Aumento del 51% en hackers norcoreanos ¡Robo anual de 2 mil millones de dólares, se revela una red de lavado de dinero en chino!

El último informe de Chainalysis muestra que la cantidad de robo de criptomonedas en todo el mundo en 2025 será de aproximadamente 3.400 millones de dólares, de los cuales al menos 20.2000 millones provendrán de ataques relacionados con Corea del Norte, un aumento del 51% respecto a 2024 (un incremento de unos 6.810 millones de dólares), un máximo histórico. Los hackers norcoreanos representan el 76% de todos los incidentes de hackeo y han robado al menos 67.500 millones de dólares en activos criptográficos hasta ahora.

Los hackers norcoreanos dominan el 76% del robo global de criptomonedas

(Fuente: Chainalysis)

2025 ha sido el peor año desde que Corea del Norte lanzó su campaña de robo de criptomonedas, con ataques relacionados que representan el 76% de todos los incidentes de hackeo, un récord histórico. Esta proporción es extremadamente asombrosa, lo que significa que 3 de cada 4 robos de criptomonedas en todo el mundo están relacionados con Corea del Norte. Este dominio no es accidental, sino el resultado de la inversión a largo plazo y la acumulación tecnológica por parte de la fuerza cibernética estatal norcoreana.

Los 20.2000 millones de dólares en ganancias ilícitas tienen una importancia estratégica para Corea del Norte. Según estimaciones internacionales, el PIB anual de Corea del Norte ronda entre 200.000 y 300 mil millones de dólares, lo que significa que los hackers roban dinero equivalente al 6-10% de su PIB. El robo de criptomonedas se ha convertido en una de las principales fuentes de divisas de Corea del Norte tras las sanciones de la ONU que cortaron la mayoría de sus canales comerciales habituales, que se utilizan para apoyar sus programas de armas nucleares y misiles balísticos.

La tasa anual de crecimiento del 51% indica que las capacidades de los hackers norcoreanos están aumentando rápidamente. Esta mejora no solo se refleja en el nivel técnico, sino también en la sofisticación de las estrategias de ataque. Desde los primeros días de brutales ataques de phishing hasta la ingeniería social multietapa actual, la infiltración en la cadena de suministro y la implantación de insiders, los hackers norcoreanos han desarrollado una metodología de ataque madura.

Datos de ataques de hackers norcoreanos en 2025

Cantidad total robada: 20.2000 millones de dólares, que representan el 76% del robo global de criptomonedas, un aumento del 51% respecto a 2024

Robo acumulado de antecedentes: 67.500 millones de dólares, con una media de unos 8.400 millones de dólares al año desde 2017 hasta la actualidad

Caso único de mayor tamaño: Grandes intercambios de CEX por 15.000 millones de dólares, representando el 74% del robo total de Corea del Norte en 2025

Se cree ampliamente que el Grupo Lazarus tiene estrechos vínculos con la Oficina General de Reconocimiento (RGB) de Pyongyang, generando más de 200 millones de dólares en ingresos ilícitos a través de al menos 25 robos de criptomonedas solo entre 2020 y 2023. El grupo lleva más de una década lanzando ciberataques contra instituciones financieras y plataformas de criptomonedas y se sospecha que estuvo implicado en el robo de unos 36 millones de dólares en activos de Upbit, el mayor intercambio de criptomonedas de Corea del Sur, el mes pasado.

La estrategia de eventos y penetración de dos líneas de los exchanges centralizados de 1.500 millones de dólares

Según el informe, el hackeo a la bolsa CEX en febrero de este año fue el mayor ataque individual en Corea del Norte, causando unas pérdidas de unos 1.500 millones de dólares. El incidente se ha atribuido a un grupo amenazante conocido como TraderTraidor, también conocido como Jade Sneet o Piscis Lento. La empresa de seguridad Hudson Rock señaló entonces que un ordenador infectado con el malware Lumma Stealer estaba vinculado a la infraestructura utilizada en el ataque.

Los métodos de ataque del hackeo CEX son extremadamente sofisticados. Los hackers no atacaron directamente el sistema de billeteras frías del intercambio, sino que infiltraron a los empleados del exchange mediante ingeniería social para acceder a los sistemas internos. Una vez dentro de la red interna, los hackers se desplazan lateralmente a sistemas críticos y finalmente acceden a la gestión de claves privadas. Esta cadena de ataques implica múltiples fases, cada una requiriendo habilidad y paciencia altamente especializadas.

