Los hackers norcoreanos robarán 2,02 mil millones de dólares en 2025, y un ciclo de lavado de dinero de 45 días revela sus patrones de operación

2025年, la industria de las criptomonedas enfrenta amenazas sin precedentes. Según el informe anual de ciberataques de la empresa de análisis de seguridad blockchain Chainalysis, aunque los grupos de hackers norcoreanos han reducido en un 74% los incidentes de ataques conocidos, han alcanzado un récord en la escala de sus saqueos. Este patrón de ataques “de pocos pero precisos” oculta un ciclo operativo evidente: el proceso completo, desde el robo hasta el lavado de dinero, dura en promedio unos 45 días, convirtiéndose en una pista clave para desmantelar el flujo de fondos norcoreano.

La industria de las criptomonedas pierde 3.400 millones de dólares en 2025, con un récord en la escala de ataques extremos

Entre enero y diciembre de 2025, la industria de las criptomonedas sufrió pérdidas por robo superiores a 3.400 millones de dólares. De ellas, un solo incidente representó un impacto sin precedentes: los tres mayores ataques de hackers concentraron el 69% de todas las pérdidas. Lo más impactante fue que un ataque en febrero a la plataforma Bybit causó una pérdida de 1.500 millones de dólares, representando la proporción absoluta de fondos robados en ese mes.

Las fuentes de estos fondos robados muestran características nuevas. Aunque los incidentes de robo en wallets personales aumentaron a 158,000 (un máximo desde 2022), debido a la magnitud del ataque a Bybit, la proporción de robos en wallets personales en el total de pérdidas disminuyó. Al mismo tiempo, los ataques a servicios centralizados se volvieron cada vez más destructivos: aunque estos incidentes no son frecuentes, en el primer trimestre de 2025, los ataques a servicios centralizados representaron el 88% del total trimestral de pérdidas.

Lo más alarmante es que la diferencia entre el mayor ataque y la mediana de todos los incidentes superó por primera vez las 1000 veces. En otras palabras, el robo más grande fue 1000 veces mayor que un incidente típico, una escala extrema que incluso supera la proporción vista en el pico del mercado alcista de 2021.

Solo el 76% de los ataques son obra de Corea del Norte, las pérdidas conocidas disminuyen pero alcanzan nuevos máximos

Detrás de todo esto, el grupo de hackers norcoreano sigue siendo la mayor amenaza para la industria de las criptomonedas. Este actor de nivel estatal robó al menos 2.02 mil millones de dólares en criptomonedas en 2025, un aumento del 51% respecto a los 1.339 millones de 2024, estableciendo un récord histórico. Desde 2022, el grupo de hackers norcoreano ha acumulado un total de 6.75 mil millones de dólares en fondos robados.

Lo desconcertante es que esta cifra récord de robos se logró en un contexto de reducción significativa de ataques conocidos. Los ataques de hackers norcoreanos representaron el 76% de todas las intrusiones (máximo histórico), pero la frecuencia de ataques individuales disminuyó. Esto indica un cambio estratégico fundamental: están priorizando la calidad sobre la cantidad.

Los hackers norcoreanos han desarrollado técnicas de infiltración en múltiples niveles. Inicialmente, infiltraban personal de TI en servicios de criptomonedas para obtener acceso privilegiado. En años recientes, esta técnica ha sido reemplazada por ataques de ingeniería social más sofisticados. Se hacen pasar por reclutadores de empresas conocidas de Web3 y AI, diseñando cuidadosamente procesos de reclutamiento falsos para engañar a las víctimas y obtener credenciales de acceso, código fuente, incluso VPN o permisos SSO.

En niveles ejecutivos, utilizan métodos más discretos: se hacen pasar por inversores estratégicos o compradores, y mediante presentaciones de inversión y investigaciones de diligencia debida falsas, buscan información sensible y acceso a infraestructura de alto valor. Esta estrategia de precisión explica por qué logran mayores robos con menos ataques: sus objetivos son grandes servicios y nodos críticos.

Desglose del lavado de dinero de Corea del Norte: estrategia de “división de archivos” y ciclo de lavado de 45 días

A diferencia de otros ciberdelincuentes, los hackers norcoreanos tienen un patrón estructurado y único de lavado de fondos. Su actividad de lavado presenta una marcada característica de “división de archivos”: más del 60% de las transacciones se concentran en transferencias por debajo de 500,000 dólares, en contraste con otros hackers que dividen el 60% de sus fondos en rangos de 1 a 10 millones de dólares.

