El "Año de la Abundancia" de los hackers norcoreanos: en 2025, el robo de fondos alcanzará un récord histórico

2025年 para el grupo de hackers de Corea del Norte, sin duda, fue un año de cosecha abundante. Según el informe de ataques de hackers de 2025 publicado por Chainalysis, aunque la cantidad de ataques lanzados por hackers norcoreanos disminuyó significativamente, la cantidad de fondos robados alcanzó un máximo histórico. Este fenómeno aparentemente contradictorio refleja las cada vez más sofisticadas técnicas de estos grupos de crimen cibernético de nivel estatal.

Detrás de un año de cosecha: menos ataques pero mayor robo de fondos

El ecosistema de criptomonedas en 2025 enfrentó una prueba severa. Según las estadísticas, el monto total robado durante el año superó los 3.400 millones de dólares, siendo solo en febrero un ataque importante a Bybit que causó pérdidas por 1.500 millones de dólares.

Los hackers norcoreanos destacaron especialmente en esta “año de bonanza”. En 2025, robaron criptomonedas por un valor de hasta 2.02 mil millones de dólares, un aumento del 51% respecto a los 1.339 millones de dólares en 2024. Lo más alarmante es que esto marcó el año más grave en la historia de los robos de criptomonedas en Corea del Norte, con un total acumulado de 6.75 mil millones de dólares robados.

Aún más impactante, los ataques lanzados por Corea del Norte representaron el 76% de todos los incidentes de intrusión, alcanzando un récord histórico. Aunque los ataques confirmados disminuyeron en un 74%, la cantidad de fondos robados aumentó considerablemente. Esto indica que los hackers norcoreanos están realizando ataques más eficientes y dirigidos: redujeron la frecuencia de ataques, pero concentraron su potencia en objetivos de mayor valor.

Una red de lavado de dinero única: características operativas de los hackers norcoreanos

El éxito de los hackers norcoreanos en este “año de bonanza” se debe en gran parte a su patrón único de lavado de dinero y a su red de operaciones. Sus actividades de lavado difieren radicalmente de otros criminales cibernéticos.

Características del “segmento” en las actividades de lavado

El lavado de dinero por parte de hackers norcoreanos muestra un patrón claro de “segmentación”, con más del 60% de las transacciones concentradas en montos inferiores a 500,000 dólares. Esto contrasta completamente con la lógica operativa de otros hackers: en sus transferencias en cadena, más del 60% de los fondos se mueven en lotes en rangos superiores a 1 millón y hasta 10 millones de dólares.

Preferencias evidentes por ciertos servicios

En comparación con otros hackers, los hackers norcoreanos muestran patrones de preferencia marcados en el lavado de dinero:

• Transferencias de fondos en chino y servicios de garantía (+355% a más del 1000%): esta es la característica más destacada. Los hackers norcoreanos dependen en gran medida de servicios de garantía en chino y de una red de lavadores que operan con controles regulatorios débiles. Esta preferencia es mucho más pronunciada que en otros criminales.

• Servicios de puentes entre cadenas (+97%): dependen en gran medida de puentes entre cadenas para transferir activos entre diferentes blockchains, dificultando el rastreo.

• Servicios de mezclado (+100%): utilizan más servicios de mezclado para ocultar las trazas de los fondos.

• Servicios especializados (+356%): emplean estratégicamente servicios específicos como Huione para facilitar el lavado.

En contraste, los hackers norcoreanos evitan claramente canales de lavado utilizados por otros criminales: protocolos de préstamos (-80%), exchanges sin KYC (-75%), exchanges P2P (-64%), CEX (-25%) y DEX (-42%).

Circulación de fondos en 45 días: revelación del ciclo de lavado en varias etapas

El ingreso masivo de fondos robados a principios de 2025 proporcionó información valiosa a las autoridades. A través del análisis de actividades en cadena, los investigadores descubrieron que los hackers norcoreanos siguen una ruta estructurada y en varias etapas, que suele durar aproximadamente 45 días.

Primera etapa: segmentación inmediata (días 0-5)

Los primeros días tras el ataque, se observaron actividades anómalas muy activas:

• El flujo de fondos robados en protocolos DeFi aumentó un +370%, siendo el punto de entrada principal.
• El volumen de transacciones en servicios de mezclado creció entre un +135% y +150%, formando la primera capa de confusión.
• Esta fase representa la “primera acción” urgente, destinada a marcar una línea clara con el robo inicial.

