y los dispositivos comprometidos, los atacantes obtuvieron las aprobaciones multisig de dos de los cinco firmantes del Consejo de Seguridad necesarias para ejecutar las transacciones prefirmadas.
El 1 de abril, mientras el equipo de Drift realizaba un retiro rutinario del fondo de seguros, los atacantes ejecutaron dos de las transacciones prefirmadas con cuatro bloques de diferencia. Las transacciones tomaron el control administrativo, introdujeron un activo sintético llamado CarbonVote Token (CVT) en el mercado al contado, manipularon su precio a través de operaciones de lavado en dos intercambios descentralizados para dar la falsa apariencia de valor legítimo, y elevaron el límite de retiro de USDC del protocolo a 500 billones. CVT fue luego depositado como colateral contra todo el tesoro. Doce minutos después, $285 millones se habían ido. Los atacantes intercambiaron los activos robados por USDC a través de Jupiter, el mayor agregador DEX de Solana, y puentearon aproximadamente 129,000 ETH por un valor de $270 millones a Ethereum a través del protocolo CCTP de Circle. Mantuvieron el USDC robado durante varias horas antes de completar el puente. Circle no congeló los fondos durante esa ventana. El investigador de seguridad Specter señaló en ese momento que los atacantes habían evitado deliberadamente convertir a Tether, lo que sugería confianza en que Circle, específicamente, no intervendría. Tenían razón.
Lecciones Aprendidas
La tentación, al leer el informe post-mortem de Drift, es tratarlo como un caso extraordinario. Una operación de seis meses. Múltiples dispositivos comprometidos. Transacciones prefirmadas. Colateral falso negociado. Se lee como un guion de Hollywood. Pero al retroceder, las huellas arquitectónicas de cada ataque importante de Lazarus en DeFi de los últimos tres años son idénticas. Un firmante humano comprometido. Una configuración multisig debilitada. Un bloqueo temporal retrasado o ausente. Una carga maliciosa disfrazada como una operación rutinaria. El hackeo de Bybit en febrero de 2025, el robo de $1,500 millones ahora atribuido por el FBI a un subgrupo de Lazarus llamado TraderTraitor, utilizó el mismo enfoque. Los firmantes de Bybit creían que estaban aprobando operaciones rutinarias de billetera fría a través de la infraestructura multisig de Safe. No lo estaban. La infraestructura de Safe había sido comprometida a través de un ataque del lado del desarrollador, y la transacción que firmaron transfirió el control del contrato de la billetera en sí.
La Superficie de Ataque
El mismo manual de operaciones sigue funcionando porque la superficie de ataque, la confianza humana, no se ha endurecido de la manera en que se han endurecido los contratos inteligentes. Esa repetición es lo más importante que hay que entender sobre el problema de Lazarus. La auditoría de contratos inteligentes se ha convertido en una disciplina rutinaria en DeFi. Cada protocolo serio es auditado, a menudo por múltiples firmas. Los programas de recompensas por errores son generalizados. Ninguna de esas medidas captura una operación de ingeniería social de seis meses dirigida a los firmantes humanos. La asimetría entre la madurez de la seguridad del código y la madurez de la seguridad operativa es la brecha que Lazarus ha pasado cinco años industrializando.
Nuevas Amenazas en 2026
La evolución de 2026 agrega dos nuevos matices. Uno es el uso de herramientas de codificación mejoradas por IA como un vector de ataque. VSCode y Cursor han facilitado dramáticamente a los desarrolladores abrir y ejecutar código de fuentes externas. Esa conveniencia también amplió la superficie de ataque. El ataque a Drift explotó una vulnerabilidad específica donde abrir un repositorio en un entorno de desarrollo podría desencadenar la ejecución silenciosa de código. Esta no era una falla única de Drift. Era una clase de vulnerabilidad que se encuentra bajo cada desarrollador en la industria que utiliza estas herramientas, que son la mayoría de ellos.
