18/12/2025
Corea del Norte, el Estado que aprendió a robar criptomonedas sin dejar rastro
Fuente: 1766108635
La secuencia de ataques a grandes exchanges revela cómo Pyongyang convirtió los hackeos digitales en un sistema estable de financiamiento, apoyado en ingeniería social y redes internacionales de lavado que desbordan los controles tradicionales
>A finales de 2025, Bybit, uno de los mayores exchanges de criptomonedas del mundo, detectó una salida irregular de fondos desde sus billeteras calientes. En cuestión de horas, el agujero superaba los 1.500 millones de dólares en ether y tokens asociados. Para cuando la empresa suspendió parcialmente las operaciones y pidió ayuda a firmas forenses y agencias de seguridad, gran parte del dinero ya había desaparecido en una maraña de direcciones, puentes entre cadenas y plataformas intermedias.
Para miles de usuarios, el impacto fue inmediato. Ese esquema ha sido atribuido en reiteradas ocasiones a Lazarus Group, una red de hackers vinculada al régimen norcoreano. En la última década, el grupo ha sido señalado por ataques financieros y cibernéticos destinados a generar ingresos para el régimen de Pyongyang, especialmente tras el endurecimiento de las sanciones internacionales.
Un informe reciente de Entre 2023 y 2025, más de la mitad del dinero robado en hackeos cripto a escala global fue atribuido por firmas forenses privadas y agencias de seguridad a grupos vinculados a Pyongyang. Los ataques compartieron blancos y procedimientos: exchanges, procesadores de pagos y servicios de custodia.En la mayoría de los casos recientes, el primer contacto no ocurrió en una línea de código, sino en LinkedIn. Investigaciones forenses y documentos judiciales en Estados Unidos y Corea del Sur describen un patrón reiterado: perfiles falsos que se presentan como reclutadores, inversores o desarrolladores senior contactan a empleados del ecosistema cripto con ofertas laborales plausibles. Tras varios intercambios, envían una supuesta “prueba técnica” o un archivo de trabajo.
Ese esquema fue identificado en ataques como los sufridos por Atomic Wallet, CoinsPaid o Alphapo en 2023 y reaparece en investigaciones vinculadas al caso Bybit. El objetivo no es romper la criptografía, sino llegar a los sistemas que controlan la custodia: las billeteras operativas, los firmantes de esquemas multifirma o el software que autoriza retiros. Una vez allí, las transferencias pueden pasar por legítimas incluso para los controles internos.
“Son operaciones altamente especializadas, con objetivos estratégicos claros, combinadas con redes profesionales de lavado que garantizan que los fondos se limpien mucho antes de tocar el sistema financiero tradicional”, agregó.
Durante años, el principal problema de estos ataques fue la salida del dinero. Los llamados mezcladores, utilizados para desordenar el rastro de las criptomonedas, ayudaban a ocultar el origen de los fondos, pero no permitían convertir grandes volúmenes en valor utilizable sin activar controles. Las sanciones de Estados Unidos en 2022 y 2023 forzaron un cambio de método.El lavado no se detuvo: se desplazó. Los fondos robados comenzaron a fragmentarse de inmediato, saltando entre cadenas —Ethereum, Avalanche, Bitcoin— hasta concentrarse en activos de alta liquidez, especialmente USDT sobre la red Tron. Desde allí, el proceso abandona en gran medida la blockchain y entra en un circuito paralelo de intermediarios extrabursátiles, exchanges anidados y brokers de banca en la sombra.En el caso de Bybit, firmas forenses privadas, entre ellas TRM Labs, rastrearon cientos de millones de dólares moviéndose en cuestión de días a través de billeteras intermedias, exchanges descentralizados y puentes entre cadenas, antes de desaparecer en ese entramado de lavado.
Para reguladores y plataformas, el modelo plantea un dilema persistente. Las herramientas tradicionales —listas negras de direcciones, sanciones a mezcladores, monitoreo en una sola cadena— llegan tarde o resultan insuficientes cuando la limpieza del dinero ocurre fuera de la blockchain. “No es simplemente un desafío de ciberseguridad”, advirtió Wong. “La actividad de robo cripto de Corea del Norte es un problema de sanciones, de seguridad nacional y de crimen financiero, y enfrentarlo requiere inteligencia en tiempo real y coordinación transfronteriza sostenida”.El principal logro de Corea del Norte no es solo el volumen de dinero robado. Es haber probado que puede ejecutar estos ataques de forma reiterada y a gran escala, con una eficacia que hoy desborda la capacidad de los Estados para cortar el circuito completo. Una pregunta queda abierta: cómo detener a un régimen que aprendió a financiarse a través del sistema que intenta bloquearlo.
Fuente: 1766108635
El principal logro de Corea del Norte no es solo el volumen de dinero robado. Es haber probado que puede ejecutar estos ataques de forma reiterada y a gran escala, con una eficacia que hoy desborda la capacidad de los Estados para cortar el circuito completo. Una pregunta queda abierta: cómo detener a un régimen que aprendió a financiarse a través del sistema que intenta bloquearlo.
Fuente: 1766108635
