El atraco de $ 3.4 mil millones en criptomonedas del Lazarus Group: Una nueva era de ciberdelincuencia patrocinada por el estado

31 de enero de 2026 · 11 min de lectura

Software Engineer

Las cifras son asombrosas: 3,4 mil millones de dólares robados de plataformas de criptomonedas en 2025, con una sola nación-estado responsable de casi dos tercios del botín. El Lazarus Group de Corea del Norte no solo batió récords: reescribió las reglas del ciber-crimen patrocinado por el estado, ejecutando menos ataques pero extrayendo un valor exponencialmente mayor. Al entrar en 2026, la industria de las criptomonedas se enfrenta a una verdad incómoda: los paradigmas de seguridad de los últimos cinco años están fundamentalmente rotos.

La llamada de alerta de los 3,4 mil millones de dólares

La firma de inteligencia blockchain Chainalysis publicó su informe anual sobre cripto-crimen en diciembre de 2025, confirmando lo que los conocedores de la industria temían. El robo total de criptomonedas alcanzó los 3,4 mil millones de dólares, con los hackers norcoreanos reclamando 2,02 mil millones de dólares — un aumento del 51 % con respecto al récord de 1,34 mil millones de dólares de 2024. Esto eleva el total histórico de robos de criptomonedas de la RPDC a aproximadamente 6,75 mil millones de dólares.

Lo que hace que el robo de 2025 sea algo sin precedentes no es solo la cifra en dólares. Es la eficiencia. Los hackers norcoreanos lograron este botín récord a través de un 74 % menos de ataques conocidos que en años anteriores. El Lazarus Group ha evolucionado de ser un actor de amenazas disperso a un instrumento de precisión de guerra financiera.

TRM Labs y Chainalysis verificaron de forma independiente estas cifras, y TRM señaló que el cripto-crimen se ha vuelto "más organizado y profesionalizado" que nunca. Los ataques son más rápidos, están mejor coordinados y son mucho más fáciles de escalar que en ciclos anteriores.

El atraco a Bybit: Una clase magistral en ataques a la cadena de suministro

El 21 de febrero de 2025, el mundo de las criptomonedas fue testigo del mayor robo individual de su historia. Los hackers drenaron aproximadamente 401.000 ETH — con un valor de 1,5 mil millones de dólares en ese momento — de Bybit, uno de los exchanges de criptomonedas más grandes del mundo.

El ataque no fue una brecha por fuerza bruta ni un exploit de contrato inteligente. Fue un magistral compromiso de la cadena de suministro. El Lazarus Group — operando bajo el alias "TraderTraitor" (también conocido como Jade Sleet y Slow Pisces) — se dirigió a un desarrollador en Safe{Wallet}, el popular proveedor de billeteras multifirma. Al inyectar código malicioso en la interfaz de usuario de la billetera, eludieron por completo las capas de seguridad tradicionales.

En un plazo de 11 días, los hackers habían lavado el 100 % de los fondos robados. El CEO de Bybit, Ben Zhou, reveló a principios de marzo que habían perdido el rastro de casi 300 millones de dólares. El FBI atribuyó oficialmente el ataque a Corea del Norte el 26 de febrero de 2025, pero para entonces, los fondos ya habían desaparecido en protocolos de mezclado y servicios de puentes.

Solo el hackeo de Bybit representó el 74 % del robo de criptomonedas de Corea del Norte en 2025 y demostró una evolución escalofriante en las tácticas. Como señaló la firma de seguridad Hacken, el Lazarus Group mostró "preferencias claras por servicios de lavado de dinero en idioma chino, servicios de puentes y protocolos de mezclado, con un ciclo de lavado de 45 días tras los grandes robos".

El manual de Lazarus: Del phishing a la infiltración profunda

Las operaciones cibernéticas de Corea del Norte han experimentado una transformación fundamental. Atrás quedaron los días de simples ataques de phishing y compromisos de billeteras calientes (hot wallets). El Lazarus Group ha desarrollado una estrategia múltiple que hace que la detección sea casi imposible.

La estrategia Wagemole

Quizás la táctica más insidiosa es lo que los investigadores llaman "Wagemole": incrustar trabajadores de TI encubiertos dentro de empresas de criptomonedas en todo el mundo. Bajo identidades falsas o a través de empresas fachada, estos operativos obtienen acceso legítimo a los sistemas corporativos, incluyendo firmas de criptomonedas, custodios y plataformas Web3.

Este enfoque permite a los hackers eludir por completo las defensas perimetrales. No están entrando a la fuerza; ya están dentro.

