Robo de Criptomonedas por Corea del Norte en 2025
Los hackers de la República Popular Democrática de Corea, también conocida como DPRK o Corea del Norte, han robado hasta ahora $2.02 mil millones en criptomonedas en 2025, según un informe de Chainalysis revelado el jueves. Esto representa un aumento del 51% en comparación con la cifra del año pasado y marca el año más grande registrado para el robo de criptomonedas relacionado con la DPRK.
En total, las criptomonedas han sufrido robos por un valor de $3.4 mil millones este año, lo que significa que los ataques de la DPRK representan el 59% de estos fondos robados. Chainalysis considera que estos datos muestran una «evolución» por parte de Corea del Norte, ya que están cometiendo menos ataques, pero causando significativamente más daño con cada uno.
«Para la industria de las criptomonedas, esta evolución exige una vigilancia mejorada en torno a los objetivos de alto valor y una mejor detección de los patrones específicos de lavado de la DPRK»
afirma el informe.
«Sus preferencias consistentes por ciertos tipos de servicios y montos de transferencia brindan oportunidades de detección, los distinguen de otros criminales y pueden ayudar a los investigadores a identificar su huella de comportamiento en la cadena.»
Patrones de Lavado y Técnicas de Ataque
Chainalysis ha identificado un patrón de lavado distintivo de tres olas, que dura 45 días, que los atacantes de la DPRK suelen seguir. Los identificadores incluyen el uso de servicios en chino, una fuerte dependencia de activos de puente entre cadenas para confundir el seguimiento y un mayor uso de servicios de mezcla de criptomonedas. Este patrón, según el informe, ha persistido en los últimos años.
Chainalysis no respondió a la solicitud de Decrypt para comentar sobre cómo los analistas saben que estos ataques fueron perpetrados por la DPRK y no por otros grupos. Cada vez más, los ataques provienen de actores maliciosos contratados por empresas de criptomonedas. El atacante trabaja para obtener acceso privilegiado antes de robar información o fondos importantes.
Contratación de Hackers y Amenazas Emergentes
Binance informó a Decrypt en el verano que los hackers norcoreanos intentan ser contratados por el importante intercambio centralizado todos los días. Jimmy Su, director de seguridad de Binance, explicó que los atacantes incluso pueden usar video en vivo generado por IA y cambiadores de voz en llamadas en un intento de ser contratados.
El intercambio ha identificado varios signos reveladores comunes de los atacantes de la DPRK y comparte esta inteligencia con otros intercambios de criptomonedas a través de Telegram y Signal. Además, se descubrió que los hackers norcoreanos estaban envenenando paquetes de NPM, bibliotecas de código público utilizadas regularmente, para infiltrarse en proyectos. Nuevamente, Binance reconoció esta amenaza y afirma que sus desarrolladores se ven obligados a revisar cada biblioteca de código con un peine de dientes finos.
«A medida que Corea del Norte continúa utilizando el robo de criptomonedas para financiar prioridades estatales y eludir sanciones internacionales, la industria debe reconocer que este actor de amenaza opera bajo reglas diferentes a las de los criminales cibernéticos típicos»
concluye el informe de Chainalysis.
«El rendimiento récord de 2025 del país, logrado con un 74% menos de ataques conocidos, sugiere que podemos estar viendo solo la parte más visible de sus actividades.»
«El desafío para 2026 será detectar y prevenir estas operaciones de alto impacto antes de que los actores afiliados a la DPRK inflijan otro incidente a gran escala como el de Bybit»
concluyó.
