Dependencia de Corea del Norte en Hackers Estatales
Corea del Norte depende de grupos de hackers respaldados por el estado, como Lazarus, para financiar su ejército. Las criptomonedas robadas representan casi un tercio de sus ingresos en divisas extranjeras, proporcionando un flujo de efectivo ilícito constante e inmune a las sanciones tradicionales.
Robos de Criptomonedas y sus Consecuencias
En un informe del 22 de octubre, el Equipo de Monitoreo de Sanciones Multilaterales indicó que entre enero de 2024 y septiembre de 2025, actores norcoreanos orquestaron robos de criptomonedas que totalizaron al menos 2.8 mil millones de dólares, a través de grupos de hackers respaldados por el estado y actores cibernéticos que apuntan al sector de activos digitales.
«La mayor parte del botín provino de incidentes significativos, incluido el exploit de Bybit en febrero de 2025, que por sí solo representó aproximadamente la mitad del total.»
El informe atribuye estos exploits a actores de amenazas norcoreanos conocidos que utilizan métodos sofisticados de cadena de suministro, ingeniería social y compromiso de billeteras. Las operaciones de criptomonedas de Corea del Norte giran en torno a un ecosistema cerrado de grupos de hackers vinculados al estado, entre los cuales destacan Lazarus, Kimsuky, TraderTraitor y Andariel, cuyos rastros aparecen en casi todas las violaciones importantes de activos digitales de los últimos dos años.
Metodologías de Ataque
Según analistas de ciberseguridad, estos equipos operan bajo la Oficina General de Reconocimiento, el principal brazo de inteligencia de Pyongyang, coordinando ataques que imitan la eficiencia del sector privado. Su principal innovación ha sido eludir completamente a los intercambios, apuntando en su lugar a los proveedores de custodia de activos digitales de terceros que los intercambios utilizan para almacenamiento seguro.
Al comprometer la infraestructura de empresas como Safe(Wallet), Ginco y Liminal Custody, los actores norcoreanos obtuvieron una llave maestra para robar fondos de clientes como Bybit, DMM Bitcoin de Japón y WazirX de India. El ataque a DMM Bitcoin, que resultó en una pérdida de 308 millones de dólares y el eventual cierre del intercambio, se inició meses antes, cuando un actor de TraderTraitor, haciéndose pasar por un reclutador en LinkedIn, engañó a un empleado de Ginco para que abriera un archivo malicioso disfrazado como una prueba previa a la entrevista.
Otros Grupos y Técnicas
Otros grupos patrocinados por el estado operan en conjunto con este esfuerzo principal. El colectivo CryptoCore, aunque menos sofisticado, realiza ingeniería social de alto volumen, haciéndose pasar por reclutadores y ejecutivos de negocios para infiltrarse en los objetivos. Mientras tanto, Citrine Sleet ha desarrollado una reputación por desplegar software de trading de criptomonedas trojanizado.
En un incidente detallado de octubre de 2024, un actor de Citrine Sleet, haciéndose pasar por un contratista de confianza en Telegram, entregó un archivo ZIP malicioso a un desarrollador de Radiant Capital, lo que llevó a un robo de 50 millones de dólares.
Proceso de Lavado de Activos
Una vez robados, los activos digitales entran en un complejo proceso de lavado de nueve pasos diseñado para oscurecer su origen y convertirlos en moneda fiduciaria utilizable. Los actores cibernéticos de la DPRK intercambian sistemáticamente tokens robados por criptomonedas establecidas como Ethereum o Bitcoin, luego utilizan un conjunto de servicios de mezcla que incluyen Tornado Cash y Wasabi Wallet.
Posteriormente, aprovechan puentes y agregadores entre cadenas como THORChain y LI.FI para saltar entre blockchains, a menudo convirtiendo los activos mezclados en USDT basado en Tron para prepararlos para el retiro. Los investigadores señalaron que toda esta operación depende de una red de corredores extrabursátiles, predominantemente en China, que aceptan el USDT lavado y depositan moneda fiduciaria equivalente en cuentas bancarias controladas por la DPRK a través de tarjetas UnionPay chinas.
Impacto Global
Esta implacable campaña de robo digital tiene consecuencias directas y graves en el mundo real. Los miles de millones drenados del ecosistema de criptomonedas no desaparecen en un vacío burocrático. El informe del MSMT concluye que esta fuente de ingresos es crítica para la adquisición de materiales y equipos para los programas ilegales de armas de destrucción masiva y misiles balísticos de la DPRK.
«Al proporcionar un flujo de efectivo masivo e ilícito que es inmune a las sanciones financieras tradicionales, la industria global de criptomonedas se ha convertido en un arma, convirtiéndose en un financiador no regulado e involuntario de las ambiciones militares de Pyongyang.»
Los robos no son meramente crímenes de lucro; son actos de política estatal que financian una acumulación militar que amenaza la seguridad global.
