Ciberataques norcoreanos: récord de US$2.000 millones robados en criptomonedas durante 2025

Los hackers norcoreanos alcanzaron un hito delictivo sin precedentes en 2025, apropiándose de al menos US$2.000 millones en activos digitales, según un análisis exhaustivo de Chainalysis. Esta cifra representa un incremento del 51% respecto al año anterior, elevando el botín acumulado de la República Popular Democrática de Corea a US$6.750 millones en los últimos años. El patrón revela una transformación estratégica: menos incidentes pero exponencialmente más destructivos.

La escalada delictiva: de ataque masivo a operaciones quirúrgicas

El panorama de la ciberdelincuencia experimentó un giro radical en 2025. Mientras que los ciberdelincuentes tradicionales dispersan sus esfuerzos en múltiples objetivos de menor valor, los actores vinculados a Corea del Norte concentran sus recursos en blancos de alto impacto. Los grupos norcoreanos fueron responsables del 76% de todas las violaciones a nivel de servicio durante 2025, el porcentaje más alto registrado hasta la fecha, según datos de Chainalysis.

Este enfoque selectivo contrasta marcadamente con años anteriores. Las compromisos de billeteras personales cayeron significativamente, representando solo el 20% del valor total robado en 2025 (una disminución desde el 44% de 2024). Aunque el número de incidentes contra usuarios individuales aumentó a 158.000, el monto promedio sustraído por víctima se desplomó un 52% a US$713 millones en total. Los datos sugieren una reorientación deliberada hacia objetivos corporativos y plataformas centralizadas, donde se pueden obtener ganancias masivas en operaciones únicas.

Patrones de lavado: la huella digital de Corea del Norte

El análisis forense revela patrones sofisticados de ocultamiento de fondos que distinguen a los actores norcoreanos de otros ciberdelincuentes. A diferencia de grupos criminales que realizan grandes transferencias directas, los hackers de Corea del Norte fragmentan meticulosamente sus botines en transacciones de menos de US$500.000, minimizando la detección automática.

Chainalysis identificó una infraestructura de lavado altamente especializada: los fondos fluyen consistentemente a través de mezcladores, puentes cripto y corredores operados en idioma chino. Esta dependencia de facilitadores regionales sugiere limitaciones estructurales y posibles acuerdos con intermediarios locales. Notablemente, evitan los protocolos de préstamos DeFi y los intercambios descentralizados preferidos por otros delincuentes, indicando restricciones de acceso a la infraestructura financiera global más amplia.

La ventana típica de conversión y retiro de fondos sigue un cronograma consistente de aproximadamente 45 días. Este ciclo predecible atraviesa fases distintas: desde la ofuscación inicial de la procedencia de los fondos hasta la integración final en economías locales. Andrew Fierman, jefe de inteligencia de seguridad nacional en Chainalysis, señaló que esta consistencia proporciona oportunidades valiosas para que los equipos de cumplimiento normativo e investigadores de aplicación de la ley intercepten los recursos antes de su conversión final a efectivo.

Inteligencia artificial: la nueva superpotencia criminal de Corea del Norte

Un hallazgo particularmente inquietante es el papel emergente de la inteligencia artificial en las operaciones de lavado de dinero norcoreanas. Según Fierman, “Corea del Norte facilita el blanqueo de sus robos de criptomonedas con una consistencia y fluidez indicativas del uso de inteligencia artificial”. La sofisticación operativa necesaria para ejecutar robo de volúmenes tan colosales y automatizar simultáneamente el lavado multiactivo sugiere sistemas inteligentes en funcionamiento.

El mecanismo de lavado integra mezcladores, puentes cripto y protocolos DeFi desde las primeras etapas, automatizando la conversión entre múltiples activos digitales. “Para ejecutar este tipo de eficacia, Corea del Norte necesita una gran red de lavado, junto con mecanismos optimizados que probablemente se manifiesten mediante uso de IA”, explicó Fierman. La capacidad de procesar miles de millones manteniendo operaciones furtivas sugiere que la automatización inteligente es central en la estrategia norcoreana.

El cambio en el panorama de ciberdelincuencia global

Los hallazgos apuntan a un entorno de amenazas cada vez más polarizado. De un lado, delincuentes tradicionales ejecutan robos de bajo valor distribuidos masivamente. Del otro lado, Corea del Norte realiza asaltos raros pero catastróficos contra plataformas de servicios criptográficos, ocupando firmemente el centro de estas operaciones de megaescala.

Esta tendencia tiene implicaciones profundas para la seguridad global de activos digitales. Mientras que la vigilancia y las defensas se fortalecen contra amenazas convencionales, la combinación de sofisticación técnica, recursos estatales y potencial de inteligencia artificial en manos de actores norcoreanos representa una frontera emergente en la guerra cibernética. A medida que 2025 se cierra, no hay indicios de que estos esfuerzos de ataque disminuyan, sugiriendo que la ciberdelincuencia vinculada a Corea del Norte seguirá siendo una amenaza preponderante en el ecosistema de criptomonedas durante el próximo período.