Hackers norcoreanos: el eslabón más débil de la ciberseguridad eres tú — y ya han amasado 2.000 millones de dólares

Una red de hackers vinculada a Corea del Norte ha robado activos criptográficos por más de 2.000 millones de dólares en los primeros nueve meses de 2025. Los analistas de Elliptic afirman que se trata del mayor monto anual registrado en la historia de sus observaciones —y aún quedan tres meses para que termine el año. La suma conocida acumulada de activos robados, según estimaciones, superó los 6.000 millones de dólares, y son precisamente estos fondos, según los datos de la ONU y de varias agencias gubernamentales, los que financian los programas norcoreanos de desarrollo de armas nucleares y cohetes.

Elliptic señala que la cifra real podría ser mayor, ya que es difícil atribuir robos concretos a Pionyang: para ello se emplean análisis de blockchain, análisis de esquemas de blanqueo y datos de inteligencia. Algunos incidentes solo coinciden parcialmente con las características típicas de las agrupaciones norcoreanas, y parte de los casos ni siquiera sale a la luz pública.

La principal fuente de las pérdidas récord fue el hackeo de febrero contra la plataforma Bybit, en el que los atacantes sacaron criptomonedas por 1.460 millones de dólares. Entre otros episodios confirmados este año están los ataques a LND.fi, WOO X y Seedify. Además, Elliptic atribuye a Corea del Norte más de 30 incidentes adicionales que no han aparecido en informes públicos. Esta cifra casi triplica la del año pasado y supera con creces el récord previo de 2022, cuando se contabilizó el robo de activos de servicios como Ronin Network y Horizon Bridge.

Al mismo tiempo, el vector de los ataques ha cambiado de forma notable. Si antes los ciberdelincuentes explotaban vulnerabilidades en la infraestructura de servicios cripto, ahora usan cada vez más métodos de ingeniería social. Las principales pérdidas en 2025 están relacionadas con el engaño a personas, no con fallos técnicos. Están en riesgo usuarios con patrimonios elevados que carecen de mecanismos corporativos de protección. Les atacan mediante contactos falsos, mensajes de phishing y esquemas de interacción convincentes, a veces por vínculos con organizaciones que poseen grandes volúmenes de activos digitales. Así, el eslabón más débil de la criptoindustria se está convirtiendo gradualmente en el factor humano.

Paralelamente se desarrolla una carrera entre analistas y blanqueadores. A medida que las herramientas para rastrear operaciones en la blockchain se vuelven más precisas, los delincuentes complican los esquemas de transferencia de activos robados. El informe reciente de Elliptic describe nuevos enfoques para ocultar rastros: mezcla de transacciones en varias etapas, saltos entre blockchains como Bitcoin, Ethereum, BTTC y Tron, uso de redes poco populares con bajo nivel de cobertura analítica, y también la explotación de "direcciones de retorno" que redirigen fondos a monederos nuevos. A veces los atacantes crean e intercambian sus propios tokens emitidos dentro de las redes donde se realiza el blanqueo. Todo esto convierte las investigaciones en un juego del gato y el ratón entre los investigadores y grupos altamente cualificados que actúan bajo el control del Estado.

No obstante, la transparencia de la blockchain sigue siendo una ventaja clave para las investigaciones. Cualquier moneda robada deja una huella digital que se puede analizar y vincular con otras operaciones. Según los investigadores, esto hace al ecosistema cripto más resistente y reduce las posibilidades de Corea del Norte para financiar sus programas militares.

Los 2.000 millones de dólares robados en solo nueve meses son una señal alarmante sobre la magnitud de la amenaza. Las unidades cibernéticas norcoreanas se vuelven cada vez más ingeniosas, pero las herramientas forenses de blockchain permiten mantener el equilibrio, proporcionando transparencia y aumentando la responsabilidad de los participantes del mercado. En esta lucha constante por el control de los flujos digitales no solo está en juego el destino del mercado cripto, sino también cuestiones de seguridad internacional.