El robo de criptomonedas en 2025 marca un punto de inflexión: los ataques de Corea del Norte alcanzan un máximo histórico de 2,02 mil millones de dólares, y el ciclo de lavado de dinero dura aproximadamente 45 días

Puntos destacados:

La industria de las criptomonedas en 2025 enfrenta una prueba grave. Según datos de Chainalysis, este año se han robado más de 3.400 millones de dólares, de los cuales un solo incidente importante representó 1.500 millones de dólares. Lo más impactante es que las técnicas de ataque se están volviendo cada vez más sofisticadas y la defensa, más difícil.

El fenómeno que más preocupa es que, aunque el número de ataques confirmados ha disminuido, la cantidad robada por incidente ha aumentado drásticamente. La proporción entre las mayores pérdidas y las pérdidas promedio en incidentes ha superado por primera vez las 1000 veces, superando incluso el mercado alcista de 2021.

Récord de robos por parte de Corea del Norte: 2.02 mil millones de dólares

El monto de los robos en 2025 por parte de grupos de hackers relacionados con Corea del Norte alcanzó al menos 2.020 millones de dólares, un aumento del 51% respecto al año anterior. Este ha sido el año más grave en la historia del robo de criptomonedas por parte de Corea del Norte, representando el 76% de todos los incidentes confirmados.

En total, el monto de criptomonedas robadas por Corea del Norte supera los 6.750 millones de dólares, una escala que ningún otro grupo de hackers ha podido igualar.

Se ha evidenciado la evolución en las técnicas de los hackers norcoreanos. Antes simplemente se infiltraban como empleados de TI, pero ahora:

• Se hacen pasar por reclutadores de empresas famosas de Web3 y AI, obteniendo credenciales de acceso y código fuente mediante procesos de contratación falsos.
• Se hacen pasar por inversores o compradores fraudulentos que contactan a la alta dirección, logrando acceso a información del sistema y a infraestructuras de alto valor.
• Realizan ataques complejos a la gestión de claves privadas y procesos de firma, evadiendo la protección de carteras en frío.

Estas técnicas se concentran en empresas estratégicas de AI y blockchain, y se cree que están respaldadas por financiamiento estatal y evasión de sanciones internacionales.

Las 3 principales incidencias representan el 69% de las pérdidas totales

Los datos de 2025 muestran una “extremización” en la industria de las criptomonedas. Los fondos robados en los mayores ataques alcanzan niveles 1000 veces superiores a los incidentes normales, concentrando el 69% de las pérdidas en solo 3 incidentes.

Este alto grado de concentración indica que las vulnerabilidades de seguridad están centradas en ciertas plataformas. Los atacantes apuntan a servicios de gran escala, adoptando estrategias que buscan el mayor impacto, de modo que un solo éxito puede definir la evaluación de seguridad anual.

En el ámbito de las wallets personales, el número de incidentes se ha triplicado, alcanzando 158,000 casos en 2025 desde 54,000 en 2022, con 80,000 víctimas. Sin embargo, el monto medio de daño por incidente ha disminuido, lo que indica que los atacantes están ampliando su número de objetivos, pero reduciendo el tamaño de cada ataque.

Destaca especialmente la red de Solana, con aproximadamente 26,500 víctimas reportadas, evidenciando la gravedad de los problemas de seguridad en wallets personales.

Modelo de lavado de dinero propio de Corea del Norte: proceso estructurado de 45 días

Tras un gran robo, los hackers norcoreanos despliegan un método de lavado de dinero altamente estructurado. Este proceso dura aproximadamente 45 días y se divide en varias fases.

