Entre 2017 y 2025, los hackers al servicio del régimen norcoreano han robado más de $3.000 millones en criptomonedas. No es un error. No es un accidente. Es una operación militar bien organizada, con miles de horas de investigación, ingeniería social y código malicioso diseñado para engañar a empresas enteras. Y lo peor: no han parado. En febrero de 2025, un solo ataque contra la plataforma Bybit robó casi $1.500 millones en Ether, superando por sí solo el total robado en todo 2024. Esto no es crimen cibernético. Es guerra económica.
¿Quiénes son los hackers norcoreanos y cómo funcionan?
No son jóvenes con hoodies en un sótano. Son unidades militares de élite, entrenadas en computación, lenguajes de programación y psicología humana. Grupos como Lazarus, un grupo de ciberespionaje patrocinado por el Estado norcoreano que ha llevado a cabo más de 50 ataques contra criptomonedas desde 2017, TraderTraitor, especializado en ataques a billeteras descentralizadas y plataformas de intercambio, y Slow Pisces, un grupo que se enfoca en infiltrarse lentamente en empresas durante meses antes de actuar operan como unidades de inteligencia, no como ladrones comunes.
Su método es siempre el mismo: primero, engañan. Usan LinkedIn, plataformas de empleo y foros técnicos para contactar a empleados de empresas de criptomonedas. Les envían un "test de programación" como parte de un proceso de contratación. El archivo parece inofensivo: un script en Python. Pero dentro hay un malware que roba credenciales, claves de sesión y acceso a sistemas internos. En el caso del ataque a Ginco en Japón, los hackers esperaron dos meses después de infectar a un empleado antes de actuar. No apresuraban nada. Controlaban todo.
El ataque a Bybit: el robo más grande de la historia
El 15 de febrero de 2025, el exchange Bybit perdió 8,2 millones de Ether. A ese precio, eran $1.500 millones. El ataque no fue un fallo técnico. Fue una operación de guerra. Los hackers entraron por una puerta trasera en el sistema de liquidación de transacciones. No tocaron las billeteras de los usuarios. No robaron contraseñas. Manipularon el proceso de confirmación de transacciones entre redes blockchain, usando puentes descentralizados para mover fondos de Ethereum a Bitcoin, luego a Monero y finalmente a una red de billeteras desconectadas.
Chainalysis, la firma de análisis blockchain más confiable del mundo, confirmó que los patrones de lavado coincidían con técnicas usadas antes por Lazarus. Lo más preocupante: el ataque no fue detectado hasta 48 horas después. Eso significa que el dinero ya estaba fuera de las redes reguladas. Las autoridades no pudieron congelar nada. No había transacciones sospechosas. Solo movimientos legales, pero con origen fraudulento.
¿Por qué es tan difícil detenerlos?
Porque no dependen de vulnerabilidades técnicas. Dependen de personas. Una sola persona que haga clic en un enlace, una sola persona que no siga protocolos de seguridad, una sola persona que confíe en un "recruiter" de LinkedIn. Las empresas invierten millones en firewalls, autenticación de dos factores y monitoreo de blockchain. Pero si un empleado es engañado, todo se derrumba.
En 2024, el 61% de todo el dinero robado en criptomonedas en el mundo fue robado por grupos norcoreanos. Y ellos solo llevaron a cabo el 20% de los ataques. Eso quiere decir que, por cada ataque, roban 3 veces más que cualquier otro grupo. Son precisos. Son pacientes. Y saben que, mientras las plataformas se enfocan en proteger sus códigos, ellos se enfocan en proteger sus mentes.
¿Cómo usan el dinero robado?
No lo gastan en lujos. No lo usan para comprar casas o autos. Lo usan para comprar misiles. Según informes de la ONU, el régimen norcoreano usa las criptomonedas robadas para financiar su programa nuclear y de misiles balísticos. Compran componentes electrónicos en Asia, materiales para reactores en Europa y tecnología de lanzamiento en países con leyes laxas. El dinero en cripto es invisible, irreversibe y no deja rastro. Es perfecto para evadir sanciones internacionales.
En 2023, el gobierno de Estados Unidos y Japón identificaron que un 78% de los fondos robados por Lazarus fueron usados para adquirir tecnología de doble uso. Eso significa que cada dólar robado puede estar ayudando a construir un arma que pueda llegar a cualquier ciudad del mundo. No es solo un robo. Es una amenaza a la seguridad global.
