La semana pasada, fue publicado el informe anual Crypto Crime Report 2026 de Chainalysis, la empresa de análisis blockchain, donde revela que la República Popular Democrática de Corea (RPDC) ha roto todos los registros previos, consolidando el robo de activos digitales no solo como una táctica de espionaje, sino como una columna vertebral de su supervivencia económica.
Y es que hoy más que nunca, no cabe lugar a dudas que en las oficinas de seguridad de los grandes criptointercambios, el nombre de “Lazarus” no es un simple nombre para describir a un grupo de ciberdelincuentes; es el sinónimo de una tormenta perfecta capaz de poner en peligro sus datos, infraestructura y fondos de sus clientes.
Según Chainalysis, en un solo este 2025, grupos afiliados a Pyongyang lograron sustraer la astronómica cifra de 2.020 millones de dólares. Para ponerlo en perspectiva, esta cifra equivale a más del 10% del PIB total de la nación asiática.
Con este último botín, el acumulado histórico de robos norcoreanos asciende a 6.750 millones de dólares, una cantidad que financia directamente su programa de misiles balísticos y desarrollo nuclear, desafiando las sanciones internacionales con la rapidez de un clic.
Lo más inquietante del reporte de 2025 no es solo la cantidad, sino la evolución de la estrategia, ya que históricamente, los ciberpiratas norcoreanos eran conocidos por realizar múltiples ataques de mediana escala.
Sin embargo, en el último año, el número de ataques confirmados disminuyó en un 74%, aunque esta caída en la frecuencia no debe confundirse con inactividad; al contrario, revela una sofisticación aterradora, la transición de la “red de arrastre” al “arpón de precisión”.
Los grupos estatales han dejado de perder tiempo en pequeños protocolos DeFi y han puesto su mira en los gigantes donde pueden obtener más dinero y el ejemplo más brutal ocurrió en febrero de 2025, con el criptointercambio Bybit.
Este criptointercambio con sede en Dubái, Emiratos Árabes Unidos (EAU), sufrió el ciberataque más grande en la historia de las criptomonedas, perdiendo 1.500 millones de dólares en un solo ciberataque.
La investigación reveló que no se trató de un error técnico en el código, sino de una vulnerabilidad humana, quizás la más peligrosa de todas para cualquier criptointercambio u organización cripto, la infiltración.
El informe de Chainalysis arroja luz sobre una de las tácticas más exitosas de Pyongyang: la colocación de trabajadores de IT altamente calificados en empresas Web3. Estos agentes no roban desde afuera; son contratados con identidades falsas, ganan la confianza de los equipos y, meses después, utilizan su acceso privilegiado para “abrir las puertas” desde el interior.
“Ya no están solo buscando errores en el código; están escribiendo el código de las plataformas que luego van a saquear”, señala el reporte. Estos infiltrados facilitaron ataques de ingeniería social tan complejos que incluso veteranos de la ciberseguridad fueron engañados.
Este tipo de ataques comienzan mediante campañas de reclutamiento falsas en LinkedIn y WhatsApp, infectaron dispositivos de empleados clave con malware diseñado a medida, permitiendo a Lazarus saltarse los protocolos de seguridad de firmas múltiples (multisig).
Pero esto va más allá de Corea del Norte, y de realizar el ciberataque a una infraestructura de un criptointercambio, ya que también es preciso comprender que una vez que los fondos son robados, comienza otra etapa que es lavar y borrar todo rastro posible, una actividad donde Corea del Norte ha demostrado ser un maestro insuperable.
El reporte describe como los ciberpiratas norcoreanos emplean una red que Chainalysis denomina la “Lavandería China”, ya que a diferencia de otros criminales que intentan mover grandes sumas de golpe, los ciberpiratas norcoreanos operan con paciencia, utilizando redes de corredores extrabursátiles (OTC) y bancos clandestinos en el sudeste asiático y China.
Para ello, emplean un fraccionamiento extremo que consiste en mover más del 60% de sus transferencias, a través de tramos inferiores a los 500.000 dólares para no activar alarmas automáticas.
Concretamente los Mixers y Bridges utilizan protocolos de mezcla de monedas y “puentes” entre diferentes blockchains para fragmentar la historia del dinero hasta que es imposible de rastrear su origen. De hecho, el éxito de estas operaciones plantea un dilema ético y de seguridad para la industria cripto.
Mientras que los protocolos de finanzas descentralizadas (DeFi) han mejorado su seguridad (reduciendo significativamente sus pérdidas este año), los servicios centralizados (criptointercambios y custodios) se han vuelto el blanco predilecto debido a la enorme cantidad de liquidez que concentran.
El robo de 2025 ha impulsado a agencias como el FBI y Europol a trabajar más estrechamente con firmas de análisis de blockchain. Sin embargo, la velocidad de los ciberpiratas suele superar a la de los reguladores, por cada cuenta que se congela, Lazarus ya ha dispersado los fondos en mil direcciones más.
El panorama que dibuja Chainalysis es el de un estado que ha industrializado el cibercrimen, por lo que Corea del Norte ya no es un actor marginal en el sistema financiero global; es una fuerza disruptiva que utiliza la innovación tecnológica de Occidente para financiar su propia agenda geopolítica y su programa de misiles nucleares, así como el desarrollo de armamento.
El reporte concluye con una advertencia por el récord de los 2.000 millones de dólares conseguido en 2025, que bien podría ser solo la punta del iceberg, ya que con el auge de la inteligencia artificial generativa, se espera que en 2026 los ataques de ingeniería social sean aún más difíciles de detectar, convirtiendo a cada empleado de una empresa cripto en un posible punto de falla para la seguridad mundial.
La pregunta que queda en el aire para los reguladores y directores de seguridad es clara: ¿Cómo defenderse de un adversario que no tiene nada que perder y que cuenta con los recursos de todo un país para atacarte y que además, hasta ahora no ha sufrido ninguna represalia?
La respuesta esta pregunta quizás no sea fácil, pero lo que sí se sabe es que en 2026, “Lazarus” seguirá operando con total impunidad, hasta que alguien haga algo.