## 2025年 es un "Año de abundancia" para los ciberdelincuentes de Corea del Norte: las cifras de robo alcanzan récords y el lavado de dinero muestra un ciclo de aproximadamente 45 días

A medida que la industria de las criptomonedas crece rápidamente, las amenazas de seguridad también se vuelven más complejas. En particular, los robos de activos criptográficos por parte de grupos de hackers norcoreanos alcanzaron niveles históricos en 2025. Según el análisis más reciente de Chainalysis, estos incidentes no solo impactaron significativamente a toda la industria, sino que también evidencian que las técnicas de los atacantes se vuelven más sofisticadas.

### Robo récord: daños que superan los 2,02 mil millones de dólares

En 2025, las criptomonedas robadas por hackers norcoreanos alcanzaron al menos 2,02 mil millones de dólares, lo que representa un aumento del 51% en comparación con 2024. Al mismo tiempo, el monto total de los robos acumulados superó los 6,75 mil millones de dólares.

Curiosamente, aunque el número de ataques disminuye, el monto robado por incidente aumenta considerablemente. Esta tendencia sugiere que los hackers han cambiado a una estrategia de "menos pero más selectivos". Reducen la cantidad de ataques, pero se concentran en objetivos mayores, logrando así robar mayores cantidades de activos.

Según los datos, entre enero y principios de diciembre de 2025, el total de fondos robados en toda la industria de las criptomonedas superó los 3,4 mil millones de dólares, de los cuales varios grandes hackeos representaron el 69% del total de pérdidas. La diferencia entre el mayor incidente de robo y el promedio de los incidentes se ha ampliado sin precedentes, alcanzando hasta 1000 veces.

### Evolución en las técnicas de ataque: desde infiltraciones internas hasta fraudes en la contratación

La razón por la que los hackers norcoreanos siguen siendo la mayor amenaza para la industria de las criptomonedas no es solo por su capacidad técnica. Sus métodos de ataque también evolucionan con el tiempo, desplazándose hacia enfoques más socialmente ingeniosos.

Tradicionalmente, los hackers simplemente solicitaban un empleo, se infiltraban como empleados y obtenían accesos privilegiados. Ahora, adoptan estrategias más avanzadas, haciéndose pasar por reclutadores de empresas conocidas de Web3 o IA, y realizan procesos de selección falsos para los candidatos. A través de entrevistas, logran obtener credenciales de inicio de sesión, código fuente e incluso acceso VPN del empleador.

En ataques dirigidos a ejecutivos, se ha reportado que los hackers se hacen pasar por inversores o compradores falsos, extrayendo información confidencial durante reuniones estratégicas o procesos de due diligence. Estas estrategias de ataque en múltiples capas demuestran que Corea del Norte no solo representa una amenaza técnica, sino que también es un estado organizado de ciberdelincuencia.

### Patrón único en el lavado de dinero: ciclo de aproximadamente 45 días

La rapidez y eficiencia con la que los hackers convierten en efectivo los fondos robados es igualmente importante para ellos. La actividad de lavado de dinero de Corea del Norte muestra patrones claramente diferentes a los de otros grupos criminales.

Particularmente, destaca la fuerte dependencia de servicios de lavado en chino y de operadores OTC. Esto sugiere que los hackers norcoreanos colaboran estrechamente con redes ilegales en la región de Asia-Pacífico. Además, utilizan con frecuencia puentes entre cadenas y protocolos de mixing, adoptando enfoques en múltiples etapas para dificultar el rastreo.

Según el análisis, después de un gran incidente de robo, los fondos robados pasan por un ciclo estructurado de lavado de aproximadamente 45 días:

**Primera etapa (0-5 días): dispersión inmediata**
Durante los primeros días, los atacantes transfieren los fondos robados a protocolos DeFi y servicios de mixing. La actividad en esta fase se dispara a más de tres veces la normal.