El segundo matiz es la IA misma. Investigadores de ciberseguridad que testificaron ante los subcomités de la Cámara de EE. UU. esta primavera han señalado que los operativos de DPRK ahora están utilizando herramientas de IA para generar identidades falsas más convincentes, redactar comunicaciones más plausibles y acelerar la fase de reconocimiento inicial de los objetivos. Las mismas herramientas de productividad que están transformando negocios legítimos también están transformando a los atacantes.
Financiamiento de Actividades Ilícitas
Vale la pena ser precisos sobre dónde terminan los fondos robados, porque aquí es donde la incomodidad de la industria de criptomonedas con la historia se vuelve más aguda. El Panel de Expertos de las Naciones Unidas sobre Corea del Norte ha estimado que el robo de criptomonedas financia una parte material del presupuesto de desarrollo de misiles y armas nucleares de DPRK. Esa estimación ahora se refleja en evaluaciones formales del Tesoro de EE. UU. y de inteligencia de Corea del Sur. El robo acumulado de criptomonedas de Corea del Norte, que supera los $6,000 millones desde 2017, convierte esta actividad en una de las mayores fuentes de divisas del régimen, junto con las exportaciones de carbón a China y el envío de trabajadores de TI al extranjero.
Mecánica del Lavado de Fondos
La mecánica para pasar de «ETH robado» a «adquisición de armas» está bien documentada. Después del robo inicial, los fondos se intercambian típicamente por Bitcoin o stablecoins, luego se enrutan a través de puentes entre cadenas para oscurecer la pista. THORChain, el protocolo de intercambio entre cadenas, se ha convertido en una ruta preferida precisamente porque sus operadores han rechazado públicamente considerar congelar o filtrar transacciones, tratando cualquier intervención como contraria a los principios de descentralización del protocolo. THORChain procesó la mayor parte del volumen de lavado de ambos robos de Bybit y KelpDAO. Desde allí, los fondos se mueven a través de intercambios de criptomonedas rusos y escritorios de venta libre chinos antes de ser convertidos a fiat y canalizados en redes de adquisición que compran componentes y materiales sancionados por acuerdo internacional.
Implicaciones para la Industria de Criptomonedas
El papel de la industria de criptomonedas en este pipeline es incómodo pero inevitable. Cada explotación de protocolo por parte de Lazarus es, en efecto, una transferencia de capital de los usuarios de criptomonedas al desarrollo de armas por parte de un estado que ha amenazado con ataques nucleares contra sus vecinos. Cada multisig no defendido es una contribución a ese pipeline. Cada desarrollador que hace clic en una invitación de calendario de «entrevista de empresa de cartera» sin verificación se convierte, en un sentido real, en un ítem en el presupuesto de misiles de DPRK. Esta es una sentencia dura para una industria construida sobre el acceso sin permisos y la descentralización.
Reflexiones Finales
El instinto en criptomonedas, que se remonta a sus orígenes, ha sido tratar el código como el lugar de confianza, y ser sospechoso de la filtración de intermediarios, listas de bloqueo de direcciones e intervención centralizada. Ese instinto ha servido bien a la industria en muchos contextos. Le sirve mal aquí. La negativa de THORChain a filtrar transacciones es consistente con sus principios declarados, y también es por eso que Corea del Norte utiliza THORChain. Ambas cosas son ciertas.
El ataque a KelpDAO el 18 de abril es estructuralmente distinto de Drift en un aspecto importante: produjo algo de lo que la industria de criptomonedas ha hablado durante años pero nunca ha presenciado realmente a gran escala. Un pánico bancario en DeFi. Dentro de unas horas después de que se drenara el puente de KelpDAO, el rsETH robado (el token de recibo de restaking de KelpDAO) se depositó como colateral en Aave y otras plataformas de préstamos, mientras que los contratos subyacentes de KelpDAO fueron pausados y el verdadero valor del token colapsó. Los usuarios de Aave que habían prestado ETH contra el colateral de rsETH de repente se encontraron con que sus préstamos estaban respaldados por activos sin valor. En 48 horas, más de $8,400 millones en depósitos abandonaron Aave. El TVL total de DeFi en todo el ecosistema cayó en más de $13,000 millones en la misma ventana, mientras los usuarios retiraban primero y hacían preguntas después. Esto no fue un pánico. Fue un clásico, un pánico bancario de texto, el tipo de pánico que los reguladores bancarios diseñan el seguro de depósitos y las instalaciones de prestamista de última instancia específicamente para prevenir en las finanzas tradicionales. DeFi no tiene ninguno.
