{"id":15732,"date":"2026-05-29T11:32:13","date_gmt":"2026-05-29T11:32:13","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/corea-del-norte-roba-577-millones-en-criptomonedas-asi-fue-la-operacion-del-grupo-lazarus\/"},"modified":"2026-05-29T11:32:13","modified_gmt":"2026-05-29T11:32:13","slug":"corea-del-norte-roba-577-millones-en-criptomonedas-asi-fue-la-operacion-del-grupo-lazarus","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/corea-del-norte-roba-577-millones-en-criptomonedas-asi-fue-la-operacion-del-grupo-lazarus\/","title":{"rendered":"Corea del Norte roba $577 millones en criptomonedas: as\u00ed fue la operaci\u00f3n del Grupo Lazarus"},"content":{"rendered":"
\n

Introducci\u00f3n<\/h2>\n

En abril de 2026, dos hackeos perpetrados por el Grupo Lazarus<\/strong> de Corea del Norte resultaron en el robo de $577 millones<\/strong>, lo que represent\u00f3 el 76%<\/strong> de todos los robos de criptomonedas de ese a\u00f1o. Ninguno de estos ataques fue una explotaci\u00f3n de contrato inteligente. Los atacantes pasaron seis meses haci\u00e9ndose pasar por una firma de trading, asistiendo a conferencias de criptomonedas en persona y estableciendo relaciones reales con ingenieros de Drift Protocol antes de obtener las firmas necesarias para drenar $285 millones<\/strong> en solo doce minutos. El segundo ataque dren\u00f3 $292 millones<\/strong> de un \u00fanico nodo de puente vulnerable. Esto ya no es solo un problema de seguridad en criptomonedas; es una operaci\u00f3n de inteligencia patrocinada por un estado, dirigida por un pa\u00eds que utiliza los ingresos para financiar su programa de armas. La industria apenas comienza a reconocer esta realidad.<\/p>\n

Detalles de los Ataques<\/h2>\n

A las 16:06:09 UTC del 1 de abril de 2026, un atacante dren\u00f3 las b\u00f3vedas principales de Drift Protocol, el mayor intercambio de futuros perpetuos descentralizado en Solana, de aproximadamente $285 millones<\/strong> en activos de usuarios. El primer retiro movi\u00f3 41.72 millones<\/strong> de tokens JLP, y el \u00faltimo movi\u00f3 2,200 ETH<\/strong> envueltos. Todo el tesoro fue vaciado en doce minutos, aproximadamente el tiempo que se tarda en escribir un mensaje de texto largo. La primera declaraci\u00f3n p\u00fablica del equipo, publicada en X pocas horas despu\u00e9s, pidi\u00f3 a la comunidad que confirmara que la actividad inusual que estaban observando no era una broma del D\u00eda de los Inocentes. No lo era. Fue la culminaci\u00f3n de seis meses de preparaci\u00f3n met\u00f3dica por parte de operativos que trabajaban para el gobierno de Corea del Norte.<\/p>\n

Diecisiete d\u00edas despu\u00e9s, el 18 de abril, los atacantes drenaron $292 millones<\/strong> de KelpDAO, un protocolo de restaking, manipulando una configuraci\u00f3n de verificador \u00fanico en su puente LayerZero. Los dos ataques combinados representaron aproximadamente el 95%<\/strong> de los $625 millones<\/strong> en robos de criptomonedas de abril, convirtiendo ese mes en el peor para la seguridad de criptomonedas en la historia registrada. El robo acumulado hasta abril super\u00f3 los $1,000 millones<\/strong>. TRM Labs atribuy\u00f3 el 76%<\/strong> del total de 2026 a estos dos ataques, ambos realizados por el mismo actor de amenaza.<\/p>\n

