Angela TrenardCorea del Norte vinculada a robos cripto por $578 millones en abril tras exploit de Kelp DAO
El hackeo de $292 millones a Kelp DAO se suma al de Drift ($285 millones) en el mismo mes; los fondos robados se mezclaron con los del ataque a Bybit de $1.400 millones.
La plataforma de finanzas descentralizadas Kelp DAO sufrió un exploit de $292 millones el sábado, el mayor ataque cripto de 2026 hasta la fecha, superando al hackeo de Drift por $285 millones ocurrido el pasado 1 de abril. Investigadores blockchain señalaron como responsables a TraderTraitor, un subgrupo del Lazarus Group vinculado a Corea del Norte, y confirmaron que los fondos robados se han mezclado con wallets asociadas al hackeo de Bybit de $1.400 millones en febrero de 2025.
Exploit de $292 millones expone fallas en protocolo LayerZero
Kelp DAO confirmó el lunes que el exploit se originó por una falla en la infraestructura del protocolo de mensajería cross-chain LayerZero. La compañía declaró que la brecha fue posible debido a la configuración de un solo verificador para aprobar mensajes cross-chain, una debilidad que los atacantes aprovecharon para sustraer los fondos.
«Indicadores preliminares» atribuyen el exploit a TraderTraitor, según fuentes cercanas a la investigación. El investigador blockchain Tanuki42 confirmó el martes que los fondos robados se han mezclado con exploits previos del mismo grupo, estableciendo una vinculación directa con wallets del hackeo de Bybit.
Abril de 2026: el mes más activo para robos cripto norcoreanos
Los dos grandes ataques de abril suman al menos $578 millones en pérdidas atribuidas a actores norcoreanos, convirtiendo este mes en el más activo desde el hackeo de Bybit en febrero de 2025.
El exploit de Drift, ocurrido el Día de los Inocentes, reveló tácticas en evolución. Los atacantes se acercaron en persona a contribuyentes del DeFi durante una conferencia cripto en noviembre de 2025, haciéndose pasar por una firma de trading cuantitativo. Durante meses construyeron confianza antes de ejecutar la brecha.
A menor escala, Zerion reportó que actores vinculados a Corea del Norte utilizaron ingeniería social asistida por inteligencia artificial para robar aproximadamente $100.000.
Infiltración laboral: la estrategia de larga data de Corea del Norte
Operativos norcoreanos continúan haciéndose pasar por desarrolladores de tecnología para obtener trabajos remotos en empresas tecnológicas, una táctica que, según investigadores de seguridad y la ONU, genera millones de dólares para los programas armamentísticos del régimen. Las verificaciones de antecedentes débiles han permitido a estos trabajadores infiltrarse en compañías internacionales.
En marzo de 2026, el Departamento del Tesoro de Estados Unidos sancionó a seis individuos y dos entidades por participar en esquemas de fraude de trabajadores de TI norcoreanos. En junio de 2026, el FBI emitió una guía recomendando verificar el historial profesional de los candidatos y exigir reuniones presenciales.
Los casos legales se acumulan. En agosto de 2024, Matthew Isaac Knoot fue arrestado por operar una «granja de laptops» para trabajadores norcoreanos. En julio de 2025, Christina Chapman fue sentenciada a más de ocho años de prisión por ayudar a trabajadores norcoreanos a generar más de $17 millones.
FBI reporta aumento récord de fraudes cripto en 2025
El Informe IC3 2025 del FBI reveló un aumento del 21% en denuncias de delitos relacionados con criptomonedas. Se registraron 181.565 denuncias durante 2025, con pérdidas totales de $11.370 millones, más de la mitad del total de delitos reportados.
Los inversores de 60 años o más presentaron la mayor cantidad de denuncias. De las 61.559 denuncias por estafas de inversión, 13.685 correspondieron a personas mayores de 60 años.
Las tácticas norcoreanas también se han filtrado al sector minorista. Una investigación de noviembre de 2025 reveló que operativos de Corea del Norte reclutan individuos para apoyar esquemas de trabajadores de TI remotos. Heiner García, experto en ciberamenazas de Telefónica, fue contactado por un presunto operativo norcoreano que intentó utilizarlo como proxy para eludir restricciones VPN de plataformas freelance. La táctica consiste en usar el dispositivo de la víctima en su jurisdicción local mediante software de acceso remoto como AnyDesk.
Arbitrum Security Council congela 30.766 ETH: decisión necesaria o riesgo para la descentralización
El Arbitrum Security Council tomó la decisión única de congelar 30.766 Ether vinculados al exploit de Kelp DAO, generando un debate en la industria. Mientras algunos proyectos favorecen la mínima intervención, expertos en seguridad piden acción contra los robos.
Circle, emisor de USDC, enfrentó críticas por su inacción en el hackeo de Drift.
Charles Guillemet, director de tecnología de Ledger, declaró que el resultado fue «probablemente» bueno, pero incómodo. «La congelación evitó pérdidas adicionales, pero expone que el Consejo ejerció su autoridad para anular el estado del sistema», afirmó Guillemet. «Esa autoridad existe por diseño y contradice la idea de infraestructura neutral».
En la práctica, los activos en rollups actuales pueden verse afectados por decisiones de gobernanza bajo ciertas condiciones.
La naturaleza cambiante de los ataques
El exploit de Kelp DAO no utilizó un bug novedoso de contrato inteligente, sino que expuso debilidades en infraestructura y configuración. Los ataques se están moviendo más allá del código hacia los sistemas de soporte.
Los grupos vinculados a Corea del Norte son adversarios persistentes y bien financiados, capaces de sondear múltiples frentes simultáneamente.
Pyongyang rara vez responde a acusaciones
Corea del Norte emitió un comunicado en mayo de 2020 negando su participación en ciberataques y acusando a Estados Unidos de intentar dañar su imagen. No hay respuesta conocida del régimen sobre los incidentes de abril de 2026.
