Los piratas cibernéticos de Corea del Norte alcanzaron un hito devastador en 2025: US$2 mil millones robados

Los hackers respaldados por Corea del Norte cerraron 2025 con su mayor cosecha de criptomonedas jamás registrada. La cifra no es un simple número: US$2 mil millones en robos representan un salto de 51% respecto a 2024, llevando el total acumulado de la República Popular Democrática de Corea a US$6.750 millones. Según el informe más reciente de Chainalysis, estamos ante una evolución crítica en el panorama de amenazas cibernéticas globales.

Lo que hace estos datos especialmente alarmante no es solo la magnitud, sino el patrón subyacente: menos ataques, pero exponencialmente más destructivos.

El giro hacia ataques de envergadura catastrófica

En años anteriores, los ciberdelincuentes diversificaban sus objetivos. Apuntaban a múltiples blancos pequeños y medianos en búsqueda de volumen. Los actores de Corea del Norte jugaron un juego completamente diferente en 2025.

Fueron responsables del 76% de todas las violaciones dirigidas a servicios de nivel empresarial, el porcentaje más alto en la historia de registros. Esto significa que prácticamente toda gran brecha a servicios criptográficos centralizados llevaba la firma digital de Pyongyang. Mientras otros grupos criminales optan por la cantidad, estos actores cuentan con los recursos, la especialización y la paciencia para lanzar operaciones pocas pero monumentales.

El cambio es estratégico. Un ataque masivo a una plataforma grande genera impacto geopolítico, crea presión regulatoria y paraliza mercados. La economía del crimen cibernético de Corea del Norte se ha vuelto industrial.

Máquinas de dinero sofisticadas: cómo funcionan las operaciones de lavado

Después de robar, viene la conversión. Y aquí es donde la sofisticación operativa de Corea del Norte se vuelve visible.

A diferencia de otros criminales que realizan transferencias grandes y fácilmente rastreables en cadena, estos actores fragmentan sus movimientos en porciones cuidadosas, típicamente por debajo de US$500.000. Es un juego de paciencia: múltiples transacciones pequeñas en lugar de una gran y obvia.

Las billeteras vinculadas a Corea del Norte muestran una dependencia notable de tres canales específicos:

Servicios de intercambio en chino - Plataformas regionales que funcionan como puertas de entrada locales Puentes descentralizados y servicios de mezcla - Herramientas técnicas que rompen la trazabilidad de fondos **Garant

ías y corredores regionales** - Intermediarios que facilitan conversión a efectivo

Nota lo que no usan: protocolos DeFi, intercambios descentralizados, plataformas peer-to-peer. La razón es clara: limitaciones estructurales y una dependencia de facilitadores regionales específicos en lugar de acceso a la infraestructura financiera global completa.

El análisis temporal de Chainalysis revela un patrón sorprendente: los robos grandes siguen una ventana de lavado de aproximadamente 45 días. En ese período, los fondos pasan por distintas fases, desde ofuscación inmediata hasta integración final. Aunque no es universal, la consistencia de esta línea de tiempo entre múltiples operaciones sugiere procesos altamente estandarizados.

La inteligencia artificial como superpotencia criminal

¿Cómo ejecuta Corea del Norte esta escala de operaciones con semejante precisión? La respuesta, según Andrew Fierman, jefe de inteligencia de seguridad nacional en Chainalysis, apunta a un factor clave: inteligencia artificial.

“Corea del Norte facilita el blanqueo de robos de criptomonedas con una consistencia y fluidez indicativas del uso de IA”, explicó. El mecanismo de lavado estructura fondos a través de mezcladores, puentes y protocolos desde las etapas iniciales, creando un flujo de trabajo que combina múltiples herramientas de conversión.

“Para ejecutar este tipo de eficacia al robar volúmenes tan grandes, Corea del Norte necesita una red de lavado masiva junto con mecanismos optimizados, que probablemente se manifiesten en el uso de IA”.

Esto no es paranoia tecnológica. Es una observación sobre la infraestructura operativa: la velocidad de conversión, la precisión de los montos, la consistencia temporal y la sofisticación de la seguridad operativa se alinean con automatización inteligente.

Un panorama polarizado de amenazas cibernéticas

Mientras tanto, el resto del panorama criminal cripto muestra un contraste interesante. Los compromisos de carteras individuales representaron solo 20% del valor total robado en 2025, cayendo desde 44% en 2024. Aunque el número de incidentes contra usuarios individuales aumentó a 158.000, el valor promedio por víctima cayó 52% a US$713 millones totales.

Traducción: los atacantes están apuntando a más gente pero robando menos de cada uno.

Corea del Norte está en el extremo opuesto del espectro: robos masivos y rarísimos pero catastróficos. La mayoría de grupos operan donde hay volumen de objetivos pequeños. Los actores de Corea del Norte operan donde hay impacto máximo.

Lo que esto significa para el futuro

A medida que 2025 cierra y se avanza hacia 2026, los esfuerzos de Corea del Norte en hackeos criptográficos no muestran señales de disminuir. Los datos sugieren un entorno de amenazas cada vez más polarizado: robos de bajo valor a individuos en un extremo, brechas raras pero devastadoras a nivel de servicio en el otro, con Corea del Norte firmemente en el centro de las últimas.

Para los equipos de cumplimiento y aplicación de la ley, estos hallazgos ofrecen un faro: la ventana de 45 días de lavado proporciona una oportunidad temporal para interceptar fondos antes de su conversión final. Pero requiere coordinación rápida entre plataformas, jurisdicciones y analistas especializados.

Para las plataformas de criptomonedas, el mensaje es claro: cuando el atacante es una nación-estado con recursos industriales de ciberseguridad y acceso a inteligencia artificial, las defensas convencionales pueden no ser suficientes.