Segunda etapa: integración preliminar (días 6-10)

Al comenzar la segunda semana, las estrategias de lavado comenzaron a dirigirse a servicios que ayudan a introducir fondos en ecosistemas más amplios:

• Exchanges con menos restricciones KYC (+37%) y CEX (+32%) comenzaron a recibir fondos.
• El lavado en la segunda capa de servicios de mezclado (+76%) continuó a menor intensidad.
• Puentes entre cadenas (como XMRt, +141%) ayudaron a dispersar y ocultar los fondos en diferentes blockchains.
• Es un período de transición clave, en el que los fondos empiezan a dirigirse a posibles canales de salida.

Tercera etapa: integración de cola larga (días 20-45)

La última fase muestra una tendencia clara hacia servicios que permiten finalmente convertir en moneda fiat u otros activos:

• Exchanges sin KYC (+82%) y servicios de garantía (como “patatas de garantía”, +87%) aumentaron notablemente su uso.
• Exchanges instantáneos (+61%) y plataformas en chino (como Huifeng, +45%) se convirtieron en los puntos finales de conversión.
• CEX (+50%) también aceptó fondos, indicando intentos de mezclar fondos con fondos legítimos.
• Plataformas con menor regulación, como redes de lavado en chino (+33%) y Grinex (+39%), perfeccionaron este patrón.

Este ciclo de lavado, que suele durar unos 45 días, proporciona información clave para las fuerzas del orden y los equipos de cumplimiento. Este patrón ha sido consistente durante años, lo que indica que los hackers norcoreanos enfrentan limitaciones operativas, posiblemente relacionadas con su acceso restringido a infraestructura financiera y la necesidad de coordinarse con intermediarios específicos.

La amenaza en aumento para usuarios individuales

En este “año de bonanza” también creció la preocupación por los ataques a carteras personales.

Incremento en el volumen de robos

En 2025, los incidentes de robo en carteras personales alcanzaron las 158,000, casi triplicando las 54,000 registradas en 2022. El número de víctimas aumentó de 40,000 en 2022 a al menos 80,000 en 2025. Este crecimiento probablemente se debe a una adopción más amplia de criptomonedas. Por ejemplo, en Solana, una de las cadenas con más carteras activas, los robos afectaron a aproximadamente 26,500 víctimas.

El monto robado por víctima disminuye

A pesar del aumento en incidentes y víctimas, en 2025 el monto total robado por cada víctima cayó de un pico de 1.5 mil millones de dólares en 2024 a 713 millones. Esto indica que los atacantes están apuntando a más usuarios, pero con cantidades robadas menores por víctima, un cambio importante.

El riesgo no está distribuido de manera uniforme

Las tasas de robo en Ethereum y Tron son las más altas (medido por delitos por cada 100,000 carteras). Aunque en plataformas como Base y Solana hay una base de usuarios grande, su tasa de victimización es menor. Esto muestra que el riesgo en las carteras personales dentro del ecosistema no es uniforme, y que factores como características del usuario, aplicaciones populares y la infraestructura criminal también influyen en la probabilidad de robo.

La seguridad en DeFi, una inesperada mejora

A pesar de que los hackers norcoreanos tuvieron un “año de bonanza” en 2025, también surgieron señales alentadoras en el ecosistema: la seguridad en el ámbito DeFi está mejorando.

Aumento en TVL de DeFi y pérdidas por ataques estables

Los datos muestran tres fases distintas:

• Primera fase (2020-2021): TVL de DeFi y pérdidas por ataques crecieron en paralelo.
• Segunda fase (2022-2023): ambas métricas disminuyeron en paralelo.
• Tercera fase (2024-2025): TVL se recupera, mientras las pérdidas por ataques permanecen estables.

Esta diferencia es especialmente notable. El TVL de DeFi ha subido significativamente desde su mínimo en 2023, pero las pérdidas por ataques de hackers no aumentaron en consecuencia. Aunque miles de millones de dólares regresaron a estos protocolos, los incidentes de hackeo en DeFi se mantienen en niveles bajos, lo que representa un cambio de gran importancia.

Dos factores explican esta diferencia. Primero, una mayor seguridad: los protocolos DeFi podrían estar implementando medidas de protección más efectivas que en 2020-2021. Segundo, un cambio en los objetivos: el aumento en robos en carteras personales y ataques a servicios centralizados indica que los atacantes están cambiando su atención a otros blancos.

Caso de éxito en defensa: el protocolo Venus

En la segunda mitad de 2025, el incidente en el protocolo Venus mostró cómo las mejoras en seguridad están dando resultados concretos.

