## La hackería de Corea del Norte accede a datos y actualiza registros: el robo de criptomonedas en 2025 alcanza niveles históricos

La industria de las criptomonedas enfrentó en 2025 la amenaza constante de ciberataques por parte de Corea del Norte. Según una investigación de una empresa de análisis de cadenas, los hackers norcoreanos en ese año adoptaron una estrategia de realizar menos ataques pero de mayor impacto, logrando el mayor volumen de robo registrado hasta la fecha. Este cambio indica que los atacantes afinan sus técnicas para explotar vulnerabilidades con mayor precisión y emplean métodos de intrusión más sofisticados.

### Cantidad récord de robos: de la calidad a la cantidad

Desde enero hasta principios de diciembre de 2025, el total de fondos robados del ecosistema cripto superó los 3.400 millones de dólares, siendo el grupo de hackers vinculado a Corea del Norte responsable de la mayor parte. Los activos digitales sustraídos en ese período alcanzaron al menos 2.020 millones de dólares, un aumento del 51% respecto a 2024.

Lo que destaca es que, pese a que el número de ataques disminuyó, la cantidad de fondos robados aumentó significativamente. Esto sugiere un cambio en la táctica de los hackers norcoreanos. Antes intentaban múltiples intrusiones pequeñas, pero ahora se concentran en ataques selectivos a objetivos de alto valor. Como resultado, el total acumulado de robos por parte de Corea del Norte alcanzó los 6.750 millones de dólares, convirtiéndose en uno de los mayores en la historia de las criptomonedas.

Solo los tres mayores incidentes de 2025 representaron el 69% del total. La diferencia entre el mayor ataque individual y la pérdida promedio en hackeos se amplió hasta 1000 veces, superando incluso los picos del mercado alcista de 2021, evidenciando una disparidad sin precedentes.

### Evolución en las técnicas de ataque: de infiltraciones en personal de TI a fraudes a la alta dirección

Las metodologías de los hackers norcoreanos han evolucionado más allá de simples infiltraciones internas, adoptando técnicas de ingeniería social más avanzadas.

Originalmente, se infiltraban en empresas haciéndose pasar por personal de TI para obtener accesos privilegiados. Sin embargo, investigaciones recientes revelan un cambio radical en esta estrategia. Actualmente, los grupos se hacen pasar por reclutadores de grandes empresas de Web3 o IA, creando procesos de selección falsos. Cuando las víctimas avanzan a la fase de "entrevista técnica", los hackers solicitan credenciales de inicio de sesión, código fuente, acceso VPN y autenticación SSO. Una vez que obtienen esta información confidencial, pueden acceder a todo el sistema.

Una tendencia aún más peligrosa es la realización de ataques de ingeniería social dirigidos a la alta dirección. Se hacen pasar por inversores estratégicos o representantes de empresas adquirientes, y mediante reuniones bajo la apariencia de due diligence, intentan obtener información sobre sistemas y detalles de infraestructura crítica.

Estos patrones de ataque en constante evolución sugieren que los grupos norcoreanos no son solo criminales, sino organizaciones respaldadas por el Estado, con objetivos estratégicos en empresas clave.

### Patrones propios en el lavado de dinero: el ciclo secreto de 45 días

Los hackers norcoreanos muestran un patrón completamente diferente en el procesamiento de fondos robados. Analizando sus actividades, se ha detectado que el proceso desde el robo hasta la conversión final a moneda fiduciaria sigue un ciclo coherente de aproximadamente 45 días.

**Fase inicial (0-5 días tras el robo)**

En los primeros días tras el ataque, los fondos sustraídos experimentan un aumento del 370% en su entrada a protocolos DeFi. Al mismo tiempo, el uso de servicios de mixing se dispara entre un 135% y un 150%, formando una primera capa que dificulta el rastreo. En esta etapa, la prioridad es ocultar rápidamente las huellas del robo.

**Fase intermedia (6-10 días)**

Durante la dispersión de fondos en todo el ecosistema, se observa un incremento del 37-32% en transacciones en plataformas sin verificación y en exchanges centralizados (CEX). Además, se intensifica el uso de puentes entre cadenas para transferir fondos entre diferentes blockchains, complicando aún más el rastreo.

**Fase final (20-45 días)**

En esta etapa, los fondos ingresan en plataformas sin verificación, servicios de colateralización y redes de lavado en chino. Aquí se realiza la conversión final a moneda fiduciaria.

Los grupos norcoreanos prefieren especialmente los servicios de transferencia de fondos en chino y las instituciones de colateralización (que muestran aumentos del 355% al 1000% o más). Esto indica una estrecha relación con las redes financieras clandestinas en Asia Oriental. En contraste, el uso de protocolos DeFi de préstamos y plataformas P2P es mucho menor en comparación con otros hackers.

