Arturo TrenardLas pérdidas por criptoataques de hackers norcoreanos aumentaron un 51% interanual en 2025, según CrowdStrike
A pesar de realizar menos campañas, los grupos vinculados a Corea del Norte robaron más de 2.000 millones de dólares en criptoactivos durante el último año, priorizando objetivos de alto valor como exchanges descentralizados y proyectos Web3 para financiar sus programas militares. Así lo revela el informe anual de la firma de ciberseguridad CrowdStrike.
El informe de CrowdStrike
La empresa de ciberseguridad CrowdStrike publicó estas conclusiones en su reporte «2026 Financial Services Threat Landscape Report», donde clasifica a los hackers de la República Popular Democrática de Corea (RPDC) como el «grupo de amenaza más grande» dirigido a usuarios de criptomonedas, medido en términos del valor de los activos robados.
El dato más relevante del informe es el incremento del 51% interanual en las pérdidas por criptomonedas atribuidas a Corea del Norte. Los analistas destacan que, a pesar de realizar menos campañas que en 2024, la efectividad fue mayor al priorizar objetivos de alto valor.
Detalles del modus operandi
Estrategia de ataque
Los ataques se centraron principalmente en plataformas Web3 y exchanges de criptomonedas. La ventaja para los atacantes radica en que los fondos robados pueden «cobrarse» y transferirse con mayor anonimato que en el sistema financiero tradicional.
«Los ingresos robados casi con certeza son blanqueados para financiar los programas militares del régimen», señala el informe de CrowdStrike, estableciendo un vínculo directo entre estas actividades delictivas y los intereses estratégicos del gobierno norcoreano.
Infiltración online y offline
La Fundación Ethereum identificó a 100 hackers y actores de amenazas respaldados por la RPDC que se infiltraron en proyectos cripto, lo que demuestra la escala de esta operación sistemática.
Uno de los casos más representativos ocurrió en abril de 2025, cuando el exchange descentralizado Drift Protocol fue infiltrado y comprometido por trabajadores tecnológicos afiliados a la RPDC. Según la investigación, los atacantes se reunieron con el equipo de desarrollo de Drift Protocol durante una importante conferencia del sector cripto y construyeron una relación laboral durante seis meses.
Durante ese período de colaboración, los atacantes desplegaron malware que comprometió las máquinas de los desarrolladores, causando pérdidas de 280 millones de dólares. Un detalle crucial es que los individuos que se presentaron en persona no eran ciudadanos norcoreanos; la RPDC utiliza intermediarios externos para la creación de relaciones cara a cara.
Por otro lado, el investigador ZachXBT documentó un grupo de trabajadores de tecnología de la información (TI) norcoreanos que ganaban 1 millón de dólares al mes trabajando para empresas tecnológicas, lo que evidencia la diversificación de sus operaciones de infiltración.
Impacto y contexto geopolítico
El informe de CrowdStrike vincula directamente las pérdidas con el financiamiento de los programas militares del régimen norcoreano. Se observa una sofisticación creciente en las operaciones, con menos ataques, pero más rentables.
La noticia también menciona la relación con esquemas de «laptop farmers» (granjeros de portátiles) vinculados a trabajadores norcoreanos de TI, un fenómeno que refleja la complejidad de las operaciones de infiltración que realiza el régimen en el sector tecnológico global.
| Indicador | Dato |
|---|---|
| Pérdidas totales en 2025 | Más de 2.000 millones de dólares |
| Incremento interanual (vs 2024) | 51% |
| Cantidad de ataques | Menor que en 2024 |
| Pérdidas en caso Drift Protocol | 280 millones de dólares |
| Identificados por Ethereum Foundation | 100 hackers de la RPDC |
| Ingresos mensuales de trabajadores TI norcoreanos | 1 millón de dólares |
Conclusiones y perspectivas
La amenaza de los grupos patrocinados por el estado norcoreano sigue siendo la más grave para el ecosistema cripto. La combinación de tácticas de ingeniería social, incluyendo reuniones presenciales en conferencias del sector, y ataques técnicos mediante malware, demuestra un alto nivel de profesionalización en sus operaciones.
Los expertos advierten que el sector financiero tradicional y las empresas de criptomonedas deben reforzar sus protocolos de verificación de identidad y seguridad en las contrataciones remotas para hacer frente a estas amenazas cada vez más sofisticadas y persistentes, que buscan financiar los programas militares del