Robo de Criptomonedas por Hackers Norcoreanos
Los hackers norcoreanos han robado un total de $6.75 mil millones en criptomonedas a través de 263 incidentes desde 2016, consolidando el robo patrocinado por el estado como la principal amenaza para las finanzas descentralizadas, según un nuevo informe de la firma de seguridad blockchain CertiK.
Evolución del Crimen Criptográfico
El análisis Skynet de esta firma de seguridad Web3 documenta cómo los grupos vinculados a la República Popular Democrática de Corea (DPRK) han evolucionado de ser atacantes oportunistas a convertirse en la fuerza principal en el crimen criptográfico, siendo responsables de aproximadamente el 60% de todas las pérdidas por robo solo en 2025, lo que equivale a $2.06 mil millones.
Este dominio se extiende a 2026, con los hackers norcoreanos representando el 55% de las pérdidas globales en criptomonedas desde el inicio del año.
Técnicas de Ataque y Lavado de Fondos
La ingeniería social se ha convertido en el «vector de ataque dominante», según el autor del informe, Taylor Monahan, tras incidentes como el hackeo de $285 millones del Drift Protocol en abril, donde los hackers de la DPRK pasaron seis meses infiltrándose en la plataforma DeFi haciéndose pasar por una firma de trading cuantitativo.
«Quizás lo más preocupante es la rapidez con la que desaparecen los fondos robados»
Los hackers norcoreanos aprovechan una infraestructura de lavado a gran escala que incluye intercambios descentralizados y puentes entre cadenas para oscurecer rápidamente la pista del dinero. En un caso significativo, CertiK señaló que el 86% de los fondos fueron lavados en solo un mes.
Impacto en el Ecosistema Criptográfico
Los hallazgos pintan un cuadro de la evolución del robo de criptomonedas por parte de Corea del Norte hacia un «mecanismo principal de ingresos del estado», drenando sistemáticamente miles de millones del ecosistema criptográfico mientras se mantienen por delante de los esfuerzos de las fuerzas del orden.
La sincronización del informe subraya la amenaza continua, llegando en un momento en que los hackers de la DPRK mantienen su asalto implacable a la infraestructura criptográfica. El ataque al Drift Protocol de abril marcó el mayor hackeo DeFi de 2026, pero incluso los $285 millones robados en ese incidente palidecen en comparación con la violación récord de Bybit de 2025, donde los hackers extrajeron $1.46 mil millones en solo dos transacciones el 21 de febrero.
Las firmas de seguridad blockchain informan que más de $1 mil millones de los fondos de Bybit han sido lavados desde entonces a través de la misma infraestructura entre cadenas detallada en los hallazgos de CertiK.
Respuesta de las Autoridades y Recomendaciones
Los expertos en seguridad describen las operaciones criptográficas de Corea del Norte como sin precedentes en alcance y sofisticación, con la firma de análisis blockchain TRM Labs caracterizando la amenaza como una amenaza de «escala industrial» que aprovecha «actividad cibernética, apoyo de inteligencia, infraestructura de finanzas ilícitas y asociaciones con facilitadores en el extranjero».
La red de lavado del régimen—denominada «lavandería china» por los investigadores—comprende banqueros subterráneos, corredores OTC, transmisores de dinero e intermediarios de lavado basados en comercio.
Las autoridades de EE. UU. han intensificado los esfuerzos para interrumpir estas operaciones a través de incautaciones de activos dirigidas. El Departamento de Justicia presentó una demanda civil de confiscación en junio pasado, apuntando a $7.7 millones en criptomonedas vinculadas a redes de lavado de trabajadores de TI norcoreanos.
Documentos judiciales revelaron que una billetera controlada por Sim Hyon Sop, un representante del Banco de Comercio Exterior de Corea del Norte sancionado, recibió más de $24 millones en criptomonedas entre agosto de 2021 y marzo de 2023.
Mientras tanto, las firmas de seguridad están compitiendo para desarrollar herramientas y técnicas que contrarresten la sofisticación de las técnicas de lavado entre cadenas, con CertiK recomendando que las empresas en riesgo adopten rigurosas verificaciones de identidad que incluyan entrevistas en video, políticas de contratación de cero confianza y «endurecimiento técnico» de la infraestructura DeFi, como puentes y billeteras calientes.
