En 2025, Corea del Norte no solo sigue siendo un régimen aislado, sino que se ha convertido en el mayor actor estatal de crimen cibernético en criptomonedas del mundo. Sus operaciones, lideradas por el grupo Lazarus bajo el control de la Dirección General de Reconocimiento, han robado más de $2.170 millones en criptomonedas solo en la primera mitad del año. Eso equivale a casi el doble de lo que se robó en todo 2024. El hackeo al intercambio ByBit en febrero, donde desaparecieron $1.500 millones, sigue siendo el robo más grande de la historia digital.
¿Cómo funciona el sistema de robo de Corea del Norte?
Corea del Norte no ataca con fuerza bruta. Usa ingeniería social, identidades falsas y trabajadores infiltrados. Miles de programadores norcoreanos trabajan para empresas occidentales bajo nombres falsos, ganando salarios legales mientras roban datos de defensa y ejecutan ataques cibernéticos. Estos agentes no son soldados, son ingenieros que viven en China, Rusia o incluso Europa, usando cuentas de correo y redes sociales falsas para pasar desapercibidos. Cuando atacan, no buscan vulnerabilidades en el código. Buscan errores humanos: un empleado que hace clic en un enlace malicioso, un sistema de firma múltiple mal configurado, o un contrato inteligente mal auditado. En el caso de ByBit, el ataque aprovechó un fallo en el proceso de aprobación de transferencias de billeteras. No fue un hack de software, fue un hack de proceso. Una vez robado el dinero, lo lavan en cadena. Usan intercambios descentralizados, intercambios entre cadenas (cross-chain swaps) y monedas de privacidad como Monero. Cada transacción se divide en cientos de microtransferencias, mezcladas con millones de otras operaciones legales. Es como esconder un camión en un estacionamiento lleno de autos idénticos.¿Qué hicieron los países para responder?
Cuando el Panel de Expertos de la ONU se disolvió en mayo de 2024, el mundo se quedó sin un mecanismo central para rastrear violaciones de sanciones. En octubre de 2024, once países -Estados Unidos, Reino Unido, Japón, Corea del Sur, Alemania, Francia, Italia, Canadá, Australia, Nueva Zelanda y los Países Bajos- crearon el Equipo Multilateral de Monitoreo de Sanciones (MSMT por sus siglas en inglés). Este grupo no tiene poder de arresto. No puede imponer sanciones. Pero sí tiene acceso a datos en tiempo real de empresas como Chainalysis, Elliptic y TRM Labs. Estas firmas usan inteligencia artificial para rastrear patrones de lavado de dinero en la blockchain. Cuando detectan una transacción sospechosa vinculada a Corea del Norte, la comparten con los miembros del MSMT, que luego actúan en sus propios territorios. En septiembre de 2025, lograron congelar $237 millones en fondos robados del hackeo de LND.fi en menos de 72 horas. Fue la respuesta más rápida y coordinada hasta la fecha. Pero no siempre es así. Muchos intercambios pequeños no tienen los recursos para participar. Algunos países no comparten información por temor a violar su propia privacidad o por falta de capacidad técnica.¿Qué herramientas usan para rastrear el dinero?
No hay un solo sistema. Es una red de tecnologías y personas. Las firmas de análisis blockchain crean mapas de transacciones. Identifican billeteras que se comportan como las usadas por Lazarus: patrones de envío, tiempos entre operaciones, cantidades específicas. Luego, vinculan esas billeteras a intercambios centralizados donde se convierten en dinero fiduciario. El Departamento de Justicia de EE.UU. ha usado esto para presentar 17 acciones civiles de incautación entre enero y septiembre de 2025, buscando recuperar $214 millones. Pero solo han logrado recuperar el 12,3% de lo que intentaron. Por qué? Porque el dinero ya ha pasado por 15 o 20 billeteras diferentes, y muchas están en jurisdicciones donde no hay cooperación. Las empresas que trabajan con el MSMT han entrenado a 487 analistas en todo el mundo para reconocer los patrones específicos de Corea del Norte. El entrenamiento dura entre 6 y 8 meses. No basta con saber de blockchain. Hay que entender tácticas de inteligencia, psicología del engaño y cómo opera el régimen.
¿Qué cambios están en marcha?
En 2026, el MSMT lanzará una Célula de Inteligencia Cripto, con un presupuesto inicial de $85 millones. Será como un centro de operaciones contra el terrorismo, pero para criptomonedas. Unirá a analistas de policía, inteligencia y empresas privadas en un solo espacio digital. También se están creando nuevas regulaciones. EE.UU. aprobó la Orden Ejecutiva 14155 en abril de 2025, que exige a todos los intercambios que verifiquen transacciones superiores a $10.000. La Unión Europea implementará MiCA II en enero de 2026, creando el primer marco legal para monitoreo transfronterizo de criptomonedas. Pero no todos pueden pagar. Un estudio del Consorcio de Cumplimiento Cripto encontró que el costo de implementar las medidas recomendadas por el MSMT es de $1,2 millones por plataforma al año. Muchos intercambios pequeños en Asia, África o América Latina simplemente no pueden permitírselo. Y eso crea agujeros.¿Por qué es tan difícil detenerlos?
Porque Corea del Norte no necesita ganar todo el tiempo. Solo necesita tener éxito una vez cada tres meses. Un solo hack exitoso les da más dinero que todo su comercio exterior en un año. Además, están usando inteligencia artificial para crear mensajes de phishing perfectos. En julio de 2025, tres empresas tecnológicas en Alemania y Canadá fueron engañadas por correos electrónicos generados por IA que imitaban la voz y el estilo de sus propios empleados. Nadie sospechó. También tienen un aliado clave: Rusia. Según el MSMT, Corea del Norte y Rusia comparten infraestructura cibernética, billeteras y redes de lavado. Esto significa que cuando un país intenta congelar activos, a menudo se encuentra con que el dinero ya ha sido movido a servidores rusos, donde las leyes no aplican.
