Resumen
Corea del Norte robó más de $2.17B en criptomonedas en H1 2025, superando todo 2024.
El robo de $1.5B de Bybit en febrero fue el mayor robo de criptomonedas registrado.
Los actores utilizan un blanqueo sofisticado a través de mezcladores, puentes y corredores OTC, e infiltran empresas haciéndose pasar por trabajadores de TI.
Chainalysis informa más de $2.17 mil millones en criptomonedas robadas durante la primera mitad de 2025 por actores vinculados a Corea del Norte. Los números ya superan todo 2024, lo que apunta a un motor de ingresos planificado en lugar de explotaciones fortuitas. Equipos vinculados al Grupo Lazarus apuntan a intercambios, puentes y proveedores de infraestructura y convierten los hacks en un flujo constante de financiación para el régimen.
El mayor golpe llegó en febrero, cuando los atacantes drenaron casi $1.5 mil millones en ETH de Bybit, estableciendo un nuevo récord para un solo atraco criptográfico. Un exploit posterior en Upbit agregó más pérdidas y confirmó una ofensiva sostenida. Las sanciones restringen los canales tradicionales, por lo que las autoridades en Pyongyang se apoyan en operaciones cibernéticas para llenar las arcas.
De hacks aislados a una cadena de valor criminal.
Los equipos dividen flujos a través de mezcladores, lugares DEX, puentes entre cadenas, corredores OTC y swaps de tokens en paralelo. El enfoque sobrecarga a los investigadores, reduce las ventanas de reacción y disminuye las probabilidades de recuperación. Los fondos a menudo se dispersan entre cadenas y luego se recombinan en cuestión de horas, borrando pistas claras.
Otra línea de ataque se dirige a los empleadores. Los operativos se hacen pasar por trabajadores de TI remotos, aseguran contratos y acceden a billeteras internas y sistemas clave. La infiltración se extiende a startups de blockchain, proveedores de IA y contratistas adyacentes a la defensa, ampliando el acceso a infraestructura sensible y ampliando el grupo de activos explotables.
Por qué las sanciones no son suficientes.
Especialistas de la industria, incluidos Andrew Fierman, argumentan que las listas de aplicación y las banderas negras ayudan, pero no logran interrumpir la mecánica diaria sin una coordinación más estrecha. Los intercambios, las empresas de análisis y las fuerzas del orden necesitan congelaciones más rápidas, escalaciones estándar y manuales transfronterizos que coincidan con la velocidad del adversario. Sin una acción sincronizada, las redes de lavado reconstruyen rutas y retienen fuentes de liquidez.
La IA eleva el estándar para el engaño. Los modelos generativos forjan identidades en línea consistentes, automatizan scripts de phishing y refinan rutas de lavado. Currículums falsos, voces clonadas y entrevistas simuladas mejoran las tasas de aceptación de contratistas y abren puertas a consolas de administración, bóvedas de semillas y dispositivos de firma.
El robo a gran escala alimenta las finanzas estatales y perjudica a los usuarios legítimos.
Las primas de seguros aumentan, los buffers de riesgo en los intercambios se expanden y los costos operativos aumentan en los equipos de custodia y cumplimiento. Los tesoros en cadena restringen las reglas de acceso, imponen multi-firma con quórum estricto y segmentan caminos calientes, tibios y fríos para limitar las consecuencias de las brechas. Los protocolos actualizan la supervisión, restringen los permisos de los desplegadores y adoptan la separación de roles obligatoria para los contratistas.
Los líderes de seguridad priorizan varias áreas para principios de 2026:
• Rutas de salida hacia centros OTC de alto riesgo y jurisdicciones de control débil.
• Patrones de explosión de pequeñas transferencias a través de muchas cadenas y puentes.
• Contratación masiva de freelancers técnicos con historiales no verificables.
Corea del Norte tiene un programa cibernético industrial que convierte el robo de criptomonedas en un flujo de efectivo confiable. Chainalysis cuenta $2.17B en medio año, con la incursión de Bybit cerca de $1.5B como prueba principal.
