El Departamento de Justicia de Estados Unidos pretende confiscar 15 millones de USDT relacionados con piratas informáticos de Corea del Norte

Resumen de la actuación del DOJ contra el robo de criptomonedas por parte de Corea del Norte

El Departamento de Justicia de Estados Unidos ha puesto en marcha procedimientos judiciales de gran relevancia para incautar más de 15 millones de USDT (stablecoin Tether), vinculados directamente a operaciones de hacking patrocinadas por el Estado norcoreano. Esta medida representa un elemento clave de la estrategia general estadounidense para frenar las cada vez más sofisticadas capacidades de guerra cibernética de Pyongyang y su dependencia del robo de criptomonedas para sortear las sanciones internacionales.

Los fondos afectados están relacionados con APT38 (Advanced Persistent Threat 38), una conocida unidad de hackers norcoreanos bajo mando estatal responsable de numerosos ataques de alto impacto contra instituciones financieras globales y plataformas de criptomonedas. Este grupo se ha consolidado como uno de los actores de amenazas cibernéticas más activos en el sector de activos digitales, empleando técnicas avanzadas para vulnerar sistemas de seguridad y blanquear fondos robados a través de redes complejas de intermediarios.

Puntos clave:

• El DOJ busca incautar más de 15 millones de USDT asociados al grupo de hackers norcoreano APT38
• Los fondos fueron rastreados hasta cuatro grandes ataques a plataformas de criptomonedas durante 2023
• El FBI tomó el control inicial de estos activos a comienzos de 2025 y ahora solicita su decomiso permanente
• Cinco personas en Estados Unidos se han declarado culpables de facilitar la infiltración de trabajadores IT norcoreanos en empresas estadounidenses
• Las operaciones afectaron a 136 compañías estadounidenses y generaron más de 2,2 millones de dólares para el régimen norcoreano

El FBI solicita el decomiso de USDT incautados vinculados a los ataques de criptomonedas de 2023

Los investigadores federales lograron rastrear los activos digitales hasta fondos sustraídos de cuatro plataformas distintas de moneda virtual durante una serie de ataques coordinados en 2023. El análisis blockchain del FBI, junto con la colaboración de firmas privadas de seguridad, permitió a las autoridades seguir el recorrido de los fondos robados a través de diferentes cadenas y técnicas de ocultación empleadas por los operativos norcoreanos.

El FBI incautó los USDT a principios de 2025 mediante procedimientos legales de urgencia y ahora busca la aprobación judicial para su decomiso definitivo. Una vez completado el proceso, el DOJ tiene previsto devolver los fondos recuperados a las víctimas legítimas de estos ciberataques, ofreciendo al menos una compensación parcial por sus pérdidas.

Aunque el DOJ no ha revelado públicamente las plataformas atacadas para proteger investigaciones abiertas, la cronología de los robos coincide con varios incidentes relevantes de 2023: la brecha de Poloniex por 100 millones de dólares en noviembre, el robo a CoinsPaid por 37 millones en julio, el ataque al procesador de pagos Alphapo (estimado en unos 100 millones por el DOJ) y otro robo importante en noviembre por cerca de 138 millones de dólares en un exchange panameño. El DOJ no ha confirmado qué casos concretos se incluyen en estas acciones de decomiso.

Según la comunicación oficial, los operativos norcoreanos emplearon avanzadas técnicas de lavado de dinero para ocultar el origen de los fondos robados. Utilizaron una red compleja de mezcladores de criptomonedas (servicios que combinan transacciones para ocultar su fuente), puentes entre cadenas (herramientas que transfieren activos entre distintas redes blockchain), exchanges convencionales y brokers OTC que facilitan grandes transacciones privadas fuera de los libros de órdenes públicos.

"Los esfuerzos para rastrear, incautar y decomisar criptomonedas virtuales robadas continúan, ya que los actores de APT38 siguen blanqueando estos fondos", declaró el DOJ, subrayando que la acción forma parte de una investigación en desarrollo y no de un caso cerrado.

