Grupos de amenazas vinculados a Corea del Norte sustrajeron más de $2.000 millones en criptoactivos en los primeros nueve meses de 2025, de acuerdo con Elliptic. El acumulado histórico atribuido a estos actores supera ya los $6.000 millones. Informes de la ONU y organismos estadounidenses señalan que estos fondos podrían apoyar programas de armamento norcoreanos, reforzando la atención regulatoria y las prioridades de cumplimiento.
Escala y ritmo de las intrusiones en el mercado cripto
La cifra estimada casi triplica el total de 2024 y rebasa con holgura el récord previo de $1.350 millones alcanzado en 2022, año marcado por los ataques a Ronin Network y al puente Harmony. Elliptic subraya que se trata de una valoración conservadora: algunos incidentes permanecen sin detectar o carecen de evidencia suficiente para una atribución definitiva.
Incidentes clave de 2025: concentración de riesgo y expansión de objetivos
Bybit: el mayor golpe y la lección sobre custodias centralizadas
El episodio más grave del año fue la comprometida de Bybit en febrero de 2025, con salidas ilícitas por unos $1.460 millones. Aunque los detalles técnicos divulgados son limitados, el caso evidencia los riesgos de concentrar activos en custodias centralizadas y la necesidad de reforzar el control de claves privadas, segregación de funciones y workflows de retiro con múltiples aprobaciones.
Ataques a servicios, contratos y usuarios de alto patrimonio
Elliptic vincula a actores norcoreanos con alrededor de 30 incidentes en 2025, incluidos LND.fi, WOO X, Seedify y la bolsa taiwanesa BitoPro, donde Lazarus habría sustraído unos $11 millones. El patrón apunta a una diversificación de blancos: de exploits en smart contracts y puentes, hacia plataformas centralizadas y particulares con grandes saldos.
Tácticas en evolución: de exploits DeFi a ingeniería social
Los atacantes reducen la dependencia de vulnerabilidades raras en código y priorizan campañas de ingeniería social de alta precisión: phishing, ofertas laborales señuelo, inversión maliciosa en proyectos del portafolio y compromiso de estaciones de trabajo de empleados. Esta táctica incrementa el retorno operativo al explotar el factor humano y la superficie de riesgo interna de las organizaciones cripto.
Lavado de dinero cripto: multi‑mixers, cross‑chain y tokens a medida
El “layering” se ha sofisticado. Elliptic documenta cadenas multi‑etapa que combinan múltiples mezcladores, movilidad cross‑chain, uso de cadenas poco visibles, compras de utility tokens para camuflar flujos, abuso de “return addresses” y emisión de tokens personalizados dentro de redes de blanqueo. Tras sanciones a Blender, Tornado Cash y Sinbad por parte de OFAC, los actores fragmentan los fondos y entrelazan servicios legítimos con nichos opacos para dificultar la trazabilidad.
Implicaciones y controles recomendados para exchanges, DeFi e inversores
Para exchanges y custodios: MPC wallets, segregación de claves y roles, aprobaciones multifactor en retiros, allowlists, detección de anomalías por behavioral analytics, integración de on‑chain analytics y sanctions screening, además de ejercicios red team y planes de respuesta probados.
Para iniciativas DeFi: auditorías independientes de contratos, límites y monitoreo en bridges, “circuit breakers” con procesos claros de reactivación, y gestión de llaves administrativas bajo principio de mínimo privilegio y timelocks.
Para usuarios: hardware wallets y cold storage, verificación de dominios y contratos antes de firmar, evitar software no verificado, separar dispositivos de operación y custodia, y desconfiar de “reembolsos” o “airdrops” inesperados que puedan activar drainers.
El récord de 2025 confirma la capacidad operativa de los grupos norcoreanos y evidencia debilidades estructurales del ecosistema. La combinación de controles de claves robustos, alfabetización en ciberseguridad para personal e inversores, y monitoreo proactivo de patrones on‑chain, junto con la cooperación con autoridades, es hoy la defensa más efectiva. Actualizar los modelos de amenazas y compartir indicators of compromise de forma sistemática permitirá anticiparse a la evolución táctica de los atacantes. Fuentes: Elliptic; Panel de Expertos de la ONU sobre la RPDC; avisos y sanciones de OFAC del Departamento del Tesoro de EE. UU.
