Saltar al contenido principal

Dentro del atraco de $ 1.5 mil millones a Bybit: Cómo Corea del Norte llevó a cabo el mayor robo de criptomonedas de la historia

· 12 min de lectura
Dora Noda
Dora Noda
Software Engineer

El 21 de febrero de 2025, hackers norcoreanos robaron $ 1,5 mil millones en criptomonedas del exchange Bybit, con sede en Dubái, en aproximadamente 30 minutos. No fue solo el mayor atraco de criptomonedas de la historia; si Bybit fuera un banco, se clasificaría como el mayor robo bancario jamás registrado por el Guinness World Records.

El ataque no explotó un error en un contrato inteligente ni forzó una clave privada por fuerza bruta. En su lugar, los hackers comprometieron la computadora portátil de un solo desarrollador en un proveedor de billeteras de terceros, esperaron pacientemente durante semanas y atacaron cuando los empleados de Bybit estaban aprobando lo que parecía una transferencia interna rutinaria. Para cuando alguien se dio cuenta de que algo andaba mal, 500.000 ETH se habían desvanecido en un laberinto de billeteras controladas por el Lazarus Group de Corea del Norte.

Esta es la historia de cómo sucedió, por qué es importante y qué revela sobre el estado de la seguridad cripto en 2025.

El ataque: Una clase magistral de paciencia y precisión

El hackeo de Bybit no fue un robo improvisado. Fue una operación quirúrgica que se desarrolló durante semanas.

Fase 1: Comprometer al desarrollador

El 4 de febrero de 2025, un desarrollador de Safe{Wallet} — una plataforma de billetera multifirma ampliamente utilizada en la que Bybit confiaba para asegurar grandes transferencias — descargó lo que parecía ser un proyecto legítimo de Docker llamado "MC-Based-Stock-Invest-Simulator-main". Es probable que el archivo llegara a través de un ataque de ingeniería social, posiblemente disfrazado como una oportunidad laboral o una herramienta de inversión.

El contenedor de Docker malicioso estableció inmediatamente una conexión con un servidor controlado por el atacante. Desde allí, los hackers extrajeron tokens de sesión de AWS de la estación de trabajo del desarrollador — las credenciales temporales que otorgan acceso a la infraestructura en la nube de Safe{Wallet}.

Con estos tokens, los atacantes eludieron por completo la autenticación de múltiples factores. Ahora tenían las llaves del reino de Safe{Wallet}.

Fase 2: El código latente

En lugar de actuar de inmediato, los atacantes inyectaron un código JavaScript sutil en la interfaz web de Safe{Wallet}. Este código fue diseñado específicamente para Bybit; permanecería latente hasta detectar que un empleado de Bybit había abierto su cuenta de Safe y estaba a punto de autorizar una transacción.

La sofisticación aquí es notable. Toda la aplicación Safe{Wallet} funcionaba normalmente para todos los demás usuarios. Solo Bybit era el objetivo.

Fase 3: El atraco

El 21 de febrero de 2025, los empleados de Bybit iniciaron lo que debería haber sido una transferencia rutinaria desde una cold wallet (almacenamiento seguro fuera de línea) a una warm wallet (para trading activo). Esto requería múltiples firmas de personal autorizado, una práctica de seguridad estándar llamada multisig.

Cuando los firmantes abrieron Safe{Wallet} para aprobar la transacción, la interfaz mostraba lo que parecía ser la dirección de destino correcta. Pero el código malicioso ya había intercambiado el comando por uno diferente. Los empleados aprobaron sin saberlo una transacción que vació toda la cold wallet de Bybit.

En cuestión de minutos, 500.000 ETH — con un valor aproximado de $ 1,5 mil millones — fluyeron hacia direcciones controladas por los atacantes.

