¿Cómo Corea del Norte logró robar $2 mil millones en criptomonedas en 2025?

La industria vivió una gran escalada en el robo global de criptomonedas en 2025, con pérdidas que superan los 3,4 mil millones de dólares entre enero y principios de diciembre, según un nuevo informe de Chainalysis.

El aumento fue causado principalmente por hackers relacionados con Corea del Norte, quienes fueron responsables de la mayoría de los fondos robados durante el año.

Desentrañando las acciones de Corea del Norte y el robo récord de 2 mil millones de dólares en criptomonedas

En su último informe, la firma de análisis de blockchain Chainalysis señaló que hubo una caída importante en la frecuencia de ataques de la República Popular Democrática de Corea (RPDC). Aun así, lograron un año récord en cuanto a robo de criptomonedas.

Los hackers norcoreanos robaron al menos 2,02 mil millones de dólares en activos digitales en 2025. Esto representa un aumento del 51% en comparación año con año. Si se compara con los niveles de 2020, la cantidad refleja un aumento aproximado de 570%.

Además, el informe reveló que los actores vinculados a la RPDC fueron responsables del récord del 76% de todas las vulneraciones a servicios durante el año.

En conjunto, las cifras de 2025 elevan la estimación mínima acumulada de fondos en criptomonedas robados por Corea del Norte hasta los 6,75 mil millones de dólares.

Con datos históricos, Chainalysis determinó que la RPDC sigue realizando ataques de valores mucho más altos que otros actores amenazantes. 

Según Chainalysis, los hackers vinculados a Corea del Norte están generando resultados aún mayores al colocar operativos en puestos técnicos dentro de empresas relacionadas con criptomonedas. Esta táctica, una de las principales formas de ataque, permite a estos atacantes tener acceso privilegiado y ejecutar intrusiones más dañinas.

En julio, el investigador blockchain ZachXBT publicó un reportaje alegando que los operativos de Corea del Norte infiltraron entre 345 y 920 puestos de trabajo en la industria cripto.

Los actores maliciosos también han adoptado tácticas de estilo reclutamiento, haciéndose pasar por empleadores para atacar a personas que ya trabajan en el sector.

Además, BeInCrypto informó recientemente que hackers se hicieron pasar por contactos de confianza de la industria en falsas reuniones de Zoom y Microsoft Teams. Con esta táctica, robaron más de 300 millones de dólares.

Chainalysis revela el plan de lavado utilizado por hackers norcoreanos

Chainalysis encontró que el comportamiento de lavado de dinero de Corea del Norte es muy diferente al de otros grupos. El informe mostró que los actores vinculados a la RPDC tienden a lavar dinero en pequeñas cantidades on-chain, con poco más del 60% del volumen concentrado en transferencias menores a 500,000 dólares.

En cambio, los actores maliciosos que no son de la RPDC normalmente transfieren el 60% de los fondos robados en lotes mucho más grandes, que suelen ir de 1 millón a más de 10 millones de dólares. Chainalysis afirma que esta estructura refleja un enfoque más deliberado y sofisticado para el lavado de dinero, aunque Corea del Norte roba sumas totales mayores.

La empresa también identificó diferencias claras en el uso de servicios. Los hackers vinculados a la RPDC dependen mucho de servicios de movimiento de dinero y garantías en chino, así como de herramientas de bridge y mezcladores diseñados para ocultar el rastro de las transacciones. También usan plataformas especializadas, como Huione, para facilitar sus operaciones de lavado.

Por otro lado, otros actores de fondos robados interactúan más con exchanges descentralizados, plataformas centralizadas, servicios peer-to-peer y protocolos de préstamos.

Chainalysis también observó un patrón recurrente de lavado de dinero que normalmente ocurre en un período de 45 días. En los días inmediatamente posteriores a un hack (Días 0-5), los actores vinculados a Corea del Norte dan prioridad a alejar los fondos robados de su origen. El informe señaló un fuerte aumento en el uso de protocolos DeFi y servicios de mezclado durante este periodo inicial.

En la segunda semana (Días 6-10), la actividad cambia hacia servicios que permiten una integración más amplia. Los fondos empiezan a llegar a exchanges centralizados y plataformas con requisitos mínimos de KYC.

La actividad de lavado sigue presente a través de servicios de mezclado secundarios, aunque con menor intensidad. Al mismo tiempo, se usan puentes entre blockchains para ocultar el movimiento de los fondos.

En la fase final (Días 20-45), hay más interacción con servicios que facilitan la conversión o el retiro de fondos. Exchanges sin KYC, servicios de garantía, plataformas de intercambio instantáneo y servicios en chino destacan en esta etapa, junto con el uso renovado de exchanges centralizados para mezclar fondos ilícitos con actividad legítima.

Chainalysis enfatizó que la ventana recurrente de lavado de 45 días ofrece información clave para las autoridades. También refleja las limitaciones operativas de los hackers y su dependencia de facilitadores específicos.

Aunque no todos los fondos robados siguen este cronograma, el patrón representa el comportamiento típico on-chain. Aun así, el equipo reconoció posibles puntos ciegos, ya que ciertas actividades, como transferencias de llaves privadas o transacciones OTC fuera de la blockchain, pueden no ser visibles solo con datos blockchain sin inteligencia complementaria.

Perspectivas para 2026

El Jefe de Inteligencia de Seguridad Nacional de Chainalysis comentó a BeInCrypto que Corea del Norte probablemente buscará cualquier vulnerabilidad disponible. Aunque los incidentes de Bybit, BTCTurk y Upbit este año sugieren que los exchanges centralizados están bajo más presión, las tácticas pueden cambiar en cualquier momento.

Exploits recientes que involucran a Balancer y Yearn también indican que los protocolos con mucho tiempo en el mercado pueden estar en la mira de los atacantes. Explicó:

El informe también subrayó que, a medida que Corea del Norte depende cada vez más del robo de criptomonedas para financiar prioridades estatales y evadir sanciones internacionales, la industria debe reconocer que este actor representa amenazas que funcionan bajo un conjunto de restricciones e incentivos muy diferente al de los cibercriminales comunes.

La empresa indicó que el reto clave para 2026 será identificar y detener estas operaciones de alto impacto antes de que actores vinculados a la RPDC logren ejecutar otro incidente a la escala del hack de Bybit.

El post ¿Cómo Corea del Norte logró robar $2 mil millones en criptomonedas en 2025? fue visto por primera vez en BeInCrypto.