El hecho de que los contratos inteligentes de Aave siguieran funcionando, que los retiros siguieran procesándose y que el sistema se mantuviera unido es genuinamente notable, y es en gran parte un crédito al diseño del protocolo. Pero el resultado estuvo mucho más cerca de un evento de liquidación en cascada de lo que la mayoría de la cobertura reconoció. La implicación es estructural. A medida que DeFi ha madurado, ha construido composabilidad, la propiedad de que cualquier token puede servir como colateral para cualquier otro producto. Esa composabilidad es lo que hace que DeFi sea útil, y también es lo que hace que un único activo comprometido sea capaz de propagar pérdidas a través de múltiples protocolos en cuestión de horas. El módulo de seguridad de Aave fue insuficiente para absorber la eventual mala deuda de los préstamos respaldados por rsETH. Las estimaciones sugieren que entre $100 y $120 millones en pérdidas permanecieron después de que se agotó el fondo de seguros, y la gobernanza de Aave ahora está debatiendo abiertamente quién paga por lo que queda. La propuesta en consideración dividiría las pérdidas equitativamente entre los prestamistas que tenían las posiciones afectadas. Esto es, en lenguaje sencillo, un evento de rescate de depositantes para uno de los protocolos de préstamos más grandes en DeFi. Es un tipo de riesgo que no existía de manera significativa en la versión de criptomonedas anterior a la composabilidad. Existe ahora, y Lazarus acaba de demostrar cómo desencadenarlo.
Conclusiones y Recomendaciones
Un artículo que solo describiera el problema sería desalentador. La pregunta más difícil es qué tendría que cambiar realmente para que el problema de Lazarus se volviera manejable. Tres cosas, en orden de dificultad para implementarlas. La primera es la cultura de seguridad operativa dentro de los protocolos DeFi. La superficie de ataque que explota Lazarus no es técnica. Es humana. Eso significa que las defensas también tienen que ser humanas: capacitar a los colaboradores para reconocer la ingeniería social, endurecer los procesos de contratación y incorporación contra la infiltración de identidades falsas, requerir verificación de múltiples canales antes de firmar transacciones materiales, y tratar «esto parece demasiado bueno para ser verdad» como la señal de seguridad que realmente es. Parte de esto está sucediendo, pero está ocurriendo proyecto por proyecto, sin un estándar de industria consistente. La infraestructura de auditoría de la industria DeFi tardó cinco años en profesionalizarse. El equivalente de seguridad operativa está en su primer año.
La segunda es el diseño arquitectónico de los sistemas de gobernanza y multisig. Muchos de los ataques con los que Lazarus ha tenido éxito dependen de un patrón de vulnerabilidad específico: un multisig con relativamente pocos firmantes, un bloqueo temporal que es corto o está ausente, y sin controles automatizados que marquen transacciones inusuales antes de que se ejecuten. La solución arquitectónica no es exótica. Bloqueos temporales más largos. Más firmantes. Monitoreo independiente de transacciones pendientes. Separación forzada por hardware entre claves de firma y máquinas de desarrollador. Los protocolos que han implementado estas medidas generalmente no han sido los que han sido drenados. Los protocolos que no lo han hecho, sí lo han sido.
