Puntos claves de la noticia:
- Corea del Norte robó más de $2.170M en crypto en el primer semestre de 2025, superando todo 2024.
- El robo de $1.500M de Bybit en febrero fue el mayor hurto cripto único registrado.
- Los actores lavan fondos mediante mixers, puentes y brokers OTC, e infiltran empresas haciéndose pasar por trabajadores de TI.
Datos de Chainalysis indican que operadores vinculados a Corea del Norte extrajeron más de 2.170 millones de dólares en criptoactivos durante el primer semestre de 2025, cifra que ya superó todo 2024. La escala y la velocidad describen un sistema planificado, no oportunista. Equipos asociados a Lazarus Group dirigen campañas multi-vector que golpean exchanges, puentes y proveedores de infraestructura.
El episodio más llamativo ocurrió en febrero. Atacantes drenaron casi 1.500 millones de dólares en Ethereum desde Bybit, el mayor robo individual registrado en cripto. Semanas después, un exploit en Upbit sumó otra pérdida multimillonaria y confirmó la continuidad del operativo. Con sanciones que estrechan las rutas clásicas de financiamiento, el régimen apuesta por el atraco digital como canal estable de ingresos.
Del golpe aislado a la cadena de valor criminal
La novedad del 2025 no reside solo en el monto. Reside en cómo mueven y ocultan el dinero. Equipos norcoreanos dividen fondos al instante y emplean mezcladores, DEX, puentes, OTC y swaps en paralelo para saturar la trazabilidad. Fragmentan, recombinan y cruzan cadenas en horas, lo que acorta la ventana de respuesta y dificulta la recuperación.
El vector laboral completa la arquitectura criminal. Operadores infiltran firmas tecnológicas como “remote IT workers”, ganan acceso a sistemas internos, billeteras y infraestructura sensible, y extienden el radio a startups de blockchain, compañías de IA e incluso contratistas con vínculos defensivos. La combinación de intrusión y lavado crea un circuito cerrado de obtención y dispersión de valor.
Por qué las sanciones no bastan
Expertos como Andrew Fierman señalan un desfase entre herramientas de cumplimiento y la operativa real de estas redes. Las listas de sancionados marcan límites, pero no desarticulan por sí solas flujos que aprovechan liquidez global y servicios semicerrados.
La disuasión requiere coordinación entre exchanges, empresas de análisis y fuerzas del orden con procedimientos de congelamiento y decomiso de tiempos mucho menores.
El avance en IA añade otra capa. Modelos generativos refuerzan identidades falsas, automatizan phishing y mejoran la ofuscación en rutas de lavado. Herramientas que crean perfiles coherentes y documentación creíble elevan la tasa de éxito de contratación remota y amplían el acceso a entornos críticos.
Impacto macro y riesgos sistémicos
El volumen sustraído alimenta cajas estatales y reduce recursos para creadores y usuarios legítimos. Presiona primas de riesgo, eleva costes de seguro cibernético y fuerza a exchanges a incrementar reservas operativas. Protocolos con treasury on-chain ajustan políticas de custodia, limitan permisos de operadores y exigen segregación de fondos.
Para 2026, áreas de vigilancia prioritaria incluyen:
• Trazas de salida hacia OTC de alto riesgo y países con controles laxos.
• Patrones de división en series rápidas de transferencias y puentes.
• Contratación masiva de perfiles técnicos con historiales difíciles de verificar.
Corea del Norte consolida un modelo industrial de saqueo digital. Chainalysis cuantifica el salto con 2.170 millones en medio año y un ataque de 1.500 millones en Bybit como hito.
