El informe anual más reciente de Chainalysis dibuja un panorama especialmente crítico para la seguridad en el ecosistema cripto. En 2024 se sustrajeron al menos 3.41 mil millones de dólares en criptomonedas a nivel global, y más de la mitad de esta cifra se atribuye a grupos de amenazas vinculados a Corea del Norte. Lejos de tratarse de ataques aislados, se observa una tendencia hacia operaciones sostenidas, altamente organizadas y orientadas tanto al beneficio económico como al financiamiento de programas estatales y a la evasión de sanciones internacionales.
Corea del Norte y el auge del robo de criptomonedas a escala global
Según Chainalysis, las estructuras asociadas a la República Popular Democrática de Corea serían responsables de al menos 2.02 mil millones de dólares del total robado en criptoactivos durante el último año. Se trata de una estimación conservadora, pero aun así implica un crecimiento de más del 50% respecto al año previo, cuando estas operaciones criminales habrían generado alrededor de 1.3 mil millones de dólares. La cifra acumulada en los últimos cinco años asciende ya a 6.75 mil millones de dólares.
Este nivel de actividad coloca a las APT norcoreanas (grupos de Amenaza Persistente Avanzada) como actores centrales del cibercrimen financiero global. A diferencia de bandas puramente oportunistas, estos grupos operan con una clara estrategia de largo plazo, combinando espionaje, intrusión en infraestructuras críticas y ataques directos a exchanges y empresas Web3.
El hackeo récord a Bybit y el papel de Lazarus Group
El incidente más grave del periodo analizado fue el hackeo a la criptobolsa Bybit en febrero, con un botín cercano a los 1.5 mil millones de dólares, lo que lo convierte en el mayor robo de criptomonedas conocido hasta la fecha. Este ataque se atribuye a la célula conocida como TraderTraitor (también identificada como Jade Sleet o Slow Pisces), considerada parte de la infraestructura de la ampliamente documentada Lazarus Group, históricamente vinculada a Corea del Norte.
Este único compromiso de seguridad concentró más del 70% del total de criptoactivos robados por actores norcoreanos durante el año, lo que evidencia el impacto que puede tener una falla puntual en la arquitectura de seguridad de un exchange de gran tamaño.
Tácticas avanzadas de las APT norcoreanas contra criptobolsas y Web3
Campaña Dream Job: ingeniería social dirigida a personal técnico
Una de las operaciones más representativas, conocida como Dream Job, ilustra la combinación de ingeniería social y malware dirigida a perfiles altamente cualificados. Los atacantes contactan a profesionales a través de LinkedIn, WhatsApp y otros canales, haciéndose pasar por reclutadores de grandes empresas tecnológicas, de defensa o del sector aeroespacial. Tras generar confianza, envían supuestas pruebas técnicas o documentación que incluye código malicioso de familias como BURNBOOK, MISTPEN o BADCALL.
Una vez ejecutado el malware, los atacantes obtienen acceso a estaciones de trabajo y redes internas. Esto no solo permite filtrar información sensible (por ejemplo, documentación de sistemas de custodia de claves o arquitecturas de smart contracts), sino también preparar el terreno para futuras intrusiones orientadas al robo directo de criptoactivos.
Wagemole: infiltración laboral de desarrolladores norcoreanos
El segundo vector clave, denominado Wagemole, se basa en el infiltrado laboral de desarrolladores y administradores de sistemas norcoreanos en compañías extranjeras, incluidas exchanges y startups Web3. Para ello recurren a identidades falsas, documentos manipulados y empresas pantalla como DredSoftLabs o Metamint Studio, que actúan como tapadera.
Una vez contratados como empleados remotos o proveedores, estos perfiles pueden llegar a obtener accesos privilegiados a carteras calientes, sistemas de gestión de claves (KMS), paneles de administración y herramientas internas. Chainalysis advierte de que el incremento de robos en 2025 podría estar directamente vinculado a la expansión de esta táctica de insider threat encubierta.
Lavado de criptomonedas: puentes cross-chain, mixers y servicios OTC chinos
Tras el robo, la prioridad pasa a ser el blanqueo de capitales y la ocultación del origen de los fondos. Las APT norcoreanas combinan varios mecanismos: puentes cross-chain para mover activos entre distintas blockchains, mixers o mezcladores de criptomonedas para ofuscar el trazado de las transacciones, y servicios OTC (over-the-counter) en Asia que facilitan la conversión a activos más líquidos o a moneda fiduciaria.
El informe resalta el papel de determinados servicios financieros chinos y plataformas como Huione. El proceso suele dividirse en varias fases: fragmentación de los fondos, encadenamiento de cientos de transacciones y uso de múltiples intermediarios. El ciclo completo de lavado se extiende, de media, unos 45 días, durante los cuales los activos se mueven de forma intensiva entre direcciones y servicios, complicando notablemente su seguimiento incluso para analistas especializados.
Impacto en exchanges y empresas Web3: prioridades de ciberseguridad
El escenario descrito por Chainalysis muestra que las amenazas para la industria cripto han pasado de explotar fallos técnicos puntuales a articular operaciones de largo recorrido, donde convergen ingeniería social, acceso interno y sofisticadas redes de lavado. Para exchanges de criptomonedas, protocolos DeFi y proyectos Web3, esto implica reforzar no solo la tecnología, sino también los procesos de gestión de personal y proveedores.
Entre las medidas prioritarias destacan: verificar de forma exhaustiva la identidad y el historial de empleados remotos y contratistas; aplicar segmentación estricta de la infraestructura y principio de mínimo privilegio en accesos a claves y wallets; desplegar monitorización continua de actividad anómala en sistemas de custodia; e integrar herramientas de análisis blockchain en tiempo real para detectar patrones de blanqueo asociados a clusters conocidos de Corea del Norte.
La evidencia acumulada indica que los ataques a exchanges y servicios Web3 seguirán siendo una fuente clave de financiación para grupos patrocinados por Estados. Para reducir este riesgo, es esencial que las organizaciones inviertan en formación contra la ingeniería social, establezcan procesos de respuesta a incidentes con simulacros periódicos y colaboren estrechamente con firmas de análisis blockchain y organismos internacionales. Adoptar una estrategia de “zero trust” tanto en el plano técnico como en el humano se está convirtiendo en un requisito básico para operar con seguridad en el ecosistema de las criptomonedas.