En la elección de servicios de lavado, muestran una preferencia clara: dependen en gran medida de transferencias y servicios de garantía en chino (más del 355% y más del 1000% respecto a otros hackers), lo que indica una estrecha relación con redes ilícitas en Asia-Pacífico. Además, dependen mucho de servicios de puentes entre cadenas (97% más que otros), para transferir activos entre diferentes blockchains y dificultar su rastreo, y usan con frecuencia mixers (100% más), para ocultar el flujo de fondos. El uso de herramientas profesionales como Huione también supera en un 356% a otros actores.

Curiosamente, los hackers norcoreanos evitan usar protocolos de préstamo (menos del 80% respecto a otros), exchanges sin KYC (menos del 75%) y plataformas P2P (menos del 64%). Este patrón diferencial sugiere que su operación está sujeta a restricciones distintas a las de otros ciberdelincuentes: necesitan coordinarse con intermediarios específicos, y sus canales son relativamente fijos.

De los datos de monitoreo de 2022 a 2025, se observa que tras grandes robos, el flujo de fondos sigue un ciclo altamente estructurado, que dura en promedio unos 45 días. Este ciclo de lavado se divide en tres fases claramente definidas:

Primera fase: segmentación urgente (Día 0-5) — Los primeros días tras el robo, se detecta una actividad transaccional anómala. Los protocolos DeFi son los principales destinos de los fondos robados, con un aumento del 370% en volumen de transacciones; los mixers también aumentan entre un 135% y un 150%. La finalidad de esta fase es cortar rápidamente la conexión entre los fondos robados y su origen.

Segunda fase: integración preliminar (Día 6-10) — Tras la segunda semana, los fondos comienzan a fluir hacia servicios que facilitan su integración en ecosistemas amplios. Exchanges con menos restricciones KYC y plataformas centralizadas (CEX) empiezan a recibir fondos (aumentos del 37% y 32%), los mixers de segunda ronda siguen operando, y los puentes entre cadenas (como XMRt) ayudan a dispersar los fondos en múltiples cadenas (aumento del 141%). Es un momento clave en la transferencia hacia canales de salida final.

Tercera fase: integración de cola larga (Día 20-45) — La última etapa muestra una tendencia marcada hacia servicios que permiten convertir en moneda fiat. Exchanges sin KYC (aumentan un 82%) y servicios de garantía (aumentan un 87%) experimentan un gran incremento en uso; exchanges instantáneos (aumentan un 61%) y plataformas en chino como HuiWang (aumentan un 45%) se convierten en los puntos finales de conversión. Plataformas en jurisdicciones con menor regulación (aumentan un 33%) también participan, cerrando el ciclo completo de lavado.

Este ciclo de aproximadamente 45 días es una información valiosa para las agencias de cumplimiento y las fuerzas del orden. Los hackers norcoreanos suelen seguir este cronograma, lo que puede reflejar limitaciones en su acceso a infraestructura financiera y la necesidad de coordinarse con intermediarios específicos. Aunque algunos fondos robados entran en períodos de inactividad de meses o años, este patrón cíclico activo en el lavado de fondos proporciona una ventana de tiempo valiosa para el rastreo.

La caída en wallets personales: 158,000 incidentes de robo y los riesgos ecosistémicos detrás

En 2025, los incidentes de robo en wallets personales aumentaron a 158,000, casi triplicando las 54,000 de 2022. El número de víctimas pasó de 40,000 en 2022 a al menos 80,000 en 2025. Esta ola de ataques masivos contra usuarios individuales está estrechamente relacionada con la adopción generalizada de criptomonedas. Por ejemplo, en Solana, una blockchain conocida por su alta actividad en wallets personales, hay aproximadamente 26,500 víctimas.

Lo que resulta algo reconfortante es que, pese al aumento en incidentes y víctimas, las cantidades totales robadas en wallets personales en 2025 cayeron de un pico de 1.5 mil millones en 2024 a 713 millones de dólares. Esto indica que los atacantes están “tirando la red más amplia” pero con “anzuelo individual más pequeño”: atacan a más usuarios, pero las pérdidas por víctima son menores.

El riesgo de robo varía entre blockchains. Calculando la tasa de robo por cada 100,000 wallets activos, Ethereum y TRON muestran las tasas más altas, especialmente TRON, que, pese a tener una base de usuarios menor, presenta tasas de robo anormalmente elevadas. En contraste, plataformas como Base y Solana, con grandes bases de usuarios, muestran tasas de victimización menores. Esta diferencia sugiere que, además de factores técnicos, las características del usuario, el ecosistema de aplicaciones populares y la infraestructura criminal local influyen en las tasas de robo.

