Los hackers norcoreanos roban un récord de 2,0 mil millones de dólares en criptomonedas en 2025, se revela el patrón de lavado de dinero en 45 días

La última informe de la empresa de análisis de blockchain Chainalysis revela que los hackers relacionados con Corea del Norte robaron al menos 2.000 millones de dólares en criptomonedas en 2025, estableciendo un récord histórico y un aumento del 51% en comparación con el año anterior, con un total acumulado de robos que ya alcanza los 6.750 millones de dólares. Los patrones de ataque muestran una tendencia de “pocos pero selectos”: aunque la cantidad de incidentes ha disminuido, la escala de cada ataque es enorme, siendo responsables del 76% de los incidentes a nivel de capa de servicio, siendo el incidente de vulnerabilidad de 1.4 mil millones de dólares en Bybit en marzo el principal impulsor.

El informe por primera vez describe sistemáticamente la ruta única de lavado de dinero de los hackers norcoreanos: dependen de proveedores de servicios en chino y mezcladores, y siguen un ciclo típico de limpieza de fondos de 45 días. Esto indica que la industria de las criptomonedas enfrenta una “amenaza superpoderosa” respaldada por estados, altamente organizada y con fondos abundantes, que presenta desafíos sin precedentes para la seguridad, protección y cumplimiento en intercambios y protocolos globales.

El tamaño del robo alcanza un nuevo máximo: de “red amplia” a “caza precisa”

En 2025, el campo del robo en criptomonedas experimentó un giro inquietante: el total global de robos alcanzó los 3.400 millones de dólares, y cerca de dos tercios de ese “mérito” se atribuyen a un solo actor — un grupo de hackers vinculado al gobierno de Corea del Norte. Según el informe autorizado de Chainalysis, estos hackers robaron al menos 2.02 mil millones de dólares en 2025, un aumento del 51% respecto a 2024 y casi 6.7 veces el nivel de 2020. Más importante aún, este récord se logró en un contexto de una reducción significativa en el número de incidentes conocidos, lo que destaca que su táctica ha evolucionado de ataques frecuentes a golpes de precisión “quirúrgicos” dirigidos a objetivos de alto valor.

Este patrón de “pocos pero grandes” se refleja claramente en los datos. El informe señala que los hackers norcoreanos fueron responsables del 76% de los incidentes de intrusión en capa de servicio en 2025, la proporción más alta en la historia. La “capa de servicio” se refiere principalmente a intercambios centralizados (CEX), instituciones custodias y plataformas que poseen grandes activos de usuarios. El incidente más representativo fue el ataque de 1.4 mil millones de dólares en Bybit en marzo de 2025, que representó la mayor parte del total anual robado por hackers norcoreanos. Andrew Fierman, director de inteligencia de seguridad nacional de Chainalysis, comenta: “Esta evolución es una continuación de una tendencia a largo plazo. Los hackers norcoreanos han mostrado una alta complejidad durante mucho tiempo, y sus acciones en 2025 destacan que están en constante evolución en sus tácticas y objetivos preferidos.” Esto indica que los atacantes buscan maximizar la relación riesgo-recompensa, concentrando recursos en un solo objetivo que pueda ofrecer retornos disruptivos.

Este cambio representa una amenaza estructural para el ecosistema de criptomonedas. Cuando los atacantes apuntan a plataformas de servicios centrales y de importancia sistémica, el éxito no solo causa pérdidas financieras sustanciales, sino que también socava la confianza del mercado, provocando crisis de confianza en cadena y una mayor regulación. A diferencia de los pequeños robos en billeteras individuales, estos ataques amenazan los cimientos de la infraestructura del sector.

Ingeniería del lavado de dinero: revelando la línea de producción de 45 días para “limpiar” fondos

Robar es solo el primer paso; la clave del ciclo completo de las operaciones de los hackers es cómo blanquear y monetizar los fondos “sucios”. Otro aporte central del informe de Chainalysis es delinear claramente el modelo altamente profesional y “ingenierizado” de lavado de dinero de los hackers norcoreanos, que difiere significativamente del lavado de dinero de grupos de crimen cibernético comunes.

Primero, en las estrategias de transferencia de fondos, los hackers norcoreanos muestran una fuerte conciencia antiinvestigación. Tienden a dividir grandes sumas en lotes menores a 50,000 dólares en la cadena, con más del 60% de las transferencias controladas por debajo de ese umbral. En contraste, los hackers sin vínculos estatales prefieren realizar transferencias de millones o incluso decenas de millones de dólares. Esta técnica de “fragmentación” aumenta considerablemente la complejidad y el costo del rastreo en la cadena, señal de una operación cada vez más sofisticada en seguridad operacional (OPSEC).

En cuanto a la elección de servicios, su preferencia revela dependencia geográfica y restricciones específicas. Los hackers norcoreanos utilizan en gran medida servicios en chino, corredores y redes OTC (over-the-counter), y dependen en gran medida de puentes entre cadenas y mezcladores (como Tornado Cash) para confundir el flujo de fondos. Curiosamente, casi no utilizan protocolos DeFi de préstamos y exchanges descentralizados (DEX) que son comunes en otros ámbitos del crimen. Chainalysis indica que estos patrones muestran que los actores norcoreanos están restringidos por diferentes limitaciones y profundamente vinculados a redes de servicios ilegales en Asia-Pacífico, posiblemente debido a su aislamiento del sistema financiero global.