La coherencia de este patrón revela que Corea del Norte adopta un enfoque altamente organizado en el lavado de dinero, dependiendo de intermediarios específicos y jurisdicciones con regulaciones laxas.

### Aumento acelerado de víctimas en monederos personales: advertencias para los usuarios de criptomonedas

El robo a nivel individual en 2025 creció a un ritmo sin precedentes. Se registraron 158,000 incidentes, casi triplicando los 54,000 de 2022. El número de víctimas también se duplicó, pasando de 40,000 a al menos 80,000.

Este incremento coincide con la expansión del uso de criptomonedas, reflejando que más usuarios comunes poseen activos digitales. En particular, la cadena Solana reportó aproximadamente 26,500 víctimas, con un número de robos muy alto.

Lo interesante es que, aunque los incidentes aumentaron, el daño promedio por caso disminuyó. La suma total de pérdidas en 2024 fue de 1.5 mil millones de dólares, mientras que en 2025 se mantuvo en 713 millones. Esto indica que, si bien los atacantes amplían su objetivo a más usuarios, el monto robado por víctima se reduce en promedio.

Al analizar el riesgo por red, Ethereum y TRON presentan las tasas de robo más altas, con tasas de criminalidad por 100,000 monederos que destacan en comparación. En cambio, redes como Base y Solana, con grandes bases de usuarios, muestran tasas de daño relativamente bajas. Esto sugiere que no solo el número de usuarios influye, sino también el entorno de las aplicaciones, las características de los usuarios y la infraestructura criminal en cada red.

### Esperanza en el sector DeFi: efectos de la inversión en seguridad

Entre 2024 y 2025, las tendencias en DeFi rompieron con la lógica previa. Aunque el valor bloqueado (TVL) en DeFi se recuperó significativamente desde mínimos históricos, las pérdidas por hackeos permanecieron en niveles bajos y estables.

Históricamente, a mayor tamaño de los activos de riesgo, mayor era la pérdida en hackeos. Esto se vio en 2020-2021 y en la fase de declive de 2022-2023. Sin embargo, en la recuperación de 2024-2025, esta correlación dejó de ser válida.

Este cambio indica que las mejoras en seguridad implementadas por los protocolos DeFi están dando resultados efectivos. La supervisión reforzada, los sistemas de detección en tiempo real y los mecanismos de respuesta rápida están reduciendo la frecuencia de ataques.

**Estudio de caso: éxito en la defensa del protocolo Venus**

El incidente en Venus en septiembre de 2025 demostró la eficacia de los sistemas de seguridad mejorados. Los atacantes lograron acceder a través de una brecha en el cliente de Zoom y buscaron obtener autorización para transferir 13 millones de dólares en tokens.

No obstante, Venus ya había implementado un sistema de monitoreo de seguridad un mes antes. Este sistema detectó anomalías 18 horas antes del ataque y alertó en transacciones maliciosas. Gracias a ello, se lograron las siguientes acciones:

- **En menos de 20 minutos**: detener el protocolo y evitar la salida de fondos
- **En menos de 5 horas**: verificar la seguridad y restaurar parcialmente las funciones
- **En menos de 7 horas**: liquidar las posiciones del atacante
- **En menos de 12 horas**: recuperar todos los fondos robados y restablecer el servicio

Además, se logró congelar los 3 millones de dólares que el atacante aún poseía mediante gobernanza, impidiéndole obtener beneficios y obligándolo a perder su inversión.

Este caso demuestra que la seguridad en DeFi evoluciona hacia un ecosistema integrado de monitoreo, respuesta y gobernanza, más allá de simples medidas técnicas.

### El futuro y las medidas frente a la amenaza de acceso a datos

Los datos de 2025 revelan que la amenaza de Corea del Norte ha cambiado cualitativamente. Aunque el número de ataques disminuyó, su impacto aumentó y las técnicas se volvieron más pacientes y sofisticadas. La influencia de un gran incidente en febrero muestra que, tras un robo masivo, tienden a reducir el ritmo y centrarse en el lavado de dinero.

El sector cripto enfrenta múltiples desafíos: reforzar la vigilancia en objetivos de alto valor, aumentar la conciencia sobre las técnicas de lavado norcoreanas y reconocer patrones específicos como el ciclo de 45 días. Estas características permiten distinguir a estos grupos de otros criminales y mejorar la detección y respuesta.

Para Corea del Norte, que continúa usando el robo de criptomonedas como medio para evadir sanciones estatales, estas actividades representan solo la punta del iceberg. La mayor dificultad en 2026 será anticiparse y responder a futuros ataques a gran escala antes de que ocurran.