El Grupo Lazarus<\/h2>\n

Ese actor de amenaza es el Grupo Lazarus<\/strong>, el nombre que utilizan las agencias de inteligencia occidentales para referirse a las operaciones de hacking patrocinadas por el estado que se llevan a cabo desde la Oficina General de Reconocimiento, la principal agencia de inteligencia de Corea del Norte. Desde 2017, Lazarus y sus subunidades han robado m\u00e1s de $6,000 millones<\/strong> en criptomonedas. Seg\u00fan cifras de Chainalysis, $2,060 millones<\/strong> de eso fueron robados solo en 2025, impulsados principalmente por el catastr\u00f3fico hackeo de $1,500 millones<\/strong> de Bybit en febrero de ese a\u00f1o, el mayor robo de criptomonedas en la historia. El ritmo de 2026 pone al grupo en camino de superar c\u00f3modamente el total de 2025.<\/p>\n

La Evoluci\u00f3n de las Amenazas<\/h2>\n

Esta no es una historia de seguridad en criptomonedas en el sentido convencional. Las amenazas que enfrentan los protocolos DeFi hoy no son las amenazas para las que fueron dise\u00f1ados para defenderse. La preocupaci\u00f3n de la era 2020 eran los errores en contratos inteligentes y las explotaciones de pr\u00e9stamos flash, vulnerabilidades en el c\u00f3digo. La realidad de 2026 es que se est\u00e1n llevando a cabo operaciones sostenidas, de m\u00faltiples pa\u00edses y meses, dirigidas por profesionales de inteligencia que no necesitan una explotaci\u00f3n de c\u00f3digo porque ya tienen las claves. Solo ten\u00edan que convencer a alguien para que se las entregara. Eso es lo que fue el ataque a Drift. Y entenderlo es la lecci\u00f3n de seguridad m\u00e1s importante que cualquier poseedor, constructor o ejecutivo de criptomonedas puede obtener en este momento.<\/p>\n

Informe Post-Mortem de Drift Protocol<\/h2>\n

El informe post-mortem de Drift Protocol, publicado a principios de abril, se lee m\u00e1s como un informe de contrainteligencia que como una divulgaci\u00f3n de seguridad. Comienza en octubre de 2025. En una importante conferencia de criptomonedas, un grupo de individuos que se presentaban como representantes de una firma de trading cuantitativa se acerc\u00f3 a los colaboradores de Drift. Ten\u00edan antecedentes profesionales verificados, demostraron fluidez t\u00e9cnica y hicieron exactamente los tipos de preguntas que una verdadera firma de trading institucional har\u00eda sobre la integraci\u00f3n con un protocolo de perpetuos. Los colaboradores de Drift, que manejan tales solicitudes de manera rutinaria, los trataron como cualquier otro posible socio institucional. Drift ha aclarado desde entonces que los individuos en esas reuniones en persona no eran nacionales de Corea del Norte. Las operaciones de Lazarus casi siempre utilizan intermediarios de terceros para el contacto cara a cara, con los operadores t\u00e9cnicos reales permaneciendo dentro de Corea del Norte o China.<\/p>\n

Ingenier\u00eda Social y Compromiso de Dispositivos<\/h2>\n

El investigador de blockchain ZachXBT, que ha estado rastreando las operaciones de criptomonedas de DPRK durante a\u00f1os, ha se\u00f1alado que esta estructura de identidad en capas es una de las caracter\u00edsticas definitorias de las campa\u00f1as de Lazarus. El grupo no se detuvo despu\u00e9s de la primera conferencia. Durante seis meses, los mismos operativos, o operativos que presentaban las mismas identidades, aparecieron en m\u00faltiples eventos de la industria global, profundizando relaciones con colaboradores espec\u00edficos de Drift. Se cre\u00f3 un grupo de Telegram para la discusi\u00f3n continua de estrategias de trading y posibilidades de integraci\u00f3n. Desde diciembre de 2025 hasta enero de 2026, la falsa firma de trading \u00abincorpor\u00f3 un tesoro del ecosistema\u00bb con Drift, presentando detalles de estrategia y depositando m\u00e1s de $1 mill\u00f3n<\/strong> en el protocolo como socio. Esto no es una operaci\u00f3n de estafa normal. Este es un servicio de inteligencia que lleva a cabo una campa\u00f1a de HUMINT con un presupuesto.<\/p>\n

