Corea del Norte expande las operaciones de robo de cripto de la RPDC mientras se roban un récord de $2.02 mil millones en 2025

La creciente adopción de blockchain y el aumento de los precios de los activos digitales han coincidido con una fuerte escalada en el robo de cripto de RPDC, remodelando el riesgo global en servicios centralizados, DeFi y billeteras personales.

Más de $3.4 mil millones robados en 2025 mientras el robo de cripto cambia

Según un nuevo informe de Chainalysis, el sector de criptomonedas vio más de $3.4 mil millones robados entre enero y principios de diciembre de 2025, con la brecha de Bybit en febrero siendo responsable por sí sola de $1.5 mil millones. Sin embargo, detrás de esta cifra principal, la estructura del crimen cripto ha cambiado notablemente en solo tres años.

Además, las vulneraciones de billeteras personales han aumentado como parte del robo total. Pasaron del 7.3% del valor robado en 2022 al 44% en 2024. En 2025, habrían representado el 37% de las pérdidas totales si la vulneración de Bybit no hubiera distorsionado tanto los datos.

Los servicios centralizados, a pesar de contar con recursos profundos y equipos de seguridad profesionales, continúan sufriendo pérdidas cada vez mayores impulsadas por vulneraciones de claves privadas. Si bien estos incidentes ocurren con poca frecuencia, siguen siendo devastadores. En el Q1 de 2025, representaron el 88% de todas las pérdidas, subrayando el riesgo sistémico creado por puntos únicos de falla.

Dicho esto, la persistencia de altos volúmenes de robo muestra que a pesar de mejores prácticas en algunos segmentos, los atacantes aún pueden explotar debilidades en múltiples vectores y plataformas.

Mega-hacks atípicos dominan el robo de cripto

El robo de cripto siempre se ha inclinado hacia un puñado de brechas desproporcionadas, pero 2025 estableció un nuevo extremo. Por primera vez, la relación entre el hack más grande y el incidente medio superó 1,000x, basándose en el valor en dólares estadounidenses de los fondos en el momento del robo.

Como resultado, los tres principales hacks en 2025 representaron el 69% de todas las pérdidas de servicios. Mientras que los recuentos de incidentes y las pérdidas medias tienden a moverse con los precios de los activos, la escala de valores atípicos individuales está aumentando aún más rápido. Este riesgo de concentración significa que una sola vulneración ahora puede remodelar las estadísticas de pérdidas anuales de toda la industria.

Corea del Norte lidera el panorama global de robo de cripto

La República Popular Democrática de Corea (RPDC) sigue siendo el actor de estado-nación más consecuente en el crimen de activos digitales. En 2025, los hackers norcoreanos robaron al menos $2.02 mil millones en criptomonedas, un aumento de $681 millones sobre 2024 y un aumento interanual del 51% en el valor tomado.

Estas operaciones hicieron de 2025 el peor año registrado para el robo vinculado a RPDC por valor. Además, los ataques de RPDC representaron un récord del 76% de todas las vulneraciones de servicios, elevando el total acumulado de límite inferior robado por actores vinculados a Pyongyang a $6.75 mil millones. Notablemente, este botín récord se logró a pesar de una reducción pronunciada evaluada en incidentes confirmados.

Los operadores norcoreanos explotan cada vez más uno de sus vectores principales: insertar trabajadores de TI dentro de exchanges, custodios y compañías web3.

Una vez dentro, estos trabajadores pueden cultivar acceso privilegiado, facilitar el movimiento lateral y finalmente orquestar robos a gran escala. El ataque de Bybit en febrero de 2025 probablemente amplificó el impacto de este modelo de infiltración.

Sin embargo, los grupos vinculados a RPDC también han adaptado sus tácticas de ingeniería social. En lugar de simplemente solicitar empleos, ahora frecuentemente se hacen pasar por reclutadores de prominentes empresas web3 y de IA, organizando elaborados procesos de contratación falsos. Estos a menudo terminan con "pruebas técnicas" que engañan a los objetivos para que entreguen credenciales, código fuente o acceso VPN y SSO a sus empleadores actuales.