Primera fase (0-5 días): dispersión inmediata

• Flujos hacia protocolos DeFi aumentan un +370%
• Uso de servicios de mixing crece entre +135% y +150%
• La prioridad inicial es “separar inmediatamente del origen del robo”

Segunda fase (6-10 días): dispersión amplia

• Transición a plataformas con menos restricciones KYC (+37%)
• Ingreso progresivo a exchanges centralizados (+32%)
• Diversificación mediante puentes cross-chain (+141%)

Tercera fase (20-45 días): monetización final

• Uso destacado de plataformas sin KYC (+82%) y servicios de colateralización (+87%)
• Uso activo de redes de lavado en chino (+33% a más del 1000%)
• Finalmente, conversión a moneda fiat u otros activos

Lo que diferencia a los hackers norcoreanos de otros ciberdelincuentes es su dependencia extrema de redes de lavado en chino y de proveedores de colaterales. Más del 60% de las transacciones se fragmentan en pequeñas partes, por debajo de 50,000 dólares, mediante una estrategia de “microfragmentación” que dificulta el rastreo.

Por otro lado, casi no utilizan:

• Protocolos de préstamo (-80%)
• Plataformas sin KYC (-75%) — aunque hay contradicciones
• Plataformas P2P (-64%)
• DEX (-42%)

Se infiere que su operación depende de alianzas con intermediarios confiables, priorizando socios locales en lugar de servicios más libres.

Evolución en la seguridad DeFi: aumento en TVL pero pérdidas por hackeo en niveles bajos

Un fenómeno interesante en 2024-2025 es que, pese a que el valor total bloqueado (TVL) en DeFi se recupera significativamente desde mínimos de 2023, las pérdidas por hackeos permanecen en niveles bajos históricos.

• 2020-2021: TVL y pérdidas por hackeos aumentan simultáneamente
• 2022-2023: ambos indicadores disminuyen
• 2024-2025: TVL se recupera, pero las pérdidas permanecen estables y bajas

Este cambio tiene dos significados clave:

Mejoras en las medidas de seguridad La primera etapa de DeFi (2020-2021) fue marcada por vulnerabilidades extremas. La recuperación del TVL sin aumento en pérdidas indica que los equipos de desarrollo han reforzado significativamente la seguridad.

Cambio en los objetivos de los atacantes El aumento en robos a wallets personales y ataques a exchanges centralizados sugiere que los hackers están desplazando su interés desde DeFi hacia otros blancos.

Un ejemplo es el incidente de septiembre de 2025, que demuestra la efectividad de las mejoras en seguridad. Cuando se detectó actividad sospechosa en un cliente comprometido, la plataforma de monitoreo de seguridad alertó 18 horas antes. En 20 minutos, el protocolo se pausó y se evitó la pérdida de fondos. En 12 horas, se recuperaron todos los fondos robados. Destaca que 3 millones de dólares en activos controlados por los atacantes fueron congelados mediante gobernanza, lo que resultó en que los atacantes perdieran parte de su dinero.

La rapidez y efectividad de esta respuesta marcan un cambio radical respecto a los ataques en la era inicial de DeFi, que a menudo implicaban pérdidas permanentes.

Desafíos y recomendaciones para 2026

Los datos de 2025 muestran que Corea del Norte ha logrado reducir en un 74% el número de ataques confirmados, pero ha aumentado en un 51% el monto total robado, una contradicción que sugiere que solo una pequeña parte de las actividades se visualizan públicamente.

Para 2026, la industria debe centrarse en:

Mejorar la detección de características específicas de los hackers norcoreanos Identificar patrones en tipos de servicios, montos transferidos, uso de redes chinas, etc., permitirá intervenciones más tempranas.

Fortalecer la protección de blancos de alto valor Aunque los ataques en número disminuyen, su impacto aumenta. Es imprescindible estar alerta ante técnicas avanzadas como fraudes de contratación y ingeniería social, especialmente en empresas estratégicas de AI y blockchain, donde las medidas tradicionales son insuficientes.

Mejorar la vigilancia y capacidad de respuesta Casos como Venus muestran que una vigilancia activa, respuestas rápidas y mecanismos de gobernanza decididos pueden minimizar daños. La estandarización de estas prácticas en toda la industria es necesaria.

El robo por parte de Corea del Norte no es solo un crimen cibernético, sino una actividad estratégica a nivel estatal. Seguir la evolución de sus técnicas y métodos de operación es clave para elevar el nivel de seguridad en toda la industria.