Acceso y Ejecuci\u00f3n del Ataque<\/h2>\n

Para febrero y marzo de 2026, las relaciones eran lo suficientemente profundas como para que los colaboradores confiaran en estos contrapartes para compartir repositorios y aplicaciones. Seg\u00fan Drift, los atacantes utilizaron dos vectores de malware espec\u00edficos. Uno involucraba compartir repositorios que conten\u00edan c\u00f3digo que, al abrirse en VSCode o Cursor (el editor de c\u00f3digo mejorado por IA), podr\u00eda desencadenar la ejecuci\u00f3n silenciosa de c\u00f3digo a trav\u00e9s de una vulnerabilidad que no hab\u00eda sido parcheada en ese momento. El otro involucraba a un colaborador que descargaba lo que se presentaba como un producto de billetera distribuido a trav\u00e9s de TestFlight, la plataforma de pruebas beta de Apple, que compromet\u00eda el dispositivo. Una vez que los atacantes tuvieron acceso a las m\u00e1quinas correctas, tuvieron acceso a las billeteras correctas. Y una vez que tuvieron las billeteras correctas, el resto de la operaci\u00f3n fue log\u00edstica.<\/p>\n

El Resultado del Ataque<\/h2>\n

El 23 de marzo, m\u00e1s de una semana antes del robo, los atacantes configuraron cuatro billeteras utilizando la funci\u00f3n de \u00abnonce durable\u00bb de Solana, que permite que las transacciones prefirmadas se ejecuten en cualquier momento futuro. Dos de esas billeteras pertenec\u00edan a miembros comprometidos del Consejo de Seguridad de Drift, el grupo de firmantes multisig que controlaba las funciones m\u00e1s sensibles del protocolo. Las otras dos estaban bajo control directo de los atacantes. A trav\u00e9s de ingenier\u00eda social y los dispositivos comprometidos, los atacantes obtuvieron las aprobaciones multisig de dos de los cinco firmantes del Consejo de Seguridad necesarias para ejecutar las transacciones prefirmadas.<\/p>\n

El 1 de abril, mientras el equipo de Drift realizaba un retiro rutinario del fondo de seguros, los atacantes ejecutaron dos de las transacciones prefirmadas con cuatro bloques de diferencia. Las transacciones tomaron el control administrativo, introdujeron un activo sint\u00e9tico llamado CarbonVote Token (CVT)<\/strong> en el mercado al contado, manipularon su precio a trav\u00e9s de operaciones de lavado en dos intercambios descentralizados para dar la falsa apariencia de valor leg\u00edtimo, y elevaron el l\u00edmite de retiro de USDC del protocolo a 500 billones<\/strong>. CVT fue luego depositado como colateral contra todo el tesoro. Doce minutos despu\u00e9s, $285 millones<\/strong> se hab\u00edan ido. Los atacantes intercambiaron los activos robados por USDC a trav\u00e9s de Jupiter, el mayor agregador DEX de Solana, y puentearon aproximadamente 129,000 ETH<\/strong> por un valor de $270 millones<\/strong> a Ethereum a trav\u00e9s del protocolo CCTP de Circle. Mantuvieron el USDC robado durante varias horas antes de completar el puente. Circle no congel\u00f3 los fondos durante esa ventana. El investigador de seguridad Specter se\u00f1al\u00f3 en ese momento que los atacantes hab\u00edan evitado deliberadamente convertir a Tether, lo que suger\u00eda confianza en que Circle, espec\u00edficamente, no intervendr\u00eda. Ten\u00edan raz\u00f3n.<\/p>\n