La tercera es la capa de infraestructura. La negativa de THORChain a filtrar transacciones es una elección arquitectónica, y una con una defensa real y principista detrás de ella. Pero esa elección se ha convertido, para 2026, en un pilar estructural del pipeline de lavado utilizado por el ladrón de criptomonedas patrocinado por el estado más prolífico del mundo. En algún momento, la cuestión de cómo manejar la neutralidad a nivel de infraestructura frente a la complicidad sistémica tendrá que ser confrontada, y no se resolverá completamente dentro de las criptomonedas. Involucrará la aplicación de sanciones, el cumplimiento de intercambios y la coordinación internacional. Parte de eso ya está sucediendo. La Beacon Network de TRM Labs, que alerta a los intercambios y protocolos miembros cuando direcciones conocidas como malas reciben fondos, se expandió significativamente en 2025 y 2026. Sin embargo, el ritmo de esas respuestas institucionales se queda atrás del ritmo de los ataques que intentan atrapar.
Reflexión Final
Lo más difícil sobre la historia de Lazarus es que obliga a la industria de criptomonedas a confrontar una verdad que no encaja limpiamente en su autoconcepción. Durante la mayor parte de su historia, las criptomonedas se han enmarcado como una lucha entre innovadores y reguladores obsoletos, entre sistemas sin permisos y guardianes, entre código y discreción humana. En ese marco, las amenazas a la industria provenían de la presión externa: gobiernos tratando de restringirla, bancos tratando de competir con ella, periodistas que la desestimaban. La realidad de Lazarus es diferente. La amenaza no es la presión externa. La amenaza es un adversario hostil patrocinado por el estado que ha industrializado la explotación de las características estructurales específicas de las criptomonedas, la falta de filtrado de intermediarios, la prevalencia de la gobernanza multisig, la velocidad de liquidación entre cadenas, la dificultad de recuperar fondos lavados, contra la industria misma. Este adversario no se preocupa por los compromisos ideológicos que las criptomonedas hacen consigo mismas. Se preocupa por extraer valor, y las decisiones de diseño que hacen que las criptomonedas sean útiles son las mismas decisiones de diseño que hacen que sea eficiente robar de ellas.
La industria ha pasado años debatiendo si debería ser más o menos como el sistema financiero tradicional. El problema de Lazarus sugiere que la pregunta más interesante puede ser cómo construir una versión defensible del sistema que las criptomonedas realmente se han convertido: composable, rápida, entre cadenas, y ahora, demostrablemente, un objetivo. Las cifras de abril de 2026 no serán las peores que la industria vea. Eso no es pesimismo. Es la línea de tendencia. Las mismas operaciones de Lazarus que llevaron a cabo seis meses de preparación para Drift han estado casi seguramente ejecutando otras operaciones en paralelo contra otros protocolos. Algunos de esos tendrán éxito. La pregunta es si, para cuando ocurra el próximo robo de $300 millones, la industria ha hecho el trabajo para hacer que la operación cueste más que la recompensa, o si abril de 2026 es un adelanto de lo que sucede cuando adversarios patrocinados por el estado encuentran un entorno objetivo que está permanentemente mal valorado. Por ahora, la respuesta no está clara. Lo que está claro es que la conversación ha pasado de «DeFi tiene un problema de seguridad» a algo más específico y mucho más difícil. Un servicio de inteligencia de un estado-nación ha identificado una superficie de ataque asimétrica y la ha estado explotando, con creciente sofisticación, durante medio decenio. Las defensas de la industria aún no se han puesto al día con la realidad de que esto es lo que enfrenta. Esa brecha es la historia. El próximo año de seguridad en criptomonedas se tratará de si la industria la cierra, o si la brecha cierra la industria en su lugar.
Este artículo es solo para fines informativos y no constituye asesoramiento de seguridad o inversión. Los incidentes de seguridad, la atribución y los esfuerzos de recuperación evolucionan rápidamente; las cifras y detalles operativos descritos reflejan informes disponibles hasta mediados de mayo de 2026. Siempre haga su propia investigación y consulte a profesionales de seguridad calificados.