Explotación impulsada por IA

En 2025, los grupos patrocinados por el estado comenzaron a utilizar la inteligencia artificial para potenciar cada etapa de sus operaciones. La IA ahora escanea miles de contratos inteligentes en minutos, identifica código explotable y automatiza ataques multi-cadena. Lo que antes requería semanas de análisis manual, ahora toma horas.

El análisis de Coinpedia reveló que los hackers norcoreanos han redefinido el cripto-crimen a través de la integración de IA, haciendo que sus operaciones sean más escalables y difíciles de detectar que nunca.

Suplantación de ejecutivos

El cambio de exploits puramente técnicos a ataques de factor humano fue una tendencia definitoria de 2025. Las firmas de seguridad señalaron que "las pérdidas atípicas se debieron abrumadoramente a fallos en el control de acceso, no a nuevas matemáticas on-chain". Los hackers pasaron de frontends envenenados y trucos en la interfaz de usuario de multifirmas a la suplantación de ejecutivos y el robo de claves.

Más allá de Bybit: El panorama de los hackeos en 2025

Si bien Bybit dominó los titulares, las operaciones de Corea del Norte se extendieron mucho más allá de un solo objetivo:

DMM Bitcoin (Japón): 305 millones de dólares robados, lo que contribuyó al cierre eventual del exchange.
WazirX (India): 235 millones de dólares drenados del exchange de criptomonedas más grande de la India.
Upbit (Corea del Sur): 36 millones de dólares incautados mediante la explotación de la infraestructura de firma a finales de 2025.

Estos no fueron incidentes aislados: representaron una campaña coordinada dirigida a exchanges centralizados, plataformas de finanzas descentralizadas y proveedores de billeteras individuales en múltiples jurisdicciones.

Recuentos independientes identificaron más de 300 incidentes de seguridad importantes a lo largo del año, destacando vulnerabilidades sistémicas en todo el ecosistema de las criptomonedas.

La conexión Huione: la máquina de lavado de 4,000 millones de dólares de Camboya

En el lado del lavado de dinero, la Red de Control de Delitos Financieros del Tesoro de los EE. UU. (FinCEN) identificó un nodo crítico en las operaciones de Corea del Norte: el Grupo Huione, con sede en Camboya.

FinCEN descubrió que el Grupo Huione lavó al menos 4,000 millones de dólares en ganancias ilícitas entre agosto de 2021 y enero de 2025. La firma de blockchain Elliptic estima que la cifra real podría acercarse a los 11,000 millones de dólares.

La investigación del Tesoro reveló que el Grupo Huione procesó 37 millones de dólares vinculados directamente al Grupo Lazarus, incluidos 35 millones de dólares del hackeo de DMM Bitcoin. La empresa trabajó directamente con la Oficina General de Reconocimiento de Corea del Norte, la principal organización de inteligencia exterior de Pyongyang.

Lo que hizo que Huione fuera particularmente peligroso fue su completa falta de controles de cumplimiento. Ninguno de sus tres componentes de negocio — Huione Pay (banca), Huione Guarantee (depósito en garantía) y Huione Crypto (exchange) — había publicado políticas de AML / KYC.

La empresa con las conexiones de la familia gobernante Hun de Camboya, incluido el primo del primer ministro Hun Manet como accionista principal, complicaron los esfuerzos internacionales de aplicación de la ley hasta que EE. UU. actuó para cortar su acceso al sistema financiero estadounidense en mayo de 2025.

La respuesta regulatoria: MiCA, PoR y más allá

La escala de los robos de 2025 ha acelerado la acción regulatoria en todo el mundo.

Etapa 2 de MiCA en Europa

La Unión Europea aceleró la "Etapa 2" del reglamento Markets in Crypto-Assets (MiCA), que ahora exige auditorías trimestrales de proveedores de software de terceros para cualquier exchange que opere en la Eurozona. El vector de ataque a la cadena de suministro del hackeo de Bybit impulsó este requisito específico.

Mandatos de Proof-of-Reserves en EE. UU.

En los Estados Unidos, el enfoque se ha desplazado hacia requisitos obligatorios de Proof-of-Reserves (PoR) en tiempo real. La teoría: si los exchanges deben demostrar sus activos on-chain en tiempo real, las salidas sospechosas se vuelven visibles de inmediato.

Ley de Seguridad Financiera Digital de Corea del Sur

Tras el hackeo de Upbit, la Comisión de Servicios Financieros de Corea del Sur propuso la "Ley de Seguridad Financiera Digital" en diciembre de 2025. La ley impondría ratios obligatorios de almacenamiento en frío (cold storage), pruebas de penetración rutinarias y un monitoreo mejorado de actividades sospechosas en todos los exchanges de criptomonedas.

