Hackers de Corea del Norte robaron $2.1B en 2025

El Desarrollo

El análisis reciente de CertiK, reportado por Decrypt el 12 de mayo de 2026, atribuye $2.1 mil millones de robos de criptomonedas en 2025 a grupos patrocinados por el Estado de Corea del Norte, lo que representa aproximadamente el 60% de las pérdidas totales del año pasado. Esa atribución implica robos agregados de criptomonedas de aproximadamente $3.5B en 2025 (2.1/0.60 = 3.5), una concentración materialmente superior a la que los observadores de la industria habían reportado en muchos años anteriores. El informe destaca que estas operaciones usaron redes de blanqueo cada vez más sofisticadas e intercadena (cross-chain) para mover valor a través de puentes, mezcladores y intermediarios que a simple vista parecen cumplidores.

Para los gestores de riesgo institucional, el informe representa una reclasificación del panorama de amenazas en cripto: el actor dominante es ahora un actor estatal con objetivos geopolíticos y acceso a recursos de Estado-nación.

El desarrollo es significativo no solo por las cifras de portada, sino por lo que CertiK describe como un cambio sistémico. Donde pandillas privadas de ciberdelincuencia históricamente representaban la mayoría de los atracos de cripto, la distribución de 2025 apunta a una centralización del riesgo en actores que son más difíciles de disuadir con la aplicación tradicional de la ley, debido a la protección estatal y la complejidad de las sanciones internacionales. El artículo de Decrypt cita las metodologías forenses de CertiK; la declaración pública y el conjunto de datos de CertiK siguen siendo la fuente principal para la cifra de $2.1B (CertiK vía Decrypt, 12 de mayo de 2026). Los participantes del mercado y los equipos de cumplimiento deberían tratar la divulgación tanto como una confirmación de tácticas conocidas de la RPDC como evidencia de que dichas tácticas se han escalado.

En los mercados, la reacción inmediata fue contenida: los precios spot de criptomonedas mostraron volatilidad intradía pero no un movimiento direccional sostenido ligado únicamente al informe. Es más probable que los participantes institucionales reevalúen el riesgo de contraparte, los arreglos de custodia y las exposiciones implícitas en la actividad cross-chain que cambien la asignación macroeconómica de la noche a la mañana. Dicho esto, la atribución de un robo a gran escala vinculado a un Estado suele ir seguida de un escrutinio regulatorio, y cualquier respuesta política —desde sanciones adicionales hasta restricciones sobre puentes y herramientas de privacidad— tendría efectos de segundo orden sobre la liquidez y las valoraciones en DeFi y en los libros de órdenes de exchanges centralizados. Para contexto y antecedentes sobre tendencias regulatorias relevantes, ver tema.

Contexto

El uso por parte de Corea del Norte de la ciberdelincuencia financiera no es nuevo; equipos de atribución y autoridades de sanciones han vinculado a grupos como 'Lazarus' con múltiples incidentes de alto perfil durante la última década. Ejemplos históricos incluyen el atraco al Bangladesh Bank en 2016 —aproximadamente $81 millones desviados mediante sistemas SWIFT— y la explotación del puente Ronin en 2022 que retiró aproximadamente $625 millones de una sidechain de Ethereum. Estos incidentes contextualizan los datos de CertiK de 2025: los actores de la RPDC han combinado durante largo tiempo capacidad técnica con necesidad estratégica de generar moneda dura fuera de los canales bancarios convencionales. La concentración de pérdidas en 2025 bajo banderas vinculadas al Estado parece ser el siguiente paso en una línea temporal de escalada.

Los impulsores geopolíticos son mensurables. Las sanciones internacionales sobre la República Popular Democrática de Corea han restringido de forma aguda los ingresos legítimos por exportaciones; el Tesoro y los paneles de la ONU han documentado repetidamente el uso por parte de la RPDC de operaciones cibernéticas para eludir restricciones. Ese entorno incentiva un esfuerzo persistente y bien financiado para monetizar activos digitales. Los datos de CertiK deben leerse por tanto tanto como un hallazgo de ciberseguridad como una señal macrofinanciera: reflejan cómo la presión geopolítica se traduce en flujos financieros digitales.

Desde la perspectiva de la industria, la mecánica del blanqueo ha evolucionado. Los puentes cross-chain representaron un movimiento desproporcionado de valor entre 2022 y 2025; si bien los totales precisos por puente para 2025 varían según la fuente, los patrones documentados por CertiK muestran flujos de activos que se enrutan a través de múltiples redes para oscurecer la procedencia. La consecuencia práctica es que el rastreo forense exige más recursos, mientras que la velocidad y automatización de estos flujos aumentan la probabilidad de que el valor robado pueda volver a tokenizarse y gastarse antes de que se produzca la interdicción. Los equipos de cumplimiento institucional deben por tanto evaluar no solo la custodia, sino el riesgo de cadena-de-título de extremo a extremo para activos on-chain.

Análisis detallado de datos

Titular de CertiK: $2.1B robados en 2025 por grupos vinculados a Corea del Norte, cifra que el informe cuantifica como el 60% de todas las pérdidas criptográficas en ese año (CertiK, según Decrypt, 12 de mayo de 2026). La aritmética implica robos totales de alrededor de $3.5B en 2025. Estas cifras se derivan de rastreos on-chain, análisis de clústeres y datos públicos de interacción con exchanges y mezcladores. La metodología de CertiK, según se informa, utilizó clustering de direcciones, monitoreo de puentes cross-chain y etiquetado histórico de entidades vinculadas a la RPDC para atribuir flujos; la compañía también señala que la confianza en la atribución varía según el incidente y que las técnicas de ofuscación on-chain pueden reducir la certeza.

Más allá de las cifras principales, la distribución de los activos robados muestra concentración en un puñado de puentes y contratos inteligentes intermediarios, que sirvieron como puntos de nexo para el blanqueo. El informe de CertiK identifica patrones repetidos: exploit o compromiso inicial; movimiento hacia direcciones intermedias; conversión a tokens con preservación de privacidad o protocolos de wrapping; y luego transferencia cross-chain a jurisdicciones o exchanges con aplicación limitada de AML (anti-lavado de dinero). Aunque CertiK no publica una lista completa de los exchanges implicados en su breve público, el informe subraya la importancia del monitoreo de puentes y de un fortalecimiento del KYC (conozca a su cliente) en los puntos de salida.

En comparación, los grupos criminales privados en años previos tendían a monetizar vía exchanges centralizados o mesas OTC con controles más débiles, generando flujos identificables que los reguladores y las empresas de análisis de cadena interrumpieron. El modelo vinculado al Estado descrito por CertiK es más industrializado: sumas mayores en eventos únicos, ofuscación en múltiples capas y reutilización de infraestructura a lo largo de incidentes. T