A nivel ejecutivo, campañas similares de ingeniería social presentan acercamientos falsos de supuestos inversores estratégicos o adquirentes.

Se utilizan reuniones de presentación y procesos de diligencia debida falsos para sondear detalles sensibles del sistema y mapear rutas de acceso a infraestructura de alto valor. Esta evolución se basa directamente en esquemas anteriores de fraude de trabajadores de TI y destaca un enfoque más estricto en negocios de IA y blockchain estratégicamente importantes.

A lo largo de 2022–2025, los hacks atribuidos a RPDC ocupan consistentemente las bandas de valor más altas, mientras que los actores no estatales muestran distribuciones más normales en los tamaños de incidentes. Ese patrón indica que cuando Corea del Norte ataca, prefiere grandes servicios centralizados y busca el máximo impacto financiero y político.

Una característica llamativa de 2025 es que este total récord se logró con muchas menos operaciones conocidas.

La enorme brecha de Bybit parece haber permitido a los grupos vinculados a RPDC ejecutar un pequeño número de ataques extremadamente lucrativos en lugar de un mayor volumen de vulneraciones de tamaño medio.

Patrones distintivos de lavado de criptomonedas de RPDC

El flujo sin precedentes de activos robados a principios de 2025 proporcionó una visibilidad inusualmente clara sobre cómo los actores vinculados a Pyongyang mueven fondos a escala. Sus patrones de lavado de criptomonedas son significativamente diferentes de los de otros grupos criminales y continúan evolucionando con el tiempo.

Las salidas de RPDC muestran una estructura de segmentación distintiva. Ligeramente más del 60% del volumen viaja en transferencias por debajo de $500,000, mientras que otros actores de fondos robados envían más del 60% de sus flujos en cadena en tramos entre $1 millón y $10 millones+.

A pesar de robar típicamente totales más grandes, los grupos de RPDC dividen los pagos en segmentos más pequeños, sugiriendo un intento deliberado de evadir la detección a través de una estructuración más sofisticada.

Además, los actores de RPDC favorecen consistentemente puntos de contacto específicos de lavado.

Dependen en gran medida de servicios de movimiento de dinero y garantía en idioma chino, a menudo operando a través de redes vagamente conectadas de lavadores profesionales cuyos estándares de cumplimiento pueden ser débiles. También hacen un uso extensivo de servicios de puentes entre cadenas y mezcladores, junto con proveedores especializados como Huione, para aumentar la ofuscación y la complejidad jurisdiccional.

Por el contrario, muchos otros grupos criminales prefieren protocolos de préstamos, exchanges sin KYC, plataformas P2P y exchanges descentralizados para liquidez y seudónimo. Las entidades de RPDC muestran una integración limitada con estas áreas de DeFi, subrayando que sus restricciones y objetivos difieren de los de los cibercriminales típicos motivados financieramente.

Estas preferencias indican que las redes de RPDC están estrechamente vinculadas con operadores ilícitos en toda la región de Asia-Pacífico, especialmente en canales con base en China que proporcionan acceso indirecto al sistema financiero global. Esto coincide con la historia más amplia de Pyongyang de usar intermediarios chinos para eludir sanciones y mover valor al extranjero.

El ciclo de lavado de 45 días después del robo de cripto de RPDC

El análisis en cadena de los robos vinculados a RPDC entre 2022 y 2025 revela un ciclo de lavado relativamente estable de múltiples olas que dura alrededor de 45 días. Si bien no todas las operaciones siguen esta línea de tiempo, aparece repetidamente cuando los fondos robados se mueven activamente.

La Ola 1, que abarca los días 0 a 5, se enfoca en la estratificación inmediata. Los protocolos DeFi ven picos intensos en flujos de fondos robados como puntos de entrada iniciales, mientras que los servicios de mezcla registran grandes saltos de volumen para crear la primera capa de ofuscación. Esta ráfaga de movimiento está diseñada para alejar los fondos de direcciones de origen fácilmente identificables.