La sofisticación de estas operaciones de lavado refleja la evolución de las capacidades de los actores patrocinados por estados y los retos que afronta la policía en el ecosistema descentralizado de criptomonedas. A pesar de ello, los investigadores federales han perfeccionado métodos cada vez más eficaces para rastrear fondos ilícitos en redes blockchain.

Procesamiento de facilitadores: ciudadanos estadounidenses y red de robo de identidad

La ofensiva va más allá de los hackers y alcanza a quienes facilitaron la infiltración norcoreana en empresas estadounidenses. El DOJ consiguió que cinco personas se declarasen culpables por su papel esencial ayudando a operativos norcoreanos a acceder a redes corporativas estadounidenses mediante acuerdos fraudulentos de trabajo remoto en IT.

Cuatro ciudadanos estadounidenses—Audricus Phagnasay, Jason Salazar, Alexander Paul Travis y Erick Ntekereze Prince—admitieron cargos de conspiración para fraude electrónico. Estas personas prestaron sus identidades legítimas a trabajadores IT norcoreanos y permitieron que dispositivos y equipos de empresa fueran operados desde sus domicilios, simulando que estos trabajadores estaban físicamente en Estados Unidos. Este montaje permitió el acceso de operativos norcoreanos a redes corporativas sensibles, propiedad intelectual y sistemas financieros estadounidenses, eludiendo controles de seguridad para impedir accesos extranjeros.

Este esquema se ha convertido en una fuente clave de ingresos para Pyongyang, permitiendo al régimen obtener ingresos sustanciales mientras recopila inteligencia sobre empresas estadounidenses y posiciona activos para futuros ciberataques. Los acuerdos de trabajo remoto, cada vez más frecuentes tras la pandemia, ofrecieron una oportunidad que los operativos norcoreanos aprovecharon sistemáticamente.

El papel de un ciudadano ucraniano en la venta de identidades estadounidenses robadas a Corea del Norte

En un caso relacionado que evidencia la dimensión internacional de estas redes criminales, el ciudadano ucraniano Oleksandr Didenko se declaró culpable de conspiración para fraude electrónico y robo agravado de identidad. Didenko dirigía una operación sofisticada de robo de identidad, obteniendo información personal de ciudadanos estadounidenses y vendiéndola a operativos IT norcoreanos.

Su actividad permitió directamente a trabajadores norcoreanos conseguir empleo en unas 40 empresas estadounidenses. Proporcionando identidades estadounidenses convincentes y documentación de respaldo, Didenko facilitó que estos operativos superaran controles y verificaciones que normalmente impedirían el acceso de extranjeros a posiciones sensibles.

Como parte de su acuerdo de culpabilidad, Didenko accedió a la entrega de más de 1,4 millones de dólares de los beneficios obtenidos ilegalmente, lo cual demuestra la magnitud de los beneficios generados por esta operación de robo de identidad.

La dimensión de estos esquemas es considerable: en conjunto, afectaron a 136 empresas estadounidenses, generaron más de 2,2 millones de dólares para el gobierno norcoreano y comprometieron los datos personales de más de 18 ciudadanos estadounidenses. Probablemente estas cifras representan solo una parte del impacto total, ya que las investigaciones continúan y podrían surgir nuevos casos.

Funcionarios estadounidenses advierten que un solo trabajador IT norcoreano puede ganar hasta 300 000 dólares anuales en estos esquemas de empleo fraudulento. Al multiplicarse por cientos o miles de operativos, el programa canaliza colectivamente cientos de millones de dólares a programas controlados por el Ministerio de Defensa norcoreano, apoyando directamente el desarrollo armamentístico y las capacidades militares del régimen, en violación de sanciones internacionales.