Además de hackear directamente los intercambios, los hackers norcoreanos también llevan mucho tiempo llevando a cabo ataques de ingeniería social llamados “Operación Trabajo Soñado”. Utilizan plataformas como LinkedIn y WhatsApp para hacerse pasar por reclutadores y emplean ofertas de empleo bien remuneradas como cebo para llegar a profesionales de defensa, tecnología, aviación y manufactura y atraer objetivos a descargar y ejecutar malware para robar datos sensibles o establecer canales de infiltración a largo plazo.

Otra estrategia es la llamada operación “Wagemole”. El personal norcoreano solicita puestos en tecnología de la información en empresas extranjeras bajo identidades falsas, o se infiltra en empresas a través de empresas pantalla para acceder a sistemas y servicios de cifrado, lanzando así ataques de alto impacto. Chainalysis señaló que este método puede acelerar el movimiento lateral y la velocidad de acceso inicial de los hackers antes de un robo a gran escala, lo que puede ser una de las razones importantes de la cifra récord de pérdidas este año.

El Departamento de Justicia de EE. UU. ha anunciado que un hombre de 40 años en Maryland ha sido condenado por ayudar al personal norcoreano a hacerse pasar por sus identidades para realizar trabajos de informática. La investigación reveló que el acusado permitió que ciudadanos norcoreanos residentes en Shenyang, China, usaran su identidad para trabajar para diversas empresas y agencias gubernamentales estadounidenses, ganando casi un millón de dólares en compensación entre 2021 y 2024. Este caso revela el modo real de operación de Wagemole.

Transferencia de fondos en tres fases de la red china de blanqueo de capitales

En cuanto a la gestión de fondos, los criptoactivos robados suelen transferirse mediante un proceso estructurado de blanqueo de capitales en varias fases. El informe señaló que los hackers norcoreanos utilizan el Servicio Profesional de Blanqueo de Dinero en Chino (Servicio Profesional Chino de Blanqueo de Capitales) y OTC (comercio extrabursátil), lo que indica una estrecha relación con redes financieras clandestinas en la región de habla china.

La primera etapa utilizó protocolos financieros descentralizados y servicios de mezcla de divisas para desviar rápidamente fondos en pocos días tras el ataque. El objetivo de esta etapa es romper rápidamente la asociación directa de fondos robados con la dirección original. Los hackers dividen grandes cantidades de dinero en miles de pequeñas transferencias, realizando transferencias multi-hop a través de mezcladores como Tornado Cash y múltiples protocolos DeFi, aumentando exponencialmente la dificultad del seguimiento.

La segunda fase se integrará inicialmente a través de centrales, puentes cross-chain y servicios de mezcla secundaria. Los fondos se transfieren de Ethereum a otras cadenas como BSC, Tron y más, aprovechando la complejidad del puente cross-chain para ocultar aún más las rutas de seguimiento. Algunos de los fondos fluyen hacia intercambios más pequeños que soportan KYC más débil, convertidos en otras criptomonedas o stablecoins.

Finalmente, en un plazo de aproximadamente 20 a 45 días, los fondos se intercambian por moneda fiduciaria u otros activos. Esta etapa es la más crítica y peligrosa, porque para que las criptomonedas se conviertan en moneda fiduciaria utilizable, deben estar en contacto con el sistema financiero tradicional. Los hackers norcoreanos dependen principalmente de comerciantes OTC y bancos clandestinos en la región de habla china, que ofrecen grandes cantidades de servicios de intercambio de criptomonedas y, en última instancia, transfieren fondos a cuentas controladas por Corea del Norte a través de una compleja red bancaria.

El alto grado de vinculación del “sistema chino” ha generado preocupación entre las autoridades judiciales estadounidenses. Esto sugiere que ciertas redes financieras clandestinas en China continental, Hong Kong, Taiwán o la comunidad china en el sudeste asiático están proporcionando servicios críticos de blanqueo de capitales a Corea del Norte. La complejidad de esta red criminal transnacional hace que sea extremadamente difícil para las fuerzas del orden rastrearlas y reprimirlas.

Los expertos en seguridad de la información advierten que las amenazas relacionadas con Corea del Norte están ajustando constantemente sus tácticas, pasando de la intrusión directa en los sistemas a métodos más encubiertos e indetectables de infiltración y abuso de plataformas. Con la popularidad de las criptomonedas y el trabajo remoto, es probable que los riesgos asociados sigan aumentando, convirtiéndose en un gran desafío para la protección regulatoria y de la seguridad de la información corporativa en varios países.