¿Qué están haciendo las plataformas?
Algunas han cambiado. Ahora, las grandes exchanges como Binance, Coinbase y Kraken requieren que todos los empleados hagan entrenamientos trimestrales de seguridad cibernética, con simulacros de ataques de ingeniería social. Otras han implementado billeteras multi-firma, donde se necesitan al menos tres aprobaciones para mover fondos. Pero no es suficiente.
La mayoría de los ataques exitosos aún ocurren en plataformas más pequeñas, donde los recursos son limitados. Una billetera de empresa que no tiene monitoreo en tiempo real, un empleado que no reporta un correo sospechoso, un sistema que no actualiza sus certificados de seguridad: eso es lo que los hackers norcoreanos buscan. Y lo encuentran.
¿Qué puedes hacer tú?
Si trabajas en una empresa de criptomonedas, o si administras fondos digitales, aquí hay tres reglas que debes seguir:
- Verifica todo lo que llegue por correo o mensaje. Si te envían un "test" o un "formulario de contratación", llama al departamento de RRHH antes de abrirlo. No confíes en el nombre del remitente.
- Usa billeteras multi-firma para fondos importantes. Una sola clave no es suficiente. Necesitas al menos dos o tres personas para autorizar una transacción.
- Monitorea tus transacciones. Si tu empresa maneja criptomonedas, instala herramientas como TRM Labs o Chainalysis. No esperes a que te alerten. Busca movimientos extraños tú mismo.
Si eres usuario, no guardes grandes cantidades en exchanges. Usa billeteras frías. Si no sabes qué es una billetera fría, es una llave física que guardas en un lugar seguro, fuera de internet. No confíes en nadie. No hagas clic en enlaces. No confíes en "recruiters".
El futuro es más oscuro
En 2025, los expertos predicen que los ataques norcoreanos aumentarán aún más. Con las sanciones internacionales apretando, Pyongyang no tiene otras fuentes de ingresos. El oro, el carbón y el petróleo están bloqueados. Las criptomonedas son su única vía. Y ya han demostrado que pueden robar más en un día que otros grupos en un año.
El robo de Bybit no fue un punto máximo. Fue un punto de partida. Y mientras las empresas sigan enfocándose en proteger sus servidores en lugar de proteger a sus empleados, los hackers norcoreanos seguirán ganando.
¿Cuánto dinero han robado los hackers norcoreanos en total?
Entre 2017 y 2025, los grupos patrocinados por Corea del Norte han robado más de $3.000 millones en criptomonedas. Solo en 2024, robaron $1.340 millones, y en febrero de 2025, un solo ataque contra Bybit robó $1.500 millones más, lo que eleva el total estimado a más de $4.800 millones.
¿Por qué se enfocan en las criptomonedas y no en otros sistemas?
Las criptomonedas son anónimas, transfronterizas y difíciles de rastrear. A diferencia del dinero bancario, que deja un rastro en sistemas regulados, las transacciones en blockchain pueden ser lavadas a través de múltiples redes y monedas. Esto permite a Corea del Norte evadir sanciones sin que los bancos internacionales puedan intervenir.
¿Cómo saben que son los hackers norcoreanos y no otro grupo?
Las agencias de inteligencia de EE.UU., Japón y Corea del Sur usan patrones técnicos: el tipo de malware, los nombres de los archivos, los servidores usados, y los tiempos de los ataques. Por ejemplo, los ataques de Lazarus siempre usan el mismo código de encriptación y siempre se activan en horarios que coinciden con el huso horario de Corea del Norte. También han vinculado direcciones de billeteras a operaciones anteriores.
¿Qué empresas han sido atacadas más veces?
Las plataformas más atacadas son las que manejan billeteras descentralizadas, como Atomic Wallet, CoinsPaid y Ginco. También han atacado exchanges grandes como Bybit, KuCoin y OKX. Las empresas más vulnerables son aquellas que no hacen entrenamientos de seguridad a sus empleados ni usan multi-firma en sus transacciones.
¿Es seguro usar criptomonedas hoy?
Sí, pero solo si usas buenas prácticas. Usa billeteras frías, nunca guardes grandes cantidades en exchanges, y verifica cada transacción. El riesgo no está en la tecnología, sino en la confianza ciega. Los hackers no atacan el código. Atacan a las personas. Si tú eres cuidadoso, estás más seguro que con una cuenta bancaria tradicional.