Lo que necesitan las defensas de 2026

La brecha de Bybit forzó un cambio fundamental en la forma en que los exchanges centralizados gestionan la seguridad. Los líderes de la industria han identificado varias actualizaciones críticas para 2026:

Migración a Multi-Party Computation (MPC)

La mayoría de las plataformas de primer nivel han migrado de los tradicionales multi-sigs de contratos inteligentes a la tecnología Multi-Party Computation. A diferencia de la configuración de Safe{Wallet} explotada en 2025, MPC divide las claves privadas en fragmentos (shards) que nunca existen en una sola ubicación, lo que hace que las técnicas de suplantación de interfaz de usuario (UI-spoofing) e "Ice Phishing" sean casi imposibles de ejecutar.

Estándares de Cold Storage

Los exchanges de custodia de buena reputación ahora implementan ratios de almacenamiento en frío del 90 - 95 %, manteniendo la gran mayoría de los fondos de los usuarios fuera de línea en módulos de seguridad de hardware (HSM). Las billeteras multifirma requieren que múltiples partes autorizadas aprueben transacciones grandes.

Auditoría de la cadena de suministro

La lección clave de 2025 es que la seguridad se extiende más allá de la blockchain a todo el stack de software. Los exchanges deben auditar sus relaciones con proveedores con el mismo rigor que aplican a su propio código. El hackeo de Bybit tuvo éxito debido a una infraestructura de terceros comprometida, no a vulnerabilidades del exchange.

Defensa del factor humano

La capacitación continua sobre intentos de phishing y prácticas seguras de contraseñas se ha vuelto obligatoria, ya que el error humano sigue siendo una de las causas principales de las brechas. Los expertos en seguridad recomiendan ejercicios periódicos de "red and blue team" para identificar debilidades en la gestión de procesos de seguridad.

Actualizaciones resistentes a la computación cuántica

Mirando más hacia el futuro, la criptografía post-cuántica (PQC) y el hardware asegurado cuánticamente están emergiendo como defensas críticas futuras. El crecimiento proyectado del mercado de billeteras frías (cold wallets) de un 15.2 % CAGR entre 2026 y 2033 refleja la confianza institucional en la evolución de la seguridad.

El camino por delante

La advertencia final de Chainalysis en su informe de 2025 debería resonar en toda la industria: "El desempeño récord del país en 2025 — logrado con un 74 por ciento menos de ataques conocidos — sugiere que podemos estar viendo solo la parte más visible de sus actividades. El desafío para 2026 será detectar y prevenir estas operaciones de alto impacto antes de que los actores afiliados a la RPDC inflijan otro incidente a la escala de Bybit".

Corea del Norte ha demostrado que los hackers patrocinados por el estado pueden superar las defensas de la industria cuando están motivados por la evasión de sanciones y el financiamiento de armas. El total acumulado de 6,750 millones de dólares no representa solo criptomonedas robadas: representa misiles, programas nucleares y la supervivencia del régimen.

Para la industria de las criptomonedas, 2026 debe ser el año de la transformación de la seguridad. No mejoras incrementales, sino un rediseño fundamental de cómo se almacenan, acceden y transfieren los activos. El Grupo Lazarus ha demostrado que las mejores prácticas de ayer son las vulnerabilidades de hoy.

Lo que está en juego nunca ha sido tan importante.

Asegurar la infraestructura de blockchain requiere una vigilancia constante y prácticas de seguridad líderes en la industria. BlockEden.xyz proporciona infraestructura de nodos de grado empresarial con una arquitectura de seguridad de múltiples capas, ayudando a los desarrolladores y empresas a construir sobre bases diseñadas para resistir las amenazas en evolución.

Share on Twitter

API Marketplace Featured

La llamada de alerta de los 3,4 mil millones de dólares​

El atraco a Bybit: Una clase magistral en ataques a la cadena de suministro​

El manual de Lazarus: Del phishing a la infiltración profunda​

La estrategia Wagemole​

Explotación impulsada por IA​

Suplantación de ejecutivos​

Más allá de Bybit: El panorama de los hackeos en 2025​

La conexión Huione: la máquina de lavado de 4,000 millones de dólares de Camboya​

La respuesta regulatoria: MiCA, PoR y más allá​

Etapa 2 de MiCA en Europa​

Mandatos de Proof-of-Reserves en EE. UU.​

Ley de Seguridad Financiera Digital de Corea del Sur​

Lo que necesitan las defensas de 2026​

Migración a Multi-Party Computation (MPC)​

Estándares de Cold Storage​

Auditoría de la cadena de suministro​

Defensa del factor humano​

Actualizaciones resistentes a la computación cuántica​

El camino por delante​