Lecciones Aprendidas<\/h2>\n

La tentaci\u00f3n, al leer el informe post-mortem de Drift, es tratarlo como un caso extraordinario. Una operaci\u00f3n de seis meses. M\u00faltiples dispositivos comprometidos. Transacciones prefirmadas. Colateral falso negociado. Se lee como un guion de Hollywood. Pero al retroceder, las huellas arquitect\u00f3nicas de cada ataque importante de Lazarus en DeFi de los \u00faltimos tres a\u00f1os son id\u00e9nticas. Un firmante humano comprometido. Una configuraci\u00f3n multisig debilitada. Un bloqueo temporal retrasado o ausente. Una carga maliciosa disfrazada como una operaci\u00f3n rutinaria. El hackeo de Bybit en febrero de 2025, el robo de $1,500 millones<\/strong> ahora atribuido por el FBI a un subgrupo de Lazarus llamado TraderTraitor, utiliz\u00f3 el mismo enfoque. Los firmantes de Bybit cre\u00edan que estaban aprobando operaciones rutinarias de billetera fr\u00eda a trav\u00e9s de la infraestructura multisig de Safe. No lo estaban. La infraestructura de Safe hab\u00eda sido comprometida a trav\u00e9s de un ataque del lado del desarrollador, y la transacci\u00f3n que firmaron transfiri\u00f3 el control del contrato de la billetera en s\u00ed.<\/p>\n

La Superficie de Ataque<\/h2>\n

El mismo manual de operaciones sigue funcionando porque la superficie de ataque, la confianza humana, no se ha endurecido de la manera en que se han endurecido los contratos inteligentes. Esa repetici\u00f3n es lo m\u00e1s importante que hay que entender sobre el problema de Lazarus. La auditor\u00eda de contratos inteligentes se ha convertido en una disciplina rutinaria en DeFi. Cada protocolo serio es auditado, a menudo por m\u00faltiples firmas. Los programas de recompensas por errores son generalizados. Ninguna de esas medidas captura una operaci\u00f3n de ingenier\u00eda social de seis meses dirigida a los firmantes humanos. La asimetr\u00eda entre la madurez de la seguridad del c\u00f3digo y la madurez de la seguridad operativa es la brecha que Lazarus ha pasado cinco a\u00f1os industrializando.<\/p>\n

Nuevas Amenazas en 2026<\/h2>\n

La evoluci\u00f3n de 2026 agrega dos nuevos matices. Uno es el uso de herramientas de codificaci\u00f3n mejoradas por IA como un vector de ataque. VSCode y Cursor han facilitado dram\u00e1ticamente a los desarrolladores abrir y ejecutar c\u00f3digo de fuentes externas. Esa conveniencia tambi\u00e9n ampli\u00f3 la superficie de ataque. El ataque a Drift explot\u00f3 una vulnerabilidad espec\u00edfica donde abrir un repositorio en un entorno de desarrollo podr\u00eda desencadenar la ejecuci\u00f3n silenciosa de c\u00f3digo. Esta no era una falla \u00fanica de Drift. Era una clase de vulnerabilidad que se encuentra bajo cada desarrollador en la industria que utiliza estas herramientas, que son la mayor\u00eda de ellos.<\/p>\n

El segundo matiz es la IA misma. Investigadores de ciberseguridad que testificaron ante los subcomit\u00e9s de la C\u00e1mara de EE. UU. esta primavera han se\u00f1alado que los operativos de DPRK ahora est\u00e1n utilizando herramientas de IA para generar identidades falsas m\u00e1s convincentes, redactar comunicaciones m\u00e1s plausibles y acelerar la fase de reconocimiento inicial de los objetivos. Las mismas herramientas de productividad que est\u00e1n transformando negocios leg\u00edtimos tambi\u00e9n est\u00e1n transformando a los atacantes.<\/p>\n

