Imaginen que un solo país ha logrado montar una maquinaria de robo tan eficiente que ha drenado miles de millones de dólares de carteras digitales en todo el mundo. No es el guion de una película de espías, sino la realidad actual. Corea del Norte ha convertido el cibercrimen en una industria estatal para financiar sus programas de misiles y armas nucleares, saltándose cualquier sanción internacional mediante el uso de hackers de Corea del Norte altamente capacitados.
La escala del botín: Cifras que asustan
Entre 2017 y 2023, el régimen de Pyongyang coordinó una campaña masiva que resultó en el robo de aproximadamente 3.000 millones de dólares en activos digitales. Pero lo más preocupante no es solo la cifra total, sino la velocidad con la que están acelerando sus ataques. Solo en 2024, el volumen de robos se disparó a 1.340 millones de dólares en 47 incidentes distintos, lo que supone un incremento de más del 100% respecto al año anterior.
Para poner esto en perspectiva, el mercado global de robos de cripto en 2024 fue de unos 2.200 millones. Esto significa que este único país fue responsable del 61% de todo el dinero robado a nivel mundial ese año. No se trata de aficionados probando suerte, sino de una operación militarizada que sabe exactamente dónde golpear para obtener el máximo beneficio.
¿Quiénes están detrás? Los grupos de ataque
El estado norcoreano no actúa a través de una sola entidad, sino de una red de grupos especializados. El más famoso es Lazarus, un grupo de hackers vinculado al gobierno de la RPDC que se encarga de las operaciones más grandes y complejas. Sin embargo, no están solos. Otros grupos como TraderTraitor, Jade Sleet, UNC4899 y Slow Pisces trabajan en sincronía para infiltrarse en plataformas y billeteras.
Estos equipos operan con una paciencia quirúrgica. No lanzan ataques al azar; estudian a sus víctimas durante meses. Un ejemplo claro fue el robo de 308 millones de dólares a la plataforma japonesa DMM en mayo de 2024. El ataque no empezó con un virus, sino con una mentira en LinkedIn.
El método: Engaños en LinkedIn y scripts maliciosos
¿Cómo logran entrar en sistemas que se supone que son impenetrables? La respuesta es la ingeniería social. Los hackers se hacen pasar por reclutadores de talento en redes profesionales como LinkedIn. Contactan a empleados de empresas de software de carteras cripto (como ocurrió con Ginco en Japón) y les ofrecen puestos de trabajo atractivos.
El truco llega con la "prueba técnica". Los candidatos reciben un enlace a GitHub, donde deben ejecutar un script de Python para demostrar sus habilidades. En realidad, ese código es un troyano que permite a los hackers robar cookies de sesión e impersonar al empleado. Una vez dentro, manipulan las solicitudes de transacciones legítimas para desviar los fondos a sus propias cuentas.
| Plataforma / Empresa | Fecha | Monto Robado | Método Principal |
|---|---|---|---|
| DMM (Japón) | Mayo 2024 | 308 millones $ | Ingeniería social via LinkedIn |
| Atomic Wallet | Junio 2023 | 100 millones $ | Explotación de vulnerabilidades |
| Bybit (Dubái) | Febrero 2025 | ~1.500 millones $ | Ataque masivo a Ether (ETH) |
El gran golpe de 2025 y el lavado de activos
Si el 2024 fue intenso, febrero de 2025 marcó un punto de inflexión. El robo a la plataforma Bybit resultó en la pérdida de casi 1.500 millones de dólares en Ether. Para que se den cuenta de la magnitud: este solo golpe superó la suma de todos los robos cometidos por Corea del Norte durante todo el año anterior.
Una vez que tienen el dinero, el problema es cómo gastarlo sin que el FBI o la Interpol los rastreen. Aquí es donde entra el lavado de activos avanzado. Utilizan Puentes Cross-Chain, que son herramientas que permiten mover fondos de una red blockchain a otra, borrando el rastro. También usan intercambios descentralizados (DEX) donde no hace falta dar el nombre ni el DNI para cambiar tokens robados por Bitcoin o monedas estables.
Impacto en el sector y medidas de defensa
Este nivel de agresión ha obligado a la industria de las criptomonedas a cambiar sus reglas. Ya no basta con una contraseña fuerte. Las plataformas están implementando carteras de multifirma (multi-sig), donde se requieren varias aprobaciones humanas para mover fondos grandes. Además, el entrenamiento de los empleados se ha vuelto crítico: ahora saben que un mensaje amable de un reclutador en LinkedIn puede ser la puerta de entrada para un robo millonario.
Sin embargo, el riesgo persiste. Mientras el régimen de Pyongyang vea en el código la única forma de evadir las sanciones económicas y seguir financiando su arsenal nuclear, los ataques seguirán evolucionando. La batalla ahora se centra en la inteligencia de blockchain, donde empresas como Chainalysis intentan etiquetar las carteras norcoreanas antes de que logren convertir el botín en dinero real.
¿Cómo se beneficia Corea del Norte de estos robos?
El gobierno utiliza los fondos para evadir sanciones internacionales y financiar el desarrollo de armas de destrucción masiva y misiles balísticos, convirtiendo el ciberespacio en su principal fuente de ingresos externos.
¿Qué es el grupo Lazarus?
Lazarus es la unidad de élite de hackers respaldada por el estado norcoreano. Se especializan en ataques sofisticados contra bancos y plataformas de criptomonedas, utilizando malware avanzado e ingeniería social.
¿Cómo pueden los usuarios proteger sus criptos?
La recomendación principal es usar carteras frías (cold wallets) que no estén conectadas a internet y evitar hacer clic en enlaces sospechosos de personas desconocidas en redes sociales profesionales.
¿Qué son los puentes cross-chain en el lavado de dinero?
Son protocolos que permiten transferir activos entre diferentes blockchains. Los hackers los usan para "saltar" de una moneda a otra, dificultando que los analistas sigan el camino del dinero robado.
¿Por qué LinkedIn es un objetivo para los hackers?
Porque permite identificar exactamente quién trabaja en qué empresa y qué cargo tiene. Esto les facilita crear perfiles falsos creíbles para engañar a empleados con acceso a sistemas críticos.
Siguientes pasos y prevención
Si trabajas en el sector tecnológico o manejas activos digitales, no ignores las señales de alerta. Si alguien te contacta con una oferta laboral demasiado buena para ser cierta y te pide ejecutar un código "de prueba" en tu máquina personal, detente. Reporta el perfil y no descargues nada.
Para las empresas, la solución no es solo técnica, sino cultural. Un empleado que sabe reconocer un intento de phishing es más efectivo que el firewall más caro del mundo. La seguridad en la era de los robos estatales requiere una vigilancia constante y una desconfianza saludable hacia cualquier interacción digital no verificada.