Las cortes coreanas dispararon el robo de criptomonedas a US$ 2 mil millones en 2025, revela Chainalysis

Los grupos criminales vinculados a la República Popular Democrática de Corea intensificaron sus operaciones en el mercado de criptomonedas durante 2025, estableciendo un nuevo récord devastador. Según el informe más reciente de Chainalysis, los hackers coreanos lograron desviar al menos US$ 2 mil millones en activos digitales a lo largo del año, lo que representa un impresionante aumento del 51% en comparación con los valores robados en 2024. Este resultado catapultó el total acumulado de robos de estos grupos a US$ 6,75 mil millones desde sus primeros ataques documentados.

Cambio de táctica: ataques más frecuentes con cifras monumentales

El análisis de los datos revela una transformación significativa en las estrategias de los hackers coreanos. Aunque el número total de incidentes ha aumentado, la verdadera transformación reside en la magnitud de los eventos individuales. Los grupos criminales han reducido la frecuencia de ataques contra usuarios particulares, pero compensan este cambio con incursiones devastadoras contra infraestructuras centralizadas de mayor tamaño.

Los hackers coreanos fueron responsables del 76% de todas las violaciones dirigidas a plataformas y servicios a nivel empresarial durante 2025, el porcentaje más alto registrado hasta la fecha. Esta concentración de poder de fuego en objetivos de gran impacto contrasta radicalmente con el patrón observado en cibercriminales convencionales, que prefieren dispersar sus esfuerzos en múltiples objetivos de menor valor. El ataque al servicio centralizado de Bybit, que resultó en pérdidas de US$ 1,4 mil millones, ejemplifica precisamente esa mentalidad de maximizar el impacto por operación.

IA e infraestructura regional: sofisticación exponencial en el lavado de dinero

El proceso de ocultación de fondos robados por parte de los hackers coreanos ha adquirido una capa adicional de complejidad tecnológica. A diferencia de otros grupos criminales que transfieren recursos en transferencias voluminosas en cadena, los actores vinculados a la RPDC fragmentan sus botines en partes cuidadosamente dimensionadas, que rara vez superan los US$ 500 mil por transacción individual, demostrando un control operacional sofisticado.

Andrew Fierman, jefe de inteligencia de seguridad nacional de Chainalysis, reveló a CoinDesk que la Inteligencia Artificial se ha convertido en el vector crítico de esta transformación. “Los hackers coreanos realizan la lavado de sus robos en criptomonedas con una consistencia y fluidez que indican inequívocamente el uso de IA”, afirmó el experto. El sistema de limpieza de recursos opera mediante un flujo de trabajo altamente coordinado: mezcladores de criptomonedas, puentes entre diferentes blockchains y protocolos DeFi trabajan en sinergia desde las fases iniciales, convirtiendo metódicamente los fondos entre diversos activos cripto.

Esta ingeniería de lavado revela una dependencia notable de intermediarios regionales específicos. Las carteras de los hackers coreanos muestran una preferencia marcada por exchanges, servicios de garantía y redes de mesa de dinero operadas en idioma chino, además de un extenso uso de puentes y plataformas de mezcla. Significativamente, evitan ampliamente los protocolos DeFi descentralizados tradicionales y los exchanges peer-to-peer, lo que sugiere tanto limitaciones estructurales como un acceso concentrado en facilitadores geográficos y lingüísticos específicos.

El cronograma preciso: 45 días para la conversión final de activos

El análisis forense post-ataque realizado por Chainalysis identificó patrones temporales notablemente consistentes en las operaciones de integración de fondos. Cuando los hackers coreanos realizan grandes robos, la ventana típica de conversión y ocultación de recursos se extiende aproximadamente 45 días, pasando por fases sucesivas que comienzan con ofuscación inmediata y culminan en la integración final en portafolios diversificados.

Aunque este ciclo no sea absolutamente universal en todas las operaciones, su recurrencia a lo largo de varios años proporciona inteligencia valiosa para órganos de fiscalización y cumplimiento. Esta previsibilidad temporal ofrece una ventana crítica para interceptar fondos robados antes de su integración definitiva en circulación, información crucial para los equipos de seguridad que trabajan contra reloj.

Ataque dirigido a usuarios: disminución en frecuencia, reducción en valores medios

Simultáneamente a la intensificación contra plataformas, los hackers coreanos muestran menor interés en comprometer carteras personales. Las violaciones de cuentas individuales representaron solo el 20% del valor total desviado en 2025, en comparación con el 44% registrado en el año anterior. Aunque el número absoluto de incidentes aumentó a 158 mil eventos, la cantidad en dólares extraída por víctima individual experimentó una caída del 52%, alcanzando en conjunto US$ 713 millones.

Esta bifurcación revela un cálculo estratégico claro: los hackers coreanos amplían su alcance de acoso contra personas comunes, pero redirigen sus mayores recursos a operaciones contra sistemas corporativos, donde el retorno por esfuerzo justifica la sofisticación tecnológica empleada.

Perspectivas para 2026: escalada sin señales de desaceleración

A medida que finalizó el período de 2025, las actividades de ataque de los hackers coreanos no mostraban indicios de reducción en ritmo. El panorama actual de amenazas revela una polarización creciente: por un lado, robos masivos de bajo valor desviados de individuos aislados; por otro, incidentes raros pero catastróficos dirigidos a infraestructuras de servicio centralizadas. Los hackers coreanos consolidaron su posición firmemente en este segundo extremo, reforzando su papel como vector de amenaza crítico para el ecosistema global de criptomonedas.

Para los equipos de cumplimiento y aplicación de la ley, estos hallazgos subrayan la urgencia de adoptar mecanismos de detección en tiempo real, vigilancia de la infraestructura de lavado regional y cooperación transfronteriza para interrumpir las cadenas de facilitadores que alimentan la creciente sofisticación de estas operaciones criminales.