Los hackers norcoreanos saquean 500 millones de dólares en un mes, convirtiéndose en la principal amenaza para la seguridad en criptomonedas

Escritor: Oluwapelumi Adejumo

Traductor: Chopper, Foresight News

En menos de tres semanas, un grupo de hackers vinculado a Corea del Norte ha robado más de 500 millones de dólares en plataformas de criptomonedas DeFi, y la brecha de ataque de los hackers ha pasado de los contratos inteligentes centrales a vulnerabilidades en la infraestructura periférica.

Drift y KelpDAO sufren ataques

Dos ataques importantes contra Drift Protocol y KelpDAO han llevado a que las ganancias ilícitas de criptomonedas relacionadas con Corea del Norte superen los 700 millones de dólares este año. Las pérdidas masivas resaltan su cambio de táctica: cada vez utilizan con mayor frecuencia vulnerabilidades complejas, infiltraciones profundas y penetraciones de personal, evadiendo las defensas de seguridad estándar.

El 20 de abril, el proveedor de infraestructura de cadenas cruzadas LayerZero confirmó que KelpDAO fue atacado el 18 de abril, con una pérdida de aproximadamente 290 millones de dólares, convirtiéndose en el mayor robo de criptomonedas en 2026 hasta la fecha. La compañía indicó que las primeras evidencias apuntan directamente a TraderTraitor, un grupo interno de Lazarus Group, la notoriosa organización de Corea del Norte.

Solo unas semanas antes, el 1 de abril, el exchange descentralizado de contratos perpetuos basado en Solana, Drift Protocol, fue robado por aproximadamente 286 millones de dólares. La firma de inteligencia blockchain Elliptic rápidamente vinculó las técnicas de lavado en la cadena, las secuencias de transacciones y las firmas de red con las rutas de ataque conocidas de Corea del Norte, y señaló que este ya es el decimosexto incidente similar rastreado en lo que va de año.

Cambio de enfoque en los ataques: infiltración en la periferia de la infraestructura

Las técnicas de los ataques de abril muestran que los hackers norcoreanos están perfeccionando sus ataques contra DeFi. Ya no atacan directamente los contratos inteligentes centrales, sino que buscan y explotan vulnerabilidades estructurales en los bordes de la infraestructura.

Tomando como ejemplo el ataque a KelpDAO: los hackers comprometieron la infraestructura RPC (llamada remota) de nivel inferior utilizada por la red de validación descentralizada (DVN) de LayerZero Labs. Al manipular estos canales de datos críticos, los atacantes controlaron la operación del protocolo sin dañar la criptografía central. LayerZero desactivó los nodos afectados y restauró completamente la DVN, pero las pérdidas financieras ya no se pueden recuperar.

Este método de ataque indirecto revela una evolución aterradora en la guerra de redes. La firma de seguridad blockchain Cyvers dijo a CryptoSlate: los atacantes vinculados a Corea del Norte están cada vez más sofisticados, invirtiendo más recursos en la planificación y ejecución de ataques.

La firma añadió: «También hemos observado que siempre logran identificar con precisión los puntos más débiles. En esta ocasión, la brecha fue en componentes de terceros, no en la infraestructura central del protocolo.»

Esta estrategia es muy similar a las actividades de espionaje en redes empresariales tradicionales, y también indica que los ataques relacionados con Corea del Norte se vuelven cada vez más difíciles de prevenir. Incidentes recientes, como la intrusión en la cadena de suministro del paquete npm Axios, ampliamente utilizado, vinculada a la organización de amenazas específica de Corea del Norte, UNC1069, muestran que los atacantes están sistemáticamente sabotando el software antes de que ingrese al ecosistema blockchain.

Infiltración de Corea del Norte en la industria global de criptomonedas

Además de los avances técnicos, Corea del Norte está llevando a cabo una infiltración masiva y organizada en el mercado laboral global de criptomonedas.

El patrón de amenazas ha cambiado radicalmente de operaciones remotas a la inserción directa de personal malicioso en startups de Web3 sin precaución alguna.