El exploit técnico: Delegatecall

La vulnerabilidad clave fue la función delegatecall de Ethereum, que permite que un contrato inteligente ejecute el código de otro contrato dentro de su propio contexto de almacenamiento. Los atacantes engañaron a los firmantes de Bybit para que cambiaran la lógica del contrato de su billetera a una versión maliciosa, otorgando efectivamente el control total a los hackers.

Esto no fue un error en Ethereum ni en el protocolo central de Safe{Wallet}. Fue un ataque a la capa humana: el momento en que empleados de confianza verifican y aprueban transacciones.

Lazarus Group de Corea del Norte: Los hackers más rentables del mundo

A las 24 horas del ataque, el investigador de blockchain ZachXBT presentó pruebas a Arkham Intelligence que conectaban definitivamente el hackeo con el Lazarus Group de Corea del Norte. El FBI confirmó esta atribución el 26 de febrero de 2025.

Lazarus Group — también conocido como TraderTraitor y APT38 — opera bajo la Oficina General de Reconocimiento de Corea del Norte. No es una banda criminal que busca beneficios para el enriquecimiento personal. Es una operación patrocinada por el estado cuyos ingresos financian los programas de armas nucleares y misiles balísticos de Corea del Norte.

Las cifras son asombrosas:

  • Solo en 2025: Los hackers norcoreanos robaron $ 2,02 mil millones en criptomonedas
  • La parte de Bybit: $ 1,5 mil millones (el 74% de la recaudación de Corea del Norte en 2025 de un solo ataque)
  • Desde 2017: Corea del Norte ha robado más de $ 6,75 mil millones en criptoactivos
  • 2025 frente a 2024: Aumento del 51% interanual en el valor robado

Corea del Norte representó el 59% de todas las criptomonedas robadas a nivel mundial en 2025 y el 76% de todos los compromisos de exchanges. Ningún otro actor de amenazas se le acerca.

La industrialización del robo de cripto

Lo que diferencia a Corea del Norte no es solo la escala, sino la sofisticación de su operación.

Ingeniería social sobre exploits técnicos

La mayoría de los principales hackeos de 2025 se perpetraron a través de la ingeniería social en lugar de vulnerabilidades técnicas. Esto representa un cambio fundamental. Los hackers ya no buscan principalmente errores en contratos inteligentes o debilidades criptográficas. Están apuntando a las personas.

Operativos del Lazarus Group se han infiltrado como trabajadores de TI dentro de empresas cripto. Se han hecho pasar por ejecutivos. Han enviado ofertas de trabajo que contienen malware a desarrolladores. El ataque a Bybit comenzó con un desarrollador descargando un simulador de comercio de acciones falso: un vector clásico de ingeniería social.

La Lavandería China

Robar criptomonedas es solo la mitad del desafío. Convertirlas en fondos utilizables sin ser capturado es igual de complejo.

En lugar de retirar el efectivo directamente, Corea del Norte ha subcontratado el lavado de dinero a lo que los investigadores llaman la "Lavandería China": una extensa red de banqueros clandestinos, brokers OTC e intermediarios de lavado basados en el comercio. Estos actores lavan activos robados a través de diferentes cadenas, jurisdicciones y rieles de pago.

Para el 20 de marzo de 2025 — menos de un mes después del hackeo de Bybit — el CEO Ben Zhou informó que los hackers ya habían convertido el 86.29 % del ETH robado a Bitcoin a través de múltiples billeteras intermediarias, exchanges descentralizados y puentes cross-chain. El ciclo de lavado de 45 días tras los grandes robos se ha convertido en un patrón predecible.

A pesar de estos esfuerzos, Zhou señaló que el 88.87 % de los activos robados seguían siendo rastreables. Pero "rastreable" no significa "recuperable". Los fondos fluyen a través de jurisdicciones que no tienen una relación de cooperación con las fuerzas del orden de los EE. UU. o internacionales.