La amenaza creciente de las operaciones de robo de criptomonedas por parte de Corea del Norte

Las operaciones norcoreanas de robo de criptomonedas han experimentado un fuerte repunte en los últimos tiempos, con hackers que han sustraído más de 2 000 millones de dólares en activos digitales según Elliptic, firma líder en análisis blockchain. Esto marca uno de los años más exitosos para el robo cibernético norcoreano y evidencia la creciente sofisticación y dependencia del régimen en el crimen relacionado con criptomonedas como vía para esquivar sanciones.

La envergadura de estas operaciones sitúa a Corea del Norte como una de las amenazas cibernéticas más relevantes en el ámbito cripto, con implicaciones directas tanto para la seguridad de las plataformas de activos digitales como para la paz y la seguridad internacional, ya que los fondos robados respaldan directamente los programas armamentísticos sancionados del régimen y mitigan la presión económica dirigida a limitar sus ambiciones militares.

Preguntas frecuentes

¿Por qué el Departamento de Justicia de EE. UU. busca incautar activos USDT vinculados a hackers norcoreanos?

El DOJ estadounidense trata de incautar USDT vinculado a hackers norcoreanos para combatir el ciberdelito y el lavado de dinero. Los hackers patrocinados por el Estado norcoreano han ejecutado robos de criptomonedas y ataques de ransomware a gran escala. La congelación de estos activos interrumpe sus operaciones financieras, refuerza las sanciones y bloquea el flujo de capital ilícito.

¿Cómo se define y regula legalmente la stablecoin USDT?

USDT está considerada stablecoin y activo digital en distintas jurisdicciones. Los reguladores la tratan como transmisor de dinero o instrumento de pago. La SEC y la CFTC estadounidenses supervisan su trading y emisión. Tether debe cumplir requisitos de respaldo de reservas y protocolos de prevención de lavado de dinero para evitar transferencias ilícitas.

¿Cómo suelen actuar los grupos de hackers norcoreanos en sus ciberataques y el lavado de fondos?

Los hackers norcoreanos suelen emplear spear-phishing, malware y robo de criptomonedas, orientándose a exchanges y protocolos DeFi. Blanquean los fondos sustraídos mediante servicios de mezcla, transacciones entre pares y conversión a stablecoins como USDT para moverlos de forma oculta entre redes blockchain.

¿Cómo colaboran los exchanges de criptomonedas con las autoridades para congelar y rastrear activos sospechosos?

Los exchanges aplican protocolos AML/KYC, monitorizan patrones de transacción y notifican actividades sospechosas a los reguladores. Bloquean cuentas por orden legal, aportan registros de transacciones y utilizan herramientas de análisis blockchain para rastrear fondos, permitiendo a las autoridades identificar y recuperar activos ilícitos vinculados a delitos.

¿Qué impacto tiene este caso en la privacidad y seguridad de los activos de los usuarios de criptomonedas?

Este caso subraya la importancia del cumplimiento normativo y la supervisión regulatoria en el sector. Si bien la policía puede rastrear e incautar fondos ilícitos, los activos de usuarios legítimos permanecen protegidos si se siguen buenas prácticas de custodia. Confirma que las plataformas transparentes y los procesos KYC protegen los intereses de los usuarios al prevenir el delito y reducir los riesgos sistémicos.

¿Cuál es la base legal para que el gobierno estadounidense congele activos de criptomonedas?

El gobierno de EE. UU. congela activos cripto bajo la Ley de Poderes Económicos Internacionales de Emergencia (IEEPA) y la Ley Patriota para combatir el lavado de dinero, la financiación del terrorismo y la violación de sanciones. Estas leyes permiten la incautación de activos vinculados a amenazas de seguridad nacional o delitos.

¿Cómo pueden los titulares de USDT proteger sus activos ante posibles congelaciones por error?

Utiliza billeteras compatibles, conserva registros de transacciones, evita direcciones de alto riesgo, activa la seguridad multifirma, mantén la documentación KYC actualizada y emplea billeteras personales no custodiales en vez de plataformas sospechosas para minimizar el riesgo de congelación.