Los hackers norcoreanos robaron un récord de 2020 millones de dólares en criptomonedas en 2025, según un nuevo informe de Chainalysis, superando el botín del año anterior en un 51 por ciento y llevando su total a 6750 millones de dólares. Los robos, que representaron el 60 por ciento del total global de 3400 millones de dólares robados, fueron impulsados por menos pero mayores ataques, incluido un incumplimiento de 1500 millones de dólares en la bolsa Bybit con sede en Dubái en febrero. Los expertos atribuyen el éxito a tácticas sofisticadas como la inserción de trabajadores de TI en empresas cripto e impersonación de reclutadores.
El informe de Chainalysis, publicado el 18 de diciembre de 2025, destaca un cambio en los patrones de robo de criptomonedas, con la República Popular Democrática de Corea (RPDC) de Corea del Norte como el actor de amenaza dominante. A pesar de un 74 por ciento menos de incidentes confirmados en comparación con 2024, los hackers de la RPDC lograron resultados desproporcionados al dirigirse a servicios centralizados con altas reservas. El hackeo de febrero a Bybit, vinculado por las autoridades estadounidenses al Grupo Lazarus de élite de Corea del Norte, representó por sí solo 1500 millones de dólares en ethereum y otros activos, marcando el mayor robo de cripto registrado.
Los analistas de blockchain señalan que los operativos de la RPDC infiltran cada vez más las empresas cripto obteniendo fraudulentamente empleos remotos de TI o haciéndose pasar por reclutadores en plataformas como Upwork. «Los actores de amenaza norcoreanos están logrando cada vez más estos resultados desproporcionados a menudo insertando trabajadores de TI dentro de servicios cripto para obtener acceso privilegiado», afirma el informe. A nivel ejecutivo, simulan presentaciones de inversión para extraer credenciales y acceso al sistema. El investigador de seguridad Pablo Sabbatella estimó que entre el 30 y el 40 por ciento de las solicitudes de empleo a empresas cripto provienen de operativos norcoreanos.
Los patrones de lavado de dinero revelan las preferencias de la RPDC por servicios en chino, puentes entre cadenas y protocolos de mezcla, con fondos movidos en pequeñas cantidades de menos de 500.000 dólares en un ciclo típico de 45 días. Esto difiere de otros ciberdelincuentes, que prefieren transferencias mayores y préstamos DeFi. Las Naciones Unidas han acusado durante mucho tiempo a Corea del Norte de usar estos fondos para evadir sanciones y financiar sus programas nucleares y de misiles.
A nivel global, las compromisiones de billeteras personales aumentaron a 158.000 incidentes que afectaron a 80.000 víctimas, aunque el valor total robado cayó a 713 millones de dólares. Los hackeos DeFi se mantuvieron bajos a pesar del aumento del valor total bloqueado, lo que sugiere medidas de seguridad mejoradas, como se vio en la rápida respuesta del Protocolo Venus a un ataque en septiembre que recuperó todos los fondos.
Los expertos advierten de riesgos continuos. «La actividad de robo de cripto de Corea del Norte es un problema de sanciones, seguridad nacional y crimen financiero», dijo Chris Wong, exagente del FBI en TRM Labs. El jefe de inteligencia de seguridad nacional de Chainalysis, Andrew Fierman, enfatizó la necesidad de una mejor detección de los comportamientos en cadena distintos de la RPDC.