Respuesta de Bybit: Gestión de Crisis Bajo Fuego

A los 30 minutos de descubrir la brecha, el CEO Ben Zhou tomó el mando y comenzó a proporcionar actualizaciones en tiempo real en X (anteriormente Twitter). Su mensaje fue contundente: "Bybit es solvente incluso si esta pérdida por el hackeo no se recupera; todos los activos de los clientes están respaldados 1 a 1, podemos cubrir la pérdida".

El exchange procesó más de 350,000 solicitudes de retiro en 12 horas, una señal para los usuarios de que, a pesar de la pérdida catastrófica, las operaciones continuarían normalmente.

Financiamiento de Emergencia

En un plazo de 72 horas, Bybit había repuesto sus reservas al asegurar 447,000 ETH a través de financiamiento de emergencia de socios como Galaxy Digital, FalconX y Wintermute. Bitget prestó 40,000 ETH para garantizar que los retiros continuaran sin interrupciones, un préstamo que Bybit reembolsó en tres días.

La empresa de ciberseguridad Hacken realizó una auditoría de prueba de reservas que confirmó que los principales activos de Bybit estaban respaldados por más del 100 % de colateral. La transparencia no tuvo precedentes para una crisis de esta magnitud.

El Programa de Recompensas

Zhou declaró la "guerra contra Lazarus" y lanzó un programa global de recompensas (bounty) que ofrecía hasta un 10 % de recompensa por información que condujera al congelamiento de activos. Para finales de año, Bybit había pagado $ 2.18 millones en USDT a colaboradores que ayudaron a rastrear o recuperar fondos.

El Veredicto del Mercado

Para finales de 2025, Bybit había superado los 80 millones de usuarios a nivel mundial, registró $ 7.1 mil millones en volumen de operaciones diarias y ocupó el quinto lugar entre los exchanges de criptomonedas spot. La respuesta a la crisis se había convertido en un caso de estudio sobre cómo sobrevivir a un hackeo catastrófico.

2025: El Año en que el Robo de Criptomonedas Alcanzó los $ 3.4 mil millones

El hackeo de Bybit dominó los titulares, pero fue parte de un patrón más amplio. El robo total de criptomonedas alcanzó los $ 3.4 mil millones en 2025, un nuevo récord y el tercer año consecutivo de aumentos.

Estadísticas clave:

  • 2023: $ 2 mil millones robados
  • 2024: $ 2.2 mil millones robados
  • 2025: $ 3.4 mil millones robados

La participación de Corea del Norte creció de aproximadamente la mitad a casi el 60 % de todos los robos de criptomonedas. La RPDC logró robos más grandes con menos incidentes, demostrando una eficiencia y sofisticación crecientes.

Lecciones Aprendidas: Dónde Falló la Seguridad

El hackeo de Bybit expuso vulnerabilidades críticas que se extienden mucho más allá de un solo exchange.

El Riesgo de Terceros es Existencial

Bybit no tuvo una falla de seguridad; la tuvo Safe{Wallet}. Pero Bybit sufrió las consecuencias.

La industria cripto ha construido cadenas de dependencia complejas donde los exchanges dependen de proveedores de billeteras, los proveedores de billeteras dependen de la infraestructura en la nube y la infraestructura en la nube depende de las estaciones de trabajo de los desarrolladores individuales. Un compromiso en cualquier punto de esta cadena puede desencadenar una cascada catastrófica.

El Almacenamiento en Frío No es Suficiente

La industria ha tratado durante mucho tiempo a las billeteras frías (cold wallets) como el estándar de oro de la seguridad. Pero los fondos de Bybit estaban en almacenamiento en frío cuando fueron robados. La vulnerabilidad estaba en el proceso de moverlos: el paso de aprobación humana que la multifirma (multisig) fue diseñada para proteger.

Cuando las transferencias se vuelven rutinarias, los firmantes desarrollan una falsa sensación de seguridad, tratando las aprobaciones como formalidades en lugar de decisiones de seguridad críticas. El ataque a Bybit explotó exactamente este patrón de comportamiento.