La Ola 2, que cubre los días 6 a 10, marca el comienzo de la integración en el ecosistema más amplio. Los exchanges con controles KYC limitados, algunas plataformas centralizadas y mezcladores secundarios comienzan a recibir flujos, a menudo facilitados por puentes entre cadenas que fragmentan y complican los rastros de transacciones. Esta fase es crítica, ya que los fondos hacen la transición hacia posibles salidas.

La Ola 3, que va de los días 20 a 45, presenta la larga cola de integración. Los exchanges sin KYC, servicios de intercambio instantáneo y servicios de lavado en idioma chino emergen como puntos finales principales. Los exchanges centralizados también reciben cada vez más depósitos, reflejando esfuerzos para mezclar ganancias ilícitas con flujos comerciales legítimos, a menudo a través de operadores en jurisdicciones menos reguladas.

Esta amplia ventana de 45 días proporciona inteligencia valiosa para las fuerzas del orden y los equipos de cumplimiento que buscan interrumpir los flujos en tiempo real. Sin embargo, los analistas señalan puntos ciegos importantes: transferencias de claves privadas, ciertos acuerdos OTC de cripto por fiat, o arreglos completamente fuera de la cadena pueden permanecer invisibles a menos que se combinen con inteligencia adicional.

Las vulneraciones de billeteras personales aumentan en volumen

Junto con las brechas de servicios de alto perfil, los ataques a individuos se han intensificado bruscamente. Las estimaciones de límite inferior muestran que las vulneraciones de billeteras personales representaron alrededor del 20% del valor total robado en 2025, por debajo del 44% en 2024, pero aún reflejando daños a gran escala.

Los recuentos de incidentes casi se triplicaron de 54,000 en 2022 a 158,000 en 2025. Durante el mismo período, el número de víctimas únicas se duplicó de aproximadamente 40,000 a al menos 80,000. Estos aumentos probablemente reflejan una adopción de usuario más amplia de activos autocustodiados. Por ejemplo, Solana, una de las cadenas con las billeteras personales más activas, registró alrededor de 26,500 usuarios afectados, mucho más que otras redes.

Sin embargo, el valor total en dólares perdido por individuos cayó de $1.5 mil millones en 2024 a $713 millones en 2025. Esto sugiere que los atacantes están distribuyendo esfuerzos entre muchas más víctimas mientras extraen sumas más pequeñas por cuenta, potencialmente para reducir el riesgo de detección y explotar a usuarios menos sofisticados.

Las métricas de crimen a nivel de red iluminan qué cadenas presentan actualmente el mayor riesgo para los usuarios. En 2025, al medir el robo por cada 100,000 billeteras, Ethereum y Tron muestran las tasas de crimen más altas. La vasta escala de Ethereum combina altos recuentos de incidentes con riesgo elevado por billetera, mientras que Tron muestra una tasa de robo relativamente alta a pesar de una base activa más pequeña. Por el contrario, Base y Solana muestran tasas más bajas aunque sus comunidades de usuarios son considerables.

Estas diferencias indican que las vulneraciones de billeteras personales no se distribuyen uniformemente en el ecosistema. Factores como la demografía de usuarios, tipos de aplicaciones dominantes, infraestructura criminal local y niveles de educación probablemente influyen en dónde los estafadores y operadores de malware enfocan sus esfuerzos.

Los hacks de DeFi divergen de las tendencias del valor total bloqueado

El sector de finanzas descentralizadas exhibe una divergencia notable entre el crecimiento del mercado y los resultados de seguridad. Los datos de 2020 a 2025 confirman tres fases claras en la relación entre el valor total bloqueado (TVL) de DeFi y las pérdidas relacionadas con hacks.

En la Fase 1, de 2020 a 2021, el TVL y las pérdidas aumentaron en conjunto a medida que el auge temprano de DeFi atrajo tanto capital como atacantes sofisticados. La Fase 2, que cubre 2022 a 2023, vio que tanto el TVL como las pérdidas retrocedieran a medida que los mercados se enfriaban. Sin embargo, la Fase 3, que abarca 2024 y 2025, marca una ruptura estructural: el TVL se ha recuperado de los mínimos de 2023, pero los volúmenes de hackeo permanecen comparativamente moderados.

