¡El robo de criptomonedas por parte de hackers norcoreanos aumenta un 51%! El ciclo de lavado de dinero dura 45 días, acumulando un total de 6,75 mil millones de dólares.

El número de ataques de hackers norcoreanos disminuye un 74%, pero el robo aumenta un 51%

En 2025, los hackers norcoreanos establecieron un récord en robos de criptomonedas, con un mínimo de 20.200 millones de dólares, lo que representa un aumento de 6.810 millones de dólares respecto a 2024, un crecimiento interanual del 51%. Este ha sido el año más grave registrado en casos de robo de criptomonedas por parte de Corea del Norte, con ataques que representan el 76% del monto total de fondos robados en todas las intrusiones, alcanzando un récord histórico. En general, la cantidad total acumulada de criptomonedas robadas por Corea del Norte se estima en al menos 6.750 millones de dólares.

Lo más sorprendente es que estas pérdidas récord provienen de una reducción significativa en los ataques conocidos. Los hackers norcoreanos robaron más criptomonedas con menos ataques, con una disminución de aproximadamente el 74% en la cantidad de ataques, pero con un aumento exponencial en el tamaño promedio de cada uno. Este cambio refleja el impacto del ataque masivo a Bybit en febrero de 2025, que causó pérdidas de hasta 1.500 millones de dólares, representando el 74% del total robado por Corea del Norte en ese año.

El 69% del total de pérdidas provino de los tres principales ataques, con valores extremos que alcanzaron 1,000 veces la mediana. En 2025, los fondos robados en el ataque de mayor escala fueron 1,000 veces mayores que en incidentes comunes, e incluso superaron el pico del mercado alcista de 2021. Esta brecha en aumento concentró mucho las pérdidas, haciendo que el impacto de un solo evento en el total anual fuera excepcionalmente significativo.

Los hackers norcoreanos cada vez más recurren a infiltrar personal de TI en los servicios de criptomonedas para obtener accesos privilegiados y realizar ataques importantes. Los incidentes récord de este año reflejan en parte que Corea del Norte depende más de infiltrar personal de TI en plataformas de trading, instituciones custodias y empresas Web3, lo que acelera el acceso inicial y el movimiento lateral, creando condiciones para robos a gran escala.

Sin embargo, un grupo de hackers vinculado a Corea del Norte ha revolucionado este patrón de trabajo con TI. Ya no solo solicitan puestos y se infiltran como empleados, sino que cada vez más se hacen pasar por reclutadores de empresas reconocidas de Web3 y AI, planificando cuidadosamente procesos de reclutamiento falsos, y usando la “selección técnica” como pretexto para obtener credenciales de acceso, código fuente y permisos VPN o SSO del empleador actual de las víctimas.

Proceso de lavado en 45 días en tres fases y preferencia por servicios en chino

El análisis de las actividades en la cadena de bloques relacionadas con incidentes de hackers atribuidos a Corea del Norte entre 2022 y 2025 muestra que los fondos robados siguen una ruta estructurada y en varias fases de lavado, que dura aproximadamente 45 días. Este patrón persistente durante años indica que los hackers norcoreanos enfrentan limitaciones operativas, posiblemente relacionadas con las vías limitadas para acceder a infraestructura financiera y la necesidad de coordinarse con intermediarios específicos.

Proceso de lavado en 45 días en tres fases de hackers norcoreanos

Días 0-5 (segmentación inmediata): Incremento del 370% en volumen de protocolos DeFi, servicios de mezclado aumentan entre 135-150%, diferenciando claramente entre actividades de emergencia y robo.

Días 6-10 (integración preliminar): Plataformas sin KYC aumentan un 37%, CEX un 32%, puentes entre cadenas un 141%, y fondos fluyen hacia canales de salida.

Días 20-45 (integración de cola larga): Plataformas sin KYC aumentan un 82%, servicios de garantía un 87%, plataformas en chino un 45%, completando el cambio a moneda fiat.

En comparación con otros hackers, los hackers norcoreanos muestran una preferencia marcada en ciertos aspectos del lavado. Tienden a favorecer transferencias de fondos en chino y servicios de garantía (incrementos del 355% a más del 1000%), siendo características distintivas que dependen en gran medida de servicios de garantía en chino y redes de lavado operadas por múltiples operadores con controles de cumplimiento débiles. El uso de puentes entre cadenas aumenta un 97%, reflejando una dependencia en estos para transferir activos entre diferentes blockchains y dificultar su rastreo. El uso de servicios de mezclado aumenta un 100%, intentando enmascarar los movimientos de fondos.

Por otro lado, los hackers norcoreanos evitan claramente usar protocolos de préstamo (-80%), plataformas sin KYC (-75%, sorprendentemente por debajo de otros hackers), plataformas P2P (-64%) y DEX (-42%). Estos patrones indican que sus operaciones están influenciadas por restricciones y objetivos diferentes a los de los cibercriminales no estatales. Utilizan en gran medida servicios de lavado en chino y operadores OTC, lo que sugiere una estrecha relación con actores ilícitos en la región de Asia-Pacífico.

Esta ventana de aproximadamente 45 días para el lavado de fondos proporciona información clave para las fuerzas del orden y los equipos de cumplimiento. Comprender este marco temporal y los patrones por fases puede ayudar a los exchanges y a las empresas de seguridad a implementar medidas de congelación y recuperación antes de que los fondos sean completamente blanqueados.