La UI es un Punto Único de Falla

La seguridad multisig asume que los firmantes pueden verificar lo que están aprobando. Pero si la interfaz que muestra los detalles de la transacción está comprometida, la verificación pierde su sentido. Los atacantes mostraron a los firmantes una cosa mientras ejecutaban otra.

Las simulaciones de pre-firma — que permiten a los empleados visualizar el destino real de una transacción antes de la aprobación — podrían haber evitado este ataque. También podrían haberlo hecho los retrasos para retiros grandes, otorgando tiempo para una revisión adicional.

La Ingeniería Social Supera a la Seguridad Técnica

Se puede tener la seguridad criptográfica más sofisticada del mundo, y un solo empleado que descargue el archivo incorrecto puede saltarse todo. El punto débil en la seguridad de las criptomonedas es cada vez más humano, no técnico.

Implicaciones Regulatorias y de la Industria

El hackeo de Bybit ya está remodelando el panorama regulatorio.

Se esperan requisitos obligatorios para:

  • Módulos de seguridad de hardware (HSMs) para la gestión de claves
  • Monitoreo de transacciones en tiempo real y detección de anomalías
  • Auditorías de seguridad periódicas realizadas por terceros
  • Marcos de AML mejorados y retrasos en las transacciones para transferencias grandes

La seguridad y el cumplimiento se están convirtiendo en umbrales para el acceso al mercado. Los proyectos que no puedan demostrar una sólida gestión de claves, diseño de permisos y marcos de seguridad creíbles se verán aislados de los socios bancarios y los usuarios institucionales.

Lo que esto significa para la industria

El hackeo de Bybit revela una verdad incómoda: el modelo de seguridad de las criptomonedas es tan fuerte como su eslabón operativo más débil.

La industria ha invertido fuertemente en seguridad criptográfica: pruebas de conocimiento cero, firmas de umbral y enclaves seguros. Pero la criptografía más sofisticada es irrelevante si un atacante puede engañar a un humano para que apruebe una transacción maliciosa.

Para los exchanges, el mensaje es claro: la innovación en seguridad debe extenderse más allá de la tecnología para abarcar los procesos operativos, la gestión de riesgos de terceros y la capacitación continua de los empleados. Las auditorías periódicas, el intercambio colaborativo de inteligencia sobre amenazas y la planificación de respuesta a incidentes ya no son opcionales.

Para los usuarios, la lección es igualmente cruda: incluso los exchanges más grandes con la seguridad más sofisticada pueden verse comprometidos. La autocustodia, las billeteras de hardware y el almacenamiento de activos distribuidos siguen siendo las estrategias a largo plazo más seguras — incluso si son menos convenientes.

Conclusión

El Lazarus Group de Corea del Norte ha industrializado el robo de criptomonedas. Han robado más de $ 6.75 mil millones desde 2017, y el 2025 marca su año más exitoso hasta la fecha. Solo el hackeo de Bybit — $ 1.5 mil millones en una sola operación — demuestra capacidades que despertarían la envidia de cualquier agencia de inteligencia.

La industria cripto se encuentra en una carrera armamentista con hackers patrocinados por el estado que tienen una paciencia ilimitada, capacidades técnicas sofisticadas y ningún temor a las consecuencias. El ataque a Bybit tuvo éxito no por un exploit novedoso, sino porque los atacantes entendieron que los humanos, y no el código, son el eslabón más débil.

Hasta que la industria trate la seguridad operativa con el mismo rigor que aplica a la seguridad criptográfica, estos ataques continuarán. La pregunta no es si ocurrirá otro hackeo de mil millones de dólares — es cuándo, y si el objetivo responderá de manera tan efectiva como lo hizo Bybit.

Este artículo es solo para fines educativos y no debe considerarse asesoramiento financiero. Realice siempre su propia investigación y priorice la seguridad al interactuar con exchanges y billeteras de criptomonedas.

Share on Twitter