El robo de criptomonedas de 2.8 billones de dólares por parte de Corea del Norte financia sus ambiciones militares

Corea del Norte depende de grupos de hackers respaldados por el Estado, como Lazarus, para financiar su ejército, con criptomonedas robadas que representan casi un tercio de sus ingresos en moneda extranjera y proporcionan un flujo constante de dinero ilícito, inmune a las sanciones tradicionales.

En un informe del 22 de octubre, el Multilateral Sanctions Monitoring Team señaló que entre enero de 2024 y septiembre de 2025, actores norcoreanos orquestaron robos de criptomonedas por un total de al menos 2.8 billones de dólares, a través de grupos de hackers respaldados por el Estado y ciberactores que apuntan al sector de activos digitales.

La mayor parte del botín provino de incidentes importantes, incluido el exploit de Bybit en febrero de 2025, que por sí solo representó aproximadamente la mitad del total. El informe atribuye estos exploits a actores de amenazas norcoreanos ya conocidos, que utilizan métodos sofisticados de cadena de suministro, ingeniería social y compromiso de wallets.

El sofisticado arsenal de robo y evasión de Corea del Norte

Las operaciones cripto de Corea del Norte giran en torno a un ecosistema cerrado de grupos de hackers vinculados al Estado, entre los que destacan Lazarus, Kimsuky, TraderTraitor y Andariel, cuyas huellas aparecen en casi todas las principales brechas de activos digitales de los últimos dos años.

Según analistas de ciberseguridad, estos equipos operan bajo el Reconnaissance General Bureau, el principal brazo de inteligencia de Pyongyang, coordinando ataques que imitan la eficiencia del sector privado. Su principal innovación ha sido evitar los exchanges por completo, apuntando en cambio a los proveedores de custodia de activos digitales de terceros que los exchanges utilizan para almacenamiento seguro.

Al comprometer la infraestructura de empresas como Safe(Wallet), Ginco y Liminal Custody, los actores norcoreanos obtuvieron una llave maestra para sustraer fondos de clientes, incluidos Bybit, DMM Bitcoin de Japón y WazirX de India.

El ataque a DMM Bitcoin, que resultó en una pérdida de 308 millones de dólares y el eventual cierre del exchange, se inició meses antes cuando un actor de TraderTraitor, haciéndose pasar por reclutador en LinkedIn, engañó a un empleado de Ginco para que abriera un archivo malicioso disfrazado de prueba previa a una entrevista.

Otros grupos patrocinados por el Estado operan en conjunto con este esfuerzo principal. El colectivo CryptoCore, aunque menos sofisticado, realiza ingeniería social a gran escala, haciéndose pasar por reclutadores y ejecutivos de negocios para infiltrarse en los objetivos.

Mientras tanto, Citrine Sleet se ha hecho conocido por desplegar software de trading de criptomonedas troyanizado. En un incidente detallado de octubre de 2024, un actor de Citrine Sleet, haciéndose pasar por un excontratista de confianza en Telegram, entregó un archivo ZIP malicioso a un desarrollador de Radiant Capital, lo que llevó a un robo de 50 millones de dólares.

La ruta del lavado apunta de regreso a Corea del Norte

Una vez robados, los activos digitales ingresan a un complejo proceso de lavado de nueve pasos diseñado para ocultar su origen y convertirlos en moneda fiat utilizable. Los ciberactores de la RPDC intercambian sistemáticamente los tokens robados por criptomonedas establecidas como Ethereum o Bitcoin, y luego utilizan una serie de servicios de mezcla, incluidos Tornado Cash y Wasabi Wallet.

Luego aprovechan puentes cross-chain y agregadores como THORChain y LI.FI para saltar entre blockchains, convirtiendo a menudo los activos mezclados en USDT basado en Tron para prepararlos para el retiro en efectivo. Los investigadores dijeron que toda esta operación depende de una red de brokers over-the-counter, predominantemente en China, que aceptan el USDT lavado y depositan el equivalente en moneda fiat en cuentas bancarias controladas por la RPDC a través de tarjetas UnionPay chinas.

Esta campaña implacable de robo digital tiene consecuencias reales y graves en el mundo real. Los billones desviados del ecosistema cripto no desaparecen en un vacío burocrático. El informe del MSMT concluye que esta fuente de ingresos es fundamental para la adquisición de materiales y equipos para los programas ilícitos de armas de destrucción masiva y misiles balísticos de la RPDC.

Al proporcionar un enorme flujo de dinero ilícito que es inmune a las sanciones financieras tradicionales, la industria global de criptomonedas ha sido convertida en un arma, convirtiéndose en un financiador no regulado e involuntario de las ambiciones militares de Pyongyang. Los robos no son meros crímenes de lucro; son actos de política estatal, financiando una acumulación militar que amenaza la seguridad global.