Estándar de 45 días para el lavado de dinero de hackers norcoreanos

Fase 1: Confusión rápida (Día 0-5)

• Objetivo principal: cortar inmediatamente la relación entre los fondos robados y la dirección origen.
• Herramientas principales: mezcladores, protocolos DeFi (para convertir rápidamente tipos de activos).
• Propósito: crear obstáculos iniciales para el rastreo y ganar tiempo para operaciones posteriores.

Fase 2: Integración y dispersión (Día 6-20)

• Objetivo principal: introducir los fondos en ecosistemas más amplios para facilitar su monetización.
• Herramientas principales: intercambios centralizados con requisitos KYC laxos, puentes entre cadenas, servicios de mezcla secundarios.
• Propósito: transferir entre diferentes cadenas, activos y plataformas, difuminar aún más las rutas y comenzar a acceder a canales de salida potenciales.

Fase 3: Monetización final (Día 21-45)

• Objetivo principal: convertir los activos en moneda fiduciaria o en otras formas difíciles de rastrear.
• Herramientas principales: exchanges sin KYC, plataformas de cambio instantáneo, servicios OTC en chino, y volver a mezclar en CEXs principales para combinar con flujos de transacciones legales.
• Propósito: completar la última etapa del lavado, logrando que el valor económico del robo se materialice.

Revolución táctica: AI y “infiltración interna” como nuevas armas

Para lograr robos de gran escala y un lavado de dinero eficiente, las técnicas tradicionales ya no son suficientes. El informe de Chainalysis y las pistas del sector indican que los hackers norcoreanos están llevando a cabo una “revolución táctica” en dos frentes, ganando ventajas asimétricas.

Primero, la aplicación profunda de inteligencia artificial (IA). Fierman señala claramente que Corea del Norte está usando IA como su “superpoder” en las operaciones de hacking, especialmente en el lavado de dinero. Él afirma: “Corea del Norte utiliza IA para facilitar la limpieza de fondos robados, lo que sugiere su uso en el proceso. La estructura y escala de las operaciones de lavado crean un flujo de trabajo que combina mezcladores, protocolos DeFi y puentes entre cadenas… Para robar cantidades tan altas de criptomonedas de manera tan eficiente, Corea del Norte necesita una red de lavado de dinero enorme y mecanismos optimizados, y eso puede ser la forma en que se aplica la IA.” La IA puede usarse para generar y cambiar automáticamente direcciones de billeteras, optimizar rutas de transacción para evadir monitoreo, e incluso simular comportamientos normales de usuarios para mezclarse en exchanges, aumentando mucho la dificultad de la contrainteligencia.

En segundo lugar, una inédita “infiltración interna” mediante ataques de “personnel”. El informe indica que los hackers norcoreanos están colocando operativos en puestos técnicos de empresas de criptomonedas (como exchanges, custodios y empresas Web3) para obtener accesos privilegiados. En julio, el investigador de blockchain ZachXBT reveló que personas relacionadas con Corea del Norte podrían haber infiltrado entre 345 y 920 puestos en la industria global de criptomonedas. Este tipo de “caballo de Troya” puede socavar desde adentro las defensas más sólidas y abrir puertas traseras para transferencias masivas de fondos. Además, los hackers se disfrazan de empleadores o contactos del sector, y realizan ataques de spear-phishing mediante videollamadas falsificadas, logrando robar más de 300 millones de dólares solo este año. La combinación de estos métodos obliga a las defensas a enfrentar no solo vulnerabilidades en el código, sino también las debilidades humanas y de confianza.

Perspectivas para 2026: el desafío final de la colaboración sectorial

Frente a un adversario con recursos estatales, en constante evolución y sin límites, la industria de las criptomonedas enfrentará en 2026 una prueba de seguridad definitiva. El informe de Chainalysis advierte claramente: dado que Corea del Norte depende cada vez más del robo en criptomonedas para financiar prioridades nacionales y evadir sanciones internacionales, el sector debe entender que la lógica y las restricciones de este actor difieren fundamentalmente de las del crimen cibernético común.

Los vectores de ataque futuros podrían ser aún más diversos. Aunque los grandes intercambios centralizados como Bybit y Upbit siguen siendo objetivos de alto valor, los protocolos DeFi de larga duración (como Balancer y Yearn, mencionados en el informe) también podrían estar en la mira de los atacantes. Fierman enfatiza: “Aunque no podemos predecir exactamente qué ocurrirá en 2026, sí sabemos que Corea del Norte buscará maximizar sus retornos. Esto significa que los servicios con reservas altas deben mantener altos estándares de seguridad para no convertirse en el próximo objetivo.”

Para afrontar este desafío, la lucha aislada de una sola organización ya no basta. El informe llama a establecer un mecanismo de respuesta rápida y colaboración en toda la industria. Fierman comenta: “Corea del Norte ejecuta estrategias de lavado rápidas y efectivas. Por eso, se necesita una respuesta ágil y coordinada en todo el sector. Las autoridades y las empresas, desde los exchanges hasta las empresas de análisis blockchain, deben colaborar eficazmente, interceptando fondos en circulación en stablecoins o en exchanges que puedan ser congelados de inmediato.” Esto incluye compartir información de amenazas en tiempo real, bloquear direcciones sospechosas en múltiples plataformas y fortalecer la cooperación judicial internacional.

Para los inversores comunes, este informe es una advertencia de riesgo: el riesgo de mantener activos en plataformas centralizadas, incluso en las principales, está aumentando sistemáticamente. Usar wallets hardware, diversificar activos y mantener una alta vigilancia ante comunicaciones no verificadas serán hábitos de seguridad imprescindibles. En 2026, la guerra de defensas y ataques entre criptomonedas y grupos de hackers estatales será aún más intensa.