**Segunda etapa (6-10 días): integración inicial**
Se intensifican las transferencias a plataformas con requisitos KYC laxos y a exchanges centralizados (CEX). Al mismo tiempo, se utilizan puentes entre cadenas para dispersar los fondos en varias blockchains.

**Tercera etapa (20-45 días): etapa final**
Los fondos se concentran en servicios que permiten su monetización final. Se emplean plataformas en chino y servicios de colateralización. Para este momento, los fondos ya están mezclados como activos legales.

Este patrón se repite durante años, lo que indica que Corea del Norte enfrenta limitaciones operativas. La dependencia de infraestructura financiera limitada y de intermediarios específicos puede estar generando esta línea de tiempo predecible.

### Amenazas a usuarios individuales en aumento

Mientras las medidas de seguridad se fortalecen, los ataques a billeteras personales en realidad aumentan. En 2025, los incidentes de robo se dispararon a 158,000, casi triplicando los 54,000 de 2022. El número de víctimas también se duplicó, pasando de 40,000 a 80,000.

Lo interesante es que, aunque el número total de robos aumenta, el daño promedio por incidente disminuye. En comparación con los 1.5 mil millones de dólares en 2024, en 2025 el total de pérdidas se redujo a 713 millones de dólares. Esto sugiere que la estrategia de los atacantes ha cambiado: aunque apuntan a usuarios individuales de manera amplia, el monto extraído por incidente es menor.

El análisis por blockchain revela que las tasas de robo en Ethereum y Tron son particularmente altas. Ethereum concentra la mayor cantidad de víctimas debido a su gran base de usuarios, mientras que Tron, con menos usuarios en comparación, muestra una tendencia a tener tasas de robo elevadas.

### Mejora en la seguridad DeFi: casos de éxito excepcionales

Un fenómeno interesante es que se observan signos de mejora en la seguridad de DeFi. Aunque el valor total bloqueado (TVL) se ha recuperado significativamente, las pérdidas por hackeo siguen siendo bajas. Esto indica que los protocolos DeFi han implementado medidas de seguridad efectivas.

Un ejemplo es el incidente en Venus en septiembre de 2025. Los atacantes lograron acceder al sistema a través de un cliente de Zoom comprometido, intentando otorgar permisos de delegación por 13 millones de dólares. Sin embargo, la plataforma de monitoreo de seguridad que Venus implementó justo antes detectó actividades sospechosas, y el ataque fue detectado 18 horas antes.

La respuesta fue rápida: en menos de 20 minutos, el protocolo se puso en pausa, en menos de 5 horas se realizó una recuperación parcial, en menos de 7 horas se liquidaron las posiciones del atacante y en 12 horas se recuperaron todos los fondos robados. Además, Venus aprobó una propuesta de gobernanza para congelar los 3 millones de dólares en activos aún bajo control del atacante.

Este incidente demuestra que la infraestructura de seguridad en DeFi ha evolucionado sustancialmente. La vigilancia activa, los mecanismos de respuesta rápida y una gobernanza efectiva están permitiendo construir sistemas robustos diferentes a los de la era inicial de DeFi.

### Desafíos para 2026: superar la Ley de Willie Sutton

La disminución de ataques por parte de Corea del Norte en 2025 no significa que las amenazas se hayan reducido. Por el contrario, indican que los ataques se vuelven más difíciles de detectar y más sofisticados. La reducción del 74% en incidentes conocidos, mientras que las pérdidas alcanzan récords, sugiere que hay muchas actividades no detectadas aún.

Las actividades de hackers norcoreanos no solo persiguen beneficios económicos, sino que también tienen objetivos estratégicos de financiamiento estatal y evasión de sanciones internacionales. Esto los diferencia fundamentalmente de los criminales tradicionales.

Para la industria de las criptomonedas, el desafío en 2026 será mejorar la capacidad de detectar y prevenir estos ataques altamente organizados con anticipación. La identificación de patrones únicos en el lavado de dinero de Corea del Norte, la prevención de infiltraciones internas y el fortalecimiento de las defensas contra ataques de ingeniería social serán prioridades urgentes.