Reversión en la recuperación de fondos en DeFi y mejora en seguridad en 2025

Los datos de seguridad en DeFi en 2025 muestran una tendencia notablemente diferenciada, en contraste con la historia previa.

Los últimos cuatro años se pueden dividir en tres fases distintas: la expansión 2020-2021, con aumento sincronizado en TVL y pérdidas por ataques; la fase de estancamiento 2022-2023, con disminución en ambos indicadores; y un nuevo período de diferenciación 2024-2025, en el que el TVL se recupera significativamente desde los mínimos de 2023, pero las pérdidas por ataques permanecen en niveles bajos.

Siguiendo la lógica del ladrón de bancos Willie Sutton, “él roba bancos porque allí hay dinero”. Siguiendo esta intuición, la recuperación del TVL en DeFi debería traducirse en mayores pérdidas por ataques. Pero en 2024-2025, sucede lo contrario: miles de millones de dólares vuelven a estos protocolos, mientras las pérdidas por ataques permanecen bajas.

Este fenómeno puede explicarse por dos factores: primero, una mejora real en la seguridad — aunque el TVL crece, la tasa de ataques disminuye, indicando que los protocolos DeFi están implementando medidas de seguridad más efectivas que en etapas iniciales; y segundo, un cambio en los objetivos de ataque — el aumento simultáneo en robos en wallets personales y ataques a servicios centralizados indica que los ciberdelincuentes están desviando su atención de los protocolos DeFi hacia objetivos más fáciles.

Éxito de la autodefensa del protocolo Venus: detener una pérdida de 13 millones de dólares en 20 minutos

El incidente en Venus Protocol en septiembre de 2025 ilustra cómo las mejoras en las defensas de seguridad pueden revertir la situación. Los atacantes obtuvieron acceso al sistema mediante la infiltración de un cliente Zoom, y luego engañaron a un usuario para que otorgara permisos de delegación por valor de 13 millones de dólares. Parecía un desastre inminente.

Pero Venus había activado un mes antes la plataforma de monitoreo de seguridad Hexagate. Esta plataforma detectó actividades sospechosas 18 horas antes del ataque y emitió alertas en tiempo real durante la transacción maliciosa. En solo 20 minutos, Venus detuvo las operaciones del protocolo, bloqueando completamente la salida de fondos.

La respuesta fue aún más rápida: en 5 horas, se completó una revisión de seguridad y se restauraron parcialmente las funciones; en 7 horas, se forzó la liquidación de la wallet del atacante; en 12 horas, se recuperaron todos los fondos robados y se restableció el servicio. Lo más importante: Venus, mediante votación de gobernanza, congeló los 3 millones de dólares en activos que aún controlaba el atacante, impidiéndole obtener beneficios y provocándole pérdidas.

Este caso simboliza la evolución sustancial en la infraestructura de seguridad de DeFi. La monitorización activa, la capacidad de respuesta rápida y los mecanismos de gobernanza efectivos hacen que todo el ecosistema sea más flexible y resistente. Aunque los ataques continúan ocurriendo, la capacidad de detectar, responder e incluso revertir ataques ha cambiado radicalmente: de “un ataque exitoso suele significar pérdida definitiva” a “los ataques pueden ser detenidos o revertidos en tiempo real”.

Amenazas futuras y ciclos de respuesta

Los datos de 2025 dibujan un panorama complejo en el que Corea del Norte sigue siendo la mayor amenaza para la industria de las criptomonedas. La frecuencia de sus ataques ha disminuido, pero su capacidad destructiva ha aumentado significativamente, mostrando técnicas cada vez más sofisticadas y pacientes. El impacto del incidente en Bybit en el ciclo anual indica que, cuando logran un robo importante, reducen su ritmo de operación y se concentran en ciclos largos de lavado de fondos.

Para la industria, esta tendencia requiere una vigilancia constante sobre objetivos de alto valor y una mejora sustancial en la detección de patrones específicos de lavado norcoreano. La preferencia por ciertos tipos de servicios y montos de transferencia ofrece oportunidades para la detección, permitiendo distinguir las actividades de los hackers norcoreanos de otros delincuentes, ayudando a los investigadores a rastrear sus movimientos en la cadena.

El crecimiento récord de Corea del Norte en 2025 — logrando la mayor cantidad robada en la historia pese a una reducción del 74% en ataques conocidos — sugiere que lo que se ha visto puede ser solo la punta del iceberg. El desafío principal en 2026 será detectar y detener oportunamente ataques similares a los de Bybit antes de que ocurran. Comprender su ciclo de lavado de 45 días será clave para las agencias de cumplimiento y los equipos de seguridad.