Financiamiento de Actividades Il\u00edcitas<\/h2>\n

Vale la pena ser precisos sobre d\u00f3nde terminan los fondos robados, porque aqu\u00ed es donde la incomodidad de la industria de criptomonedas con la historia se vuelve m\u00e1s aguda. El Panel de Expertos de las Naciones Unidas sobre Corea del Norte ha estimado que el robo de criptomonedas financia una parte material del presupuesto de desarrollo de misiles y armas nucleares de DPRK. Esa estimaci\u00f3n ahora se refleja en evaluaciones formales del Tesoro de EE. UU. y de inteligencia de Corea del Sur. El robo acumulado de criptomonedas de Corea del Norte, que supera los $6,000 millones<\/strong> desde 2017, convierte esta actividad en una de las mayores fuentes de divisas del r\u00e9gimen, junto con las exportaciones de carb\u00f3n a China y el env\u00edo de trabajadores de TI al extranjero.<\/p>\n

Mec\u00e1nica del Lavado de Fondos<\/h2>\n

La mec\u00e1nica para pasar de \u00abETH robado\u00bb a \u00abadquisici\u00f3n de armas\u00bb est\u00e1 bien documentada. Despu\u00e9s del robo inicial, los fondos se intercambian t\u00edpicamente por Bitcoin o stablecoins, luego se enrutan a trav\u00e9s de puentes entre cadenas para oscurecer la pista. THORChain, el protocolo de intercambio entre cadenas, se ha convertido en una ruta preferida precisamente porque sus operadores han rechazado p\u00fablicamente considerar congelar o filtrar transacciones, tratando cualquier intervenci\u00f3n como contraria a los principios de descentralizaci\u00f3n del protocolo. THORChain proces\u00f3 la mayor parte del volumen de lavado de ambos robos de Bybit y KelpDAO. Desde all\u00ed, los fondos se mueven a trav\u00e9s de intercambios de criptomonedas rusos y escritorios de venta libre chinos antes de ser convertidos a fiat y canalizados en redes de adquisici\u00f3n que compran componentes y materiales sancionados por acuerdo internacional.<\/p>\n

Implicaciones para la Industria de Criptomonedas<\/h2>\n

El papel de la industria de criptomonedas en este pipeline es inc\u00f3modo pero inevitable. Cada explotaci\u00f3n de protocolo por parte de Lazarus es, en efecto, una transferencia de capital de los usuarios de criptomonedas al desarrollo de armas por parte de un estado que ha amenazado con ataques nucleares contra sus vecinos. Cada multisig no defendido es una contribuci\u00f3n a ese pipeline. Cada desarrollador que hace clic en una invitaci\u00f3n de calendario de \u00abentrevista de empresa de cartera\u00bb sin verificaci\u00f3n se convierte, en un sentido real, en un \u00edtem en el presupuesto de misiles de DPRK. Esta es una sentencia dura para una industria construida sobre el acceso sin permisos y la descentralizaci\u00f3n.<\/p>\n

Reflexiones Finales<\/h2>\n

El instinto en criptomonedas, que se remonta a sus or\u00edgenes, ha sido tratar el c\u00f3digo como el lugar de confianza, y ser sospechoso de la filtraci\u00f3n de intermediarios, listas de bloqueo de direcciones e intervenci\u00f3n centralizada. Ese instinto ha servido bien a la industria en muchos contextos. Le sirve mal aqu\u00ed. La negativa de THORChain a filtrar transacciones es consistente con sus principios declarados, y tambi\u00e9n es por eso que Corea del Norte utiliza THORChain. Ambas cosas son ciertas.<\/p>\n

