Corea del Norte, el Estado que aprendió a robar criptomonedas sin dejar rastro

A finales de 2025, Bybit, uno de los mayores exchanges de criptomonedas del mundo, detectó una salida irregular de fondos desde sus billeteras calientes. En cuestión de horas, el agujero superaba los 1.500 millones de dólares en ether y tokens asociados. Para cuando la empresa suspendió parcialmente las operaciones y pidió ayuda a firmas forenses y agencias de seguridad, gran parte del dinero ya había desaparecido en una maraña de direcciones, puentes entre cadenas y plataformas intermedias.

El episodio no fue solo el mayor robo registrado hasta ahora en el sector, sino también una muestra de cómo operan los ataques más costosos de los últimos años. Las primeras reconstrucciones descartaron una falla técnica grave o un golpe destinado a romper el código del sistema. El acceso se produjo por otra vía: los atacantes avanzaron gradualmente por cuentas internas hasta llegar a los controles que permitían mover los fondos.

Para miles de usuarios, el impacto fue inmediato. Bybit aseguró que cubriría las pérdidas con reservas propias, pero durante días persistió la incertidumbre sobre la magnitud real del daño y sobre cómo había sido posible un ataque de esa escala en una plataforma que se presentaba como una de las más seguras del mercado. Para los investigadores, en cambio, el caso remitía a un esquema ya conocido.

Ese esquema ha sido atribuido en reiteradas ocasiones a Lazarus Group, una red de hackers vinculada al régimen norcoreano. En la última década, el grupo ha sido señalado por ataques financieros y cibernéticos destinados a generar ingresos para el régimen de Pyongyang, especialmente tras el endurecimiento de las sanciones internacionales.

Un informe reciente de TRM Labs, firma especializada en crimen financiero y análisis de blockchain, sostiene que el ataque a Bybit replica tácticas observadas en otros grandes robos atribuidos a actores norcoreanos: compromiso de accesos internos, uso de credenciales legítimas y dispersión rápida de los fondos para dificultar su rastreo.

Entre 2023 y 2025, más de la mitad del dinero robado en hackeos cripto a escala global fue atribuido por firmas forenses privadas y agencias de seguridad a grupos vinculados a Pyongyang. Los ataques compartieron blancos y procedimientos: exchanges, procesadores de pagos y servicios de custodia.

Entrar sin forzar la puerta

En la mayoría de los casos recientes, el primer contacto no ocurrió en una línea de código, sino en LinkedIn. Investigaciones forenses y documentos judiciales en Estados Unidos y Corea del Sur describen un patrón reiterado: perfiles falsos que se presentan como reclutadores, inversores o desarrolladores senior contactan a empleados del ecosistema cripto con ofertas laborales plausibles. Tras varios intercambios, envían una supuesta “prueba técnica” o un archivo de trabajo.

El archivo no evalúa habilidades. Instala malware. Una vez ejecutado, roba cookies del navegador, credenciales de acceso, llaves SSH o tokens de servicios en la nube. En algunos casos, los atacantes permanecen semanas o meses dentro de los sistemas, observando flujos internos y escalando privilegios antes de ejecutar el robo.

Ese esquema fue identificado en ataques como los sufridos por Atomic Wallet, CoinsPaid o Alphapo en 2023 y reaparece en investigaciones vinculadas al caso Bybit. El objetivo no es romper la criptografía, sino llegar a los sistemas que controlan la custodia: las billeteras operativas, los firmantes de esquemas multifirma o el software que autoriza retiros. Una vez allí, las transferencias pueden pasar por legítimas incluso para los controles internos.

“Corea del Norte opera un modelo industrializado de robo de criptomonedas. No se trata de hackeo patrocinado por el Estado: es el propio Estado”, explicó Chris Wong, ex agente del FBI especializado en Corea del Norte y hoy responsable de relaciones con fuerzas de seguridad en TRM.

“Son operaciones altamente especializadas, con objetivos estratégicos claros, combinadas con redes profesionales de lavado que garantizan que los fondos se limpien mucho antes de tocar el sistema financiero tradicional”, agregó.

El problema ya no es robar, es cobrar

Durante años, el principal problema de estos ataques fue la salida del dinero. Los llamados mezcladores, utilizados para desordenar el rastro de las criptomonedas, ayudaban a ocultar el origen de los fondos, pero no permitían convertir grandes volúmenes en valor utilizable sin activar controles. Las sanciones de Estados Unidos en 2022 y 2023 forzaron un cambio de método.

El lavado no se detuvo: se desplazó. Los fondos robados comenzaron a fragmentarse de inmediato, saltando entre cadenas —Ethereum, Avalanche, Bitcoin— hasta concentrarse en activos de alta liquidez, especialmente USDT sobre la red Tron. Desde allí, el proceso abandona en gran medida la blockchain y entra en un circuito paralelo de intermediarios extrabursátiles, exchanges anidados y brokers de banca en la sombra.

Estas redes de operadores, en su mayoría de origen chino, compran criptoactivos robados con descuento y se encargan de la liquidación fuera del sistema financiero formal. La coordinación se realiza a través de plataformas de mensajería como WeChat y de corredores privados que compran y venden criptomonedas fuera de los exchanges visibles. La compensación final puede llegar en yuanes, bienes o pagos a empresas pantalla vinculadas al régimen norcoreano.

En el caso de Bybit, firmas forenses privadas, entre ellas TRM Labs, rastrearon cientos de millones de dólares moviéndose en cuestión de días a través de billeteras intermedias, exchanges descentralizados y puentes entre cadenas, antes de desaparecer en ese entramado de lavado.

Un desafío que nadie logra cerrar

Para reguladores y plataformas, el modelo plantea un dilema persistente. Las herramientas tradicionales —listas negras de direcciones, sanciones a mezcladores, monitoreo en una sola cadena— llegan tarde o resultan insuficientes cuando la limpieza del dinero ocurre fuera de la blockchain.

“No es simplemente un desafío de ciberseguridad”, advirtió Wong. “La actividad de robo cripto de Corea del Norte es un problema de sanciones, de seguridad nacional y de crimen financiero, y enfrentarlo requiere inteligencia en tiempo real y coordinación transfronteriza sostenida”.

Hasta ahora, esa coordinación ha sido fragmentaria. Estados Unidos ha emitido sanciones y acusaciones formales; Corea del Sur ha reforzado la cooperación en inteligencia; China, donde operan muchas de las redes de intermediación, sigue siendo una zona gris. Mientras tanto, los exchanges absorben pérdidas, ajustan controles y prometen reembolsos para sostener la confianza de sus usuarios.

El principal logro de Corea del Norte no es solo el volumen de dinero robado. Es haber probado que puede ejecutar estos ataques de forma reiterada y a gran escala, con una eficacia que hoy desborda la capacidad de los Estados para cortar el circuito completo. Una pregunta queda abierta: cómo detener a un régimen que aprendió a financiarse a través del sistema que intenta bloquearlo.