Esta divergencia implica que las mejoras de seguridad de DeFi están comenzando a tener un efecto medible. Además, el aumento simultáneo de ataques a billeteras personales y hacks de exchanges centralizados sugiere una sustitución de objetivos, con actores de amenazas desplazando recursos hacia áreas percibidas como más fáciles de comprometer.

Caso de estudio: Venus Protocol destaca el progreso defensivo

El incidente del Protocolo Venus en septiembre de 2025 subraya cómo las defensas en capas pueden cambiar significativamente los resultados. Los atacantes usaron un cliente de Zoom comprometido para obtener un punto de apoyo y manipularon a un usuario para que otorgara control delegado sobre una cuenta que contenía $13 millones en activos.

Bajo condiciones anteriores de DeFi, tal acceso podría haber resultado en pérdidas irreversibles. Sin embargo, Venus había integrado una plataforma de monitoreo de riesgos en tiempo real solo un mes antes. Esa plataforma marcó actividad sospechosa aproximadamente 18 horas antes del ataque y emitió otra alerta cuando se envió la transacción maliciosa.

En 20 minutos, Venus pausó su protocolo, deteniendo los movimientos de fondos. La funcionalidad parcial regresó después de alrededor de 5 horas, y en 7 horas el protocolo liquidó forzosamente la billetera del atacante. Para la marca de 12 horas, todos los fondos robados habían sido recuperados y las operaciones normales se reanudaron.

En un paso adicional, la gobernanza de Venus aprobó una propuesta para congelar aproximadamente $3 millones en activos aún bajo el control del atacante. El adversario finalmente no logró obtener ganancias y en cambio incurrió en pérdidas netas, mostrando el creciente poder de la gobernanza en cadena, el monitoreo y los marcos de respuesta a incidentes.

Dicho esto, este caso no debe generar complacencia. Demuestra lo que es posible cuando los protocolos invierten temprano en monitoreo y manuales ensayados, pero muchas plataformas DeFi aún carecen de capacidades comparables o planes de contingencia claros.

Implicaciones para 2026 y el futuro entorno de amenazas

Los datos de 2025 retratan un ecosistema de RPDC altamente adaptativo, en el que menos operaciones aún pueden entregar resultados récord. El incidente de Bybit, combinado con otras vulneraciones a gran escala, muestra cómo una campaña exitosa puede sostener las necesidades de financiamiento durante períodos prolongados mientras los grupos se enfocan en el lavado y la seguridad operacional.

Además, el perfil único del robo de cripto de RPDC en relación con otra actividad ilícita ofrece valiosas oportunidades de detección. Su preferencia por tamaños de transferencia específicos, fuerte dependencia de ciertas redes en idioma chino y el ciclo de lavado característico de 45 días pueden ayudar a los exchanges, empresas de análisis y reguladores a marcar comportamientos sospechosos antes.

A medida que los hackers de cripto de Corea del Norte continúan usando activos digitales para financiar prioridades estatales y eludir sanciones, la industria debe aceptar que este adversario opera bajo diferentes incentivos que los criminales comunes motivados financieramente. El desempeño récord del régimen en 2025, logrado con un estimado 74% menos de ataques conocidos, sugiere que muchas operaciones aún pueden pasar desapercibidas.

Mirando hacia 2026, el desafío central será identificar y interrumpir estas operaciones de alto impacto antes de que ocurra otra brecha a escala de Bybit. Fortalecer los controles en lugares centralizados, endurecer las billeteras personales y profundizar la cooperación con las fuerzas del orden será crítico para contener tanto las campañas de estados-nación como la ola más amplia de crimen cripto.

En resumen, 2025 confirmó que si bien las defensas están mejorando en áreas como DeFi, actores sofisticados como RPDC y ladrones de billeteras a gran escala continúan explotando debilidades estructurales, haciendo que las respuestas globales coordinadas sean más urgentes que nunca.