El ataque a KelpDAO el 18 de abril es estructuralmente distinto de Drift en un aspecto importante: produjo algo de lo que la industria de criptomonedas ha hablado durante a\u00f1os pero nunca ha presenciado realmente a gran escala. Un p\u00e1nico bancario<\/strong> en DeFi. Dentro de unas horas despu\u00e9s de que se drenara el puente de KelpDAO, el rsETH robado (el token de recibo de restaking de KelpDAO) se deposit\u00f3 como colateral en Aave y otras plataformas de pr\u00e9stamos, mientras que los contratos subyacentes de KelpDAO fueron pausados y el verdadero valor del token colaps\u00f3. Los usuarios de Aave que hab\u00edan prestado ETH contra el colateral de rsETH de repente se encontraron con que sus pr\u00e9stamos estaban respaldados por activos sin valor. En 48 horas, m\u00e1s de $8,400 millones<\/strong> en dep\u00f3sitos abandonaron Aave. El TVL total de DeFi en todo el ecosistema cay\u00f3 en m\u00e1s de $13,000 millones<\/strong> en la misma ventana, mientras los usuarios retiraban primero y hac\u00edan preguntas despu\u00e9s. Esto no fue un p\u00e1nico. Fue un cl\u00e1sico, un p\u00e1nico bancario de texto, el tipo de p\u00e1nico que los reguladores bancarios dise\u00f1an el seguro de dep\u00f3sitos y las instalaciones de prestamista de \u00faltima instancia espec\u00edficamente para prevenir en las finanzas tradicionales. DeFi no tiene ninguno.<\/p>\n

El hecho de que los contratos inteligentes de Aave siguieran funcionando, que los retiros siguieran proces\u00e1ndose y que el sistema se mantuviera unido es genuinamente notable, y es en gran parte un cr\u00e9dito al dise\u00f1o del protocolo. Pero el resultado estuvo mucho m\u00e1s cerca de un evento de liquidaci\u00f3n en cascada de lo que la mayor\u00eda de la cobertura reconoci\u00f3. La implicaci\u00f3n es estructural. A medida que DeFi ha madurado, ha construido composabilidad, la propiedad de que cualquier token puede servir como colateral para cualquier otro producto. Esa composabilidad es lo que hace que DeFi sea \u00fatil, y tambi\u00e9n es lo que hace que un \u00fanico activo comprometido sea capaz de propagar p\u00e9rdidas a trav\u00e9s de m\u00faltiples protocolos en cuesti\u00f3n de horas. El m\u00f3dulo de seguridad de Aave fue insuficiente para absorber la eventual mala deuda de los pr\u00e9stamos respaldados por rsETH. Las estimaciones sugieren que entre $100<\/strong> y $120 millones<\/strong> en p\u00e9rdidas permanecieron despu\u00e9s de que se agot\u00f3 el fondo de seguros, y la gobernanza de Aave ahora est\u00e1 debatiendo abiertamente qui\u00e9n paga por lo que queda. La propuesta en consideraci\u00f3n dividir\u00eda las p\u00e9rdidas equitativamente entre los prestamistas que ten\u00edan las posiciones afectadas. Esto es, en lenguaje sencillo, un evento de rescate de depositantes para uno de los protocolos de pr\u00e9stamos m\u00e1s grandes en DeFi. Es un tipo de riesgo que no exist\u00eda de manera significativa en la versi\u00f3n de criptomonedas anterior a la composabilidad. Existe ahora, y Lazarus acaba de demostrar c\u00f3mo desencadenarlo.<\/p>\n

Conclusiones y Recomendaciones<\/h2>\n

Un art\u00edculo que solo describiera el problema ser\u00eda desalentador. La pregunta m\u00e1s dif\u00edcil es qu\u00e9 tendr\u00eda que cambiar realmente para que el problema de Lazarus se volviera manejable. Tres cosas, en orden de dificultad para implementarlas. La primera es la cultura de seguridad operativa<\/strong> dentro de los protocolos DeFi. La superficie de ataque que explota Lazarus no es t\u00e9cnica. Es humana. Eso significa que las defensas tambi\u00e9n tienen que ser humanas: capacitar a los colaboradores para reconocer la ingenier\u00eda social, endurecer los procesos de contrataci\u00f3n y incorporaci\u00f3n contra la infiltraci\u00f3n de identidades falsas, requerir verificaci\u00f3n de m\u00faltiples canales antes de firmar transacciones materiales, y tratar \u00abesto parece demasiado bueno para ser verdad\u00bb como la se\u00f1al de seguridad que realmente es. Parte de esto est\u00e1 sucediendo, pero est\u00e1 ocurriendo proyecto por proyecto, sin un est\u00e1ndar de industria consistente. La infraestructura de auditor\u00eda de la industria DeFi tard\u00f3 cinco a\u00f1os en profesionalizarse. El equivalente de seguridad operativa est\u00e1 en su primer a\u00f1o.<\/p>\n

