Los ciberdelincuentes vinculados al régimen de Pionyang marcaron un hito histórico en la industria de los activos digitales este año. Según un informe de Chainalysis publicado el 18 de diciembre de 2025, los ataques de grupos de Corea del Norte resultaron en el robo de al menos 2.000 millones de dólares
Esta cifra representa un incremento del 51% en comparación con el año anterior, elevando su botín histórico total a 6.750 millones. El vocero de inteligencia de seguridad nacional, Andrew Fierman, destacó que los delincuentes ahora prefieren ataques masivos y selectivos. La sofisticación técnica de estas operaciones sugiere el uso avanzado de herramientas de inteligencia artificial para optimizar los procesos de lavado.
La estrategia de estos grupos ha evolucionado hacia la «caza mayor», centrando sus esfuerzos en servicios centralizados de gran escala. De hecho, los actores vinculados a la RPDC fueron responsables del 76% de todos los compromisos a nivel de servicio en 2025. El hackeo de 1.400 millones a Bybit ocurrido en marzo fue el catalizador principal de estas cifras récord.
A diferencia de otros criminales, estos hackers evitan los protocolos DeFi comunes y prefieren redes de facilitadores regionales. El uso de intermediarios de habla china y redes de corretaje extrabursátil (OTC) es una constante en sus esquemas financieros. La consistencia en sus patrones de movimiento delata una infraestructura operativa altamente estructurada y jerárquica.
Por otro lado, la forma en que procesan el dinero robado muestra una seguridad operativa excepcionalmente alta. Mientras otros delincuentes realizan transferencias masivas, los grupos norcoreanos distribuyen los fondos en tramos menores a 500.000 dólares. Este método de fragmentación dificulta el rastreo inmediato por parte de las plataformas de análisis forense digital.
Además, el informe detalla un periodo de lavado estándar de aproximadamente 45 días para cada gran golpe. La fase de integración final ocurre tras pasar por múltiples mezcladores y puentes entre cadenas de bloques. Esta ventana temporal es crítica para que los equipos de cumplimiento intenten interceptar los fondos robados. La dependencia de facilitadores regionales específicos limita su acceso directo a la infraestructura financiera global tradicional.
¿Cómo logra un solo grupo criminal dominar el 76% de los hackeos a servicios?
El éxito de estas operaciones radica en la combinación de paciencia estratégica y una capacidad técnica superior. Los atacantes suelen infiltrar personal técnico en proyectos Web3 para identificar vulnerabilidades desde el interior de las organizaciones. Asimismo, el uso de IA ha permitido automatizar tareas de ofuscación que antes requerían semanas de trabajo manual.
La eficiencia en la conversión de activos permite que los fondos fluyan rápidamente hacia billeteras seguras fuera del alcance internacional. Por ende, la industria se enfrenta a un enemigo que evoluciona más rápido que las defensas estándar. La protección de las claves privadas institucionales se ha vuelto el desafío de seguridad más urgente para los intercambios.
Por otra parte, el panorama de los robos a billeteras personales ha mostrado una tendencia inversa muy interesante. Aunque el número de incidentes contra individuos subió a 158.000, el valor total robado cayó un 52%, situándose en 713 millones. Los atacantes están apuntando a más usuarios pero obteniendo menores beneficios de cada víctima individual en promedio.
Esto indica una polarización del crimen: robos masivos de bajo valor para individuos y ataques catastróficos para instituciones. La seguridad de la autocustodia personal ha mejorado, pero la vulnerabilidad de los grandes fondos centralizados sigue siendo alarmante. La criptomoneda robada suele ser lavada mediante servicios que no requieren procesos estrictos de verificación de identidad.
¿Es posible detener el flujo de fondos hacia el régimen norcoreano en 2026?
La detección temprana de los patrones de 45 días ofrece una oportunidad vital para las agencias de ley. La colaboración internacional entre intercambios y gobiernos es fundamental para bloquear las rampas de salida de dinero fíat. Además, el monitoreo constante de los puentes entre redes puede alertar sobre movimientos de fondos sospechosos en tiempo real.
El endurecimiento de los controles en los servicios de mezclado ha obligado a los hackers a buscar alternativas más complejas. Sin embargo, la persistencia de estos grupos sugiere que seguirán encontrando nuevos vectores de ataque cada año. La mirada de los expertos está puesta en cómo las nuevas regulaciones afectarán a los corredores chinos.
De cara al futuro, se espera que la industria fortalezca sus protocolos de contratación para evitar infiltraciones internas. La educación sobre ingeniería social avanzada debe ser una prioridad para todos los empleados de empresas cripto de alto nivel. Por lo cual, la resiliencia del ecosistema dependerá de su capacidad para compartir inteligencia de amenazas de forma proactiva.
El récord de 2.000 millones de dólares debe servir como una advertencia seria para los proveedores de servicios financieros. El compromiso con la seguridad ya no es una opción, sino un requisito para la supervivencia institucional. La evolución de las técnicas de defensa determinará si el próximo año las cifras de robos finalmente comienzan a descender.