Los atacantes aprovecharon una vulnerabilidad en un cliente de Zoom comprometido para obtener acceso al sistema y engañar a un usuario para que otorgara permisos de cuenta por valor de 13 millones de dólares. Esto podría haber sido catastrófico, pero Venus había activado un sistema de monitoreo de seguridad Hexagate un mes antes.

Este sistema detectó actividades sospechosas 18 horas antes del ataque y emitió alertas en cuanto se detectó una transacción maliciosa. En 20 minutos, Venus suspendió su protocolo, deteniendo cualquier movimiento de fondos. La respuesta posterior fue rápida y efectiva:

• En 5 horas, se completó una revisión de seguridad y se restauraron algunas funciones.
• En 7 horas, se forzó la liquidación de las carteras del atacante.
• En 12 horas, se recuperaron todos los fondos robados y se restauró el servicio.

Lo más destacado es que Venus aprobó una propuesta de gobernanza para congelar los 3 millones de dólares en activos que aún controlaba el atacante. El atacante no solo no obtuvo beneficios, sino que perdió fondos.

La evolución de las técnicas de los hackers norcoreanos y las amenazas futuras

El éxito de los hackers norcoreanos en 2025 no solo se debe al aumento en el monto robado, sino también a la continua evolución de sus métodos.

Desde infiltraciones internas hasta ingeniería social avanzada

Cada vez más, los hackers norcoreanos insertan personal de TI en los servicios de criptomonedas para obtener accesos privilegiados. Pero recientemente, un cambio radical en el patrón ha sido evidente: organizaciones relacionadas con Corea del Norte ya no solo solicitan empleos y se infiltran como empleados, sino que también se hacen pasar por reclutadores de empresas conocidas de Web3 y AI, planificando cuidadosamente procesos de reclutamiento falsos. Con esto, logran obtener credenciales de acceso, código fuente y permisos VPN o SSO de los empleados afectados.

En niveles directivos, emplean técnicas similares de ingeniería social, contactando a supuestos inversores estratégicos o compradores potenciales, usando reuniones de presentación y investigaciones falsas para explorar información sensible y posibles infraestructuras de alto valor. Esta evolución se basa en acciones previas de fraude a empleados de TI.

Ataques dirigidos a objetivos de alto valor

Entre 2022 y 2025, los ataques de hackers norcoreanos se concentran en los rangos de mayor valor, en lugar de distribuirse de manera uniforme. Este patrón indica que, cuando lanzan ataques, apuntan a grandes servicios para maximizar el impacto.

Ajuste estratégico en el ritmo de ataques

El 69% de las pérdidas totales por ataques en los primeros tres meses de 2025 provienen de los mayores incidentes, y la relación entre el ataque más grande y la mediana de todos los incidentes superó por primera vez las 1000 veces. El impacto del ataque a Bybit en su patrón anual muestra que, tras un ataque importante, los hackers reducen su ritmo de operación y se concentran en actividades de lavado de dinero.

Los nuevos desafíos en 2026

El “año de bonanza” de los hackers norcoreanos en 2025 revela la complejidad del panorama actual de seguridad en criptomonedas. Aunque la protección en DeFi mejora, y ejemplos como Venus muestran respuestas exitosas, el hecho de que hayan alcanzado un máximo histórico en fondos robados indica que el ecosistema sigue enfrentando amenazas severas.

Para la industria de las criptomonedas, esta evolución requiere fortalecer la vigilancia sobre objetivos de alto valor y mejorar la detección de patrones específicos de lavado norcoreanos. La preferencia continua por servicios de garantía en chino, puentes entre cadenas y montos específicos de transferencia ofrece oportunidades para detectar estas actividades, diferenciándolas de otros criminales y ayudando a los investigadores a identificar características en sus operaciones en cadena.

A medida que Corea del Norte continúa usando criptomonedas para financiar prioridades nacionales y evadir sanciones internacionales, la industria debe entender que su modus operandi difiere radicalmente del de otros criminales cibernéticos. El récord de 2025, con una reducción del 74% en ataques conocidos y un aumento sustancial en fondos robados, muestra que solo se ha visto la parte más visible de sus actividades.

El desafío clave en 2026 será detectar y detener estos ataques antes de que puedan realizar robos similares a los de Bybit. Esto requiere que la industria mejore la seguridad, monitoree continuamente y analice los patrones únicos de operación de los hackers norcoreanos, para fundamentar futuras estrategias de defensa.