Tras una investigación de seis meses del proyecto de seguridad Ketman, bajo la Fundación Ethereum y ETH Rangers, se concluyó que aproximadamente 100 agentes cibernéticos norcoreanos están infiltrados en varias empresas de blockchain. Utilizan identidades falsas, pasan fácilmente las evaluaciones de recursos humanos estándar, obtienen permisos en códigos internos sensibles y permanecen en silencio en los equipos de producto durante meses o incluso años, para luego lanzar ataques precisos.

Un investigador independiente de blockchain, ZachXBT, confirmó aún más esta infiltración al exponer una red especial de Corea del Norte que, mediante identidades fraudulentas, obtiene empleo remoto y gana en promedio unos 100,000 dólares mensuales.

Este esquema realiza transferencias de criptomonedas a moneda fiduciaria a través de canales financieros globales reconocidos, y desde finales de 2025 ha manejado más de 3.5 millones de dólares.

Según expertos, el despliegue total de personal de TI por parte de Corea del Norte genera ingresos de varios millones de dólares mensuales. Esto crea una doble fuente de ingresos para Pyongyang: salarios estables más enormes robos de fondos mediante personal interno.

Total de robos: 6,75 mil millones de dólares

El volumen de operaciones de activos digitales de Corea del Norte supera con creces a cualquier grupo de ciberdelincuentes tradicional. Según Chainalysis, solo en 2025, los hackers vinculados a Corea del Norte robaron un récord de 2 mil millones de dólares, representando el 60% del total de robos en criptomonedas en ese año.

Considerando las agresivas campañas de ataque de este año, la cantidad total de activos criptográficos robados por Corea del Norte alcanza los 6,75 mil millones de dólares.

Tras obtener los fondos, Lazarus Group muestra un patrón de lavado de dinero altamente específico y regionalizado: a diferencia de los delincuentes comunes que usan DEX y préstamos P2P con frecuencia, los hackers norcoreanos evitan estos canales. Los datos en la cadena muestran que dependen en gran medida de servicios de transacciones garantizadas en regiones de habla china, redes de corredores OTC profundas y servicios de mezclado cruzado complejos. Esta preferencia apunta a canales de monetización estructuralmente limitados y geográficamente restringidos, en lugar de un acceso ilimitado al sistema financiero global.

¿Se puede prevenir?

Expertos en seguridad y altos ejecutivos del sector creen que sí, pero las empresas de criptomonedas deben abordar las mismas vulnerabilidades operativas que se han expuesto en múltiples ataques importantes.

Terence Kwok, fundador de Humanity, dijo a CryptoSlate que los ataques relacionados con Corea del Norte siguen apuntando a vulnerabilidades comunes, no a nuevas formas de intrusión. Considera que los hackers norcoreanos están mejorando sus métodos de infiltración y transferencia de fondos ilícitos, pero la raíz del problema sigue siendo una mala gestión del acceso y riesgos de centralización.

Explicó: «Lo sorprendente es que las pérdidas todavía se atribuyen a problemas antiguos como el control de acceso y fallos de punto único. Esto indica que la industria aún no ha resuelto los problemas básicos de seguridad.»

Por ello, Kwok señala que la primera línea de defensa es dificultar en gran medida la transferencia de activos, implementando controles más estrictos en claves privadas, permisos internos y accesos de terceros. En la práctica, las empresas deben reducir la dependencia de operadores individuales, limitar los privilegios, reforzar la dependencia de proveedores y añadir más verificaciones en la infraestructura entre los protocolos centrales y el exterior.

La segunda línea de defensa es la velocidad. Una vez que los fondos robados cruzan cadenas, puentes o entran en redes de lavado, las probabilidades de recuperación disminuyen drásticamente. Kwok afirma que los exchanges, emisores de stablecoins, empresas de análisis blockchain y las fuerzas del orden deben colaborar rápidamente en los primeros minutos u horas tras el ataque para aumentar las tasas de éxito en la recuperación de fondos.

Sus palabras reflejan la realidad del sector: los puntos más vulnerables en los sistemas de criptomonedas suelen estar en la intersección del código, el personal y la operación. Un solo certificado robado, una dependencia débil de un proveedor, o una vulnerabilidad en permisos puede causar pérdidas de cientos de millones de dólares.

El desafío en DeFi ya no es solo escribir contratos inteligentes robustos, sino también proteger la seguridad operativa en los perímetros del protocolo antes de que los atacantes exploten la próxima vulnerabilidad.