Corea del Norte roba $6.000M en cripto: el 76% de las pérdidas de 2026 son atribuidas a Lazarus

La magnitud del robo de criptomonedas patrocinado por Estados ha alcanzado niveles sin precedentes. Los hackers norcoreanos son ahora responsables de más de tres cuartas partes de todas las pérdidas cripto en 2026. Según la firma de análisis blockchain TRM Labs, los actores vinculados a Corea del Norte han robado más de 6.000 millones de dólares en activos digitales desde 2017, y este año se perfila como el más devastador jamás registrado.

Dos grandes robos a principios de 2026 drenaron un total combinado de 577 millones de dólares, elevando las pérdidas atribuibles a Pyongyang a un asombroso 76% de todo lo robado en criptomonedas este año. Los ataques apuntaron tanto a exchanges centralizados como a protocolos de finanzas descentralizadas (DeFi), explotando vulnerabilidades en puentes entre cadenas y utilizando sofisticadas tácticas de ingeniería social para infiltrarse en equipos de desarrollo.

Abril de 2026 se convirtió en el peor mes para el hackeo cripto en número de incidentes, con múltiples ataques ocurriendo en rápida sucesión. Investigadores de seguridad de TRM Labs y otras firmas han rastreado la mayoría de estos incidentes hasta el grupo Lazarus y sus subgrupos afiliados, como BlueNoroff y APT38. Estos actores patrocinados por el Estado han perfeccionado sus métodos a lo largo de los años, pasando de simples hackeos a exchanges a complejos exploits multicadena que pueden vaciar grupos de liquidez en cuestión de minutos.

El modus operandi es consistente: los hackers norcoreanos se hacen pasar por reclutadores en LinkedIn y otras redes profesionales, ofreciendo lucrativos trabajos remotos a desarrolladores blockchain. Una vez que la víctima acepta, se le envía un PDF malicioso o un enlace a una prueba de codificación falsa que despliega spyware en su máquina. A partir de ahí, los atacantes obtienen acceso a claves privadas, frases semilla y credenciales internas de la red. En otros casos, los hackers han explotado vulnerabilidades de día cero en protocolos de puentes entre cadenas, que permiten mover activos entre diferentes blockchains pero a menudo carecen de auditorías de seguridad rigurosas.

Las implicaciones geopolíticas son profundas. La ONU y múltiples agencias de inteligencia nacionales han confirmado que Corea del Norte utiliza criptomonedas robadas para financiar sus programas de armas de destrucción masiva, incluido el desarrollo nuclear y de misiles balísticos. La cifra de 6.000 millones de dólares representa una parte significativa del PIB del país, lo que convierte el ciberrobo en una de las fuentes de ingresos más efectivas de Pyongyang.

Para la comunidad de ciberseguridad, el mensaje es claro: los protocolos DeFi y los exchanges de criptomonedas deben adoptar un modelo de seguridad de confianza cero. Esto implica implementar billeteras multifirma, módulos de seguridad hardware (HSM) y monitoreo continuo de comportamientos anómalos. El intercambio de inteligencia de amenazas en tiempo real entre exchanges y empresas de seguridad blockchain también es fundamental para detectar y desbaratar ataques antes de que los fondos se laven a través de mezcladores y exchanges descentralizados.

El informe de TRM Labs destaca que el tiempo promedio para detectar un hackeo vinculado a Corea del Norte ha disminuido, pero la cantidad robada por incidente sigue aumentando. Los atacantes son cada vez más rápidos liquidando los activos robados, a menudo convirtiéndolos a Bitcoin o Monero en cuestión de horas después de la brecha. Esto ejerce una enorme presión sobre los exchanges para mejorar sus protocolos de conocimiento del cliente (KYC) y antilavado de dinero (AML), especialmente para transacciones entre cadenas.

El hito de los 6.000 millones de dólares es un recordatorio contundente de que la seguridad blockchain no puede ser una ocurrencia tardía. A medida que las capacidades cibernéticas de Corea del Norte crecen, también deben hacerlo las defensas de todo el ecosistema cripto. La guerra en la blockchain ya no es un escenario hipotético: está sucediendo ahora, y lo que está en juego no es menos que la seguridad nacional.