La segunda es el dise\u00f1o arquitect\u00f3nico<\/strong> de los sistemas de gobernanza y multisig. Muchos de los ataques con los que Lazarus ha tenido \u00e9xito dependen de un patr\u00f3n de vulnerabilidad espec\u00edfico: un multisig con relativamente pocos firmantes, un bloqueo temporal que es corto o est\u00e1 ausente, y sin controles automatizados que marquen transacciones inusuales antes de que se ejecuten. La soluci\u00f3n arquitect\u00f3nica no es ex\u00f3tica. Bloqueos temporales m\u00e1s largos. M\u00e1s firmantes. Monitoreo independiente de transacciones pendientes. Separaci\u00f3n forzada por hardware entre claves de firma y m\u00e1quinas de desarrollador. Los protocolos que han implementado estas medidas generalmente no han sido los que han sido drenados. Los protocolos que no lo han hecho, s\u00ed lo han sido.<\/p>\n

La tercera es la capa de infraestructura<\/strong>. La negativa de THORChain a filtrar transacciones es una elecci\u00f3n arquitect\u00f3nica, y una con una defensa real y principista detr\u00e1s de ella. Pero esa elecci\u00f3n se ha convertido, para 2026, en un pilar estructural del pipeline de lavado utilizado por el ladr\u00f3n de criptomonedas patrocinado por el estado m\u00e1s prol\u00edfico del mundo. En alg\u00fan momento, la cuesti\u00f3n de c\u00f3mo manejar la neutralidad a nivel de infraestructura frente a la complicidad sist\u00e9mica tendr\u00e1 que ser confrontada, y no se resolver\u00e1 completamente dentro de las criptomonedas. Involucrar\u00e1 la aplicaci\u00f3n de sanciones, el cumplimiento de intercambios y la coordinaci\u00f3n internacional. Parte de eso ya est\u00e1 sucediendo. La Beacon Network de TRM Labs, que alerta a los intercambios y protocolos miembros cuando direcciones conocidas como malas reciben fondos, se expandi\u00f3 significativamente en 2025 y 2026. Sin embargo, el ritmo de esas respuestas institucionales se queda atr\u00e1s del ritmo de los ataques que intentan atrapar.<\/p>\n

Reflexi\u00f3n Final<\/h2>\n

Lo m\u00e1s dif\u00edcil sobre la historia de Lazarus es que obliga a la industria de criptomonedas a confrontar una verdad que no encaja limpiamente en su autoconcepci\u00f3n. Durante la mayor parte de su historia, las criptomonedas se han enmarcado como una lucha entre innovadores y reguladores obsoletos, entre sistemas sin permisos y guardianes, entre c\u00f3digo y discreci\u00f3n humana. En ese marco, las amenazas a la industria proven\u00edan de la presi\u00f3n externa: gobiernos tratando de restringirla, bancos tratando de competir con ella, periodistas que la desestimaban. La realidad de Lazarus es diferente. La amenaza no es la presi\u00f3n externa. La amenaza es un adversario hostil patrocinado por el estado que ha industrializado la explotaci\u00f3n de las caracter\u00edsticas estructurales espec\u00edficas de las criptomonedas, la falta de filtrado de intermediarios, la prevalencia de la gobernanza multisig, la velocidad de liquidaci\u00f3n entre cadenas, la dificultad de recuperar fondos lavados, contra la industria misma. Este adversario no se preocupa por los compromisos ideol\u00f3gicos que las criptomonedas hacen consigo mismas. Se preocupa por extraer valor, y las decisiones de dise\u00f1o que hacen que las criptomonedas sean \u00fatiles son las mismas decisiones de dise\u00f1o que hacen que sea eficiente robar de ellas.<\/p>\n

