Los hackers patrocinados por el régimen de Pyongyang concentraron sus esfuerzos en menos objetivos pero de mayor valor, siendo el ataque a Bybit el más resonante. Su estrategia de lavado de fondos sigue un patrón identificable.
La ciberdelincuencia patrocinada por estados alcanzó un nuevo y preocupante máximo en 2025. De acuerdo con un informe publicado por la firma de análisis blockchain Chainalysis, hackers vinculados a Corea del Norte (oficialmente República Popular Democrática de Corea o RPDC) sustrajeron la cifra récord de 2.02 mil millones de dólares en criptomonedas a lo largo del año. Esta cantidad representa un aumento del 51% con respecto a 2024 y constituye, de manera alarmante, el 59% del total de fondos robados en la industria cripto en 2025, estimado en 3.4 mil millones de dólares. El hallazgo evidencia una sofisticación y un impacto crecientes de las operaciones norcoreanas, que ahora priorizan la calidad del golpe sobre la cantidad.
Evolución de la estrategia: menos ataques, pero más devastadores
El dato más revelador del informe no es solo el monto, sino el cambio táctico. A pesar de que el valor total robado se disparó, el número de ataques conocidos en realidad disminuyó en un 74%. Esto marca una clara evolución: los grupos norcoreanos han dejado de lado los robos pequeños y frecuentes para enfocarse en planear y ejecutar operaciones de alto impacto contra objetivos de gran valor. El ejemplo paradigmático fue el ataque de febrero de 2025 a la exchange Bybit, donde los hackers lograron drenar aproximadamente 1.500 millones de dólares en una sola incursión. Este incidente, atribuido por el FBI a la RPDC, fue responsable por sí solo de casi las tres cuartas partes de las pérdidas totales del año.
Este enfoque requiere mayor paciencia y sofisticación. Chainalysis detalla que los atacantes ahora buscan infiltrar trabajadores de TI dentro de las empresas objetivo o utilizar ingeniería social de alto nivel para obtener acceso privilegiado, en lugar de depender únicamente de vulnerabilidades técnicas puras.
El patrón de lavado: tres olas en 45 días
Una vez obtenidos los fondos, los hackers norcoreanos siguen una metodología de lavado estructurada y repetible que les ha permitido evadir controles. Chainalysis identificó un patrón distintivo de tres «olas» que se desarrolla a lo largo de aproximadamente 45 días. Este proceso suele iniciar con el uso de servicios de garantía y corretaje en idioma chino, seguido de una dependencia significativa de «bridges» o puentes entre distintas blockchains para confundir el rastro. Finalmente, se recurre de manera intensiva a servicios de mezclado («mixers») para ofuscar el origen final de las criptomonedas.
Curiosamente, los actores norcoreanos tienden a evitar las plataformas de finanzas descentralizadas (DeFi) como los protocolos de préstamo, que son populares entre otros cibercriminales. En su lugar, prefieren mover los fondos en montos por debajo de los 500,000 dólares para reducir el riesgo de detección, lo que demuestra un alto grado de disciplina de seguridad operativa.
Financiación del régimen y nuevas amenazas
El motivo detrás de esta campaña a escala industrial no es el enriquecimiento personal, sino estatal. Los ingresos de estos robos son un componente fundamental para que el régimen de Pyongyang financie sus programas de armas de destrucción masiva y misiles balísticos, al tiempo que busca eludir las estrictas sanciones económicas internacionales que pesan sobre el país. La criptodelincuencia se ha convertido, en esencia, en una herramienta de política exterior y financiamiento militar.
El informe también señala la incorporación de tecnologías emergentes en el arsenal de los hackers. En 2025, estos grupos comenzaron a integrar modelos de lenguaje de inteligencia artificial (IA) en casi todas las etapas de sus ataques, desde el reconocimiento y el «phishing» (suplantación) personalizado hasta el análisis de código y la planificación del lavado de fondos.
Conclusión: un llamado a la vigilancia reforzada
El récord establecido en 2025 es una llamada de atención urgente para toda la industria de las criptomonedas. La combinación de una estrategia más enfocada, métodos de lavado evolucionados y el uso de IA crea un panorama de amenazas complejo. Chainalysis advierte que el desafío para 2026 será «detectar y prevenir estas operaciones de alto impacto» antes de que ocurra otro incidente de la magnitud del ataque a Bybit. Esto requiere no solo mejores defensas técnicas, sino también una mayor concienciación sobre la ingeniería social y la vigilancia colaborativa entre exchanges, plataformas y agencias de aplicación de la ley para identificar y bloquear los patrones de actividad característicos de la RPDC.
Para saber más
Si deseas obtener más información sobre el contexto y los actores mencionados en este artículo, puedes consultar las siguientes fuentes oficiales y de referencia:
- Sitio web oficial de Chainalysis – Para acceder a informes completos y análisis sobre criptoeconomía y seguridad.
- Wikipedia: Corea del Norte – Contexto histórico y político sobre la República Popular Democrática de Corea.
- División Cibernética del FBI – Información sobre ciberamenazas y consejos de seguridad (en inglés).
- Agencia de Ciberseguridad (CISA) de EE.UU. – Mejores prácticas y recursos para la seguridad cibernética (en inglés).