La industria ha pasado a\u00f1os debatiendo si deber\u00eda ser m\u00e1s o menos como el sistema financiero tradicional. El problema de Lazarus sugiere que la pregunta m\u00e1s interesante puede ser c\u00f3mo construir una versi\u00f3n defensible del sistema que las criptomonedas realmente se han convertido: composable, r\u00e1pida, entre cadenas, y ahora, demostrablemente, un objetivo. Las cifras de abril de 2026 no ser\u00e1n las peores que la industria vea. Eso no es pesimismo. Es la l\u00ednea de tendencia. Las mismas operaciones de Lazarus que llevaron a cabo seis meses de preparaci\u00f3n para Drift han estado casi seguramente ejecutando otras operaciones en paralelo contra otros protocolos. Algunos de esos tendr\u00e1n \u00e9xito. La pregunta es si, para cuando ocurra el pr\u00f3ximo robo de $300 millones<\/strong>, la industria ha hecho el trabajo para hacer que la operaci\u00f3n cueste m\u00e1s que la recompensa, o si abril de 2026 es un adelanto de lo que sucede cuando adversarios patrocinados por el estado encuentran un entorno objetivo que est\u00e1 permanentemente mal valorado. Por ahora, la respuesta no est\u00e1 clara. Lo que est\u00e1 claro es que la conversaci\u00f3n ha pasado de \u00abDeFi tiene un problema de seguridad\u00bb a algo m\u00e1s espec\u00edfico y mucho m\u00e1s dif\u00edcil. Un servicio de inteligencia de un estado-naci\u00f3n ha identificado una superficie de ataque asim\u00e9trica y la ha estado explotando, con creciente sofisticaci\u00f3n, durante medio decenio. Las defensas de la industria a\u00fan no se han puesto al d\u00eda con la realidad de que esto es lo que enfrenta. Esa brecha es la historia. El pr\u00f3ximo a\u00f1o de seguridad en criptomonedas se tratar\u00e1 de si la industria la cierra, o si la brecha cierra la industria en su lugar.<\/p>\n

\n

Este art\u00edculo es solo para fines informativos y no constituye asesoramiento de seguridad o inversi\u00f3n. Los incidentes de seguridad, la atribuci\u00f3n y los esfuerzos de recuperaci\u00f3n evolucionan r\u00e1pidamente; las cifras y detalles operativos descritos reflejan informes disponibles hasta mediados de mayo de 2026. Siempre haga su propia investigaci\u00f3n y consulte a profesionales de seguridad calificados.<\/p>\n<\/blockquote>\n<\/article>\n","protected":false},"excerpt":{"rendered":"

Introducci\u00f3n En abril de 2026, dos hackeos perpetrados por el Grupo Lazarus de Corea del Norte resultaron en el robo de $577 millones, lo que represent\u00f3 el 76% de todos los robos de criptomonedas de ese a\u00f1o. Ninguno de estos ataques fue una explotaci\u00f3n de contrato inteligente. Los atacantes pasaron seis meses haci\u00e9ndose pasar por una firma de trading, asistiendo a conferencias de criptomonedas en persona y estableciendo relaciones reales con ingenieros de Drift Protocol antes de obtener las firmas necesarias para drenar $285 millones en solo doce minutos. El segundo ataque dren\u00f3 $292 millones de un \u00fanico nodo de<\/p>\n","protected":false},"author":3,"featured_media":15731,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[62,169,9997,65,9971,10078,1516,71,72,115],"class_list":["post-15732","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-bybit","tag-chainlink","tag-drift-protocol","tag-hack","tag-jlp","tag-kelpdao","tag-layerzero","tag-lazarus","tag-north-korea","tag-solana"],"yoast_description":"En abril de 2026, el Grupo Lazarus de Corea del Norte ejecut\u00f3 dos ataques significativos a criptomonedas, robando $577 millones y poniendo de manifiesto serias vulnerabilidades de seguridad en el ecosistema DeFi.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/15732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=15732"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/15732\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/15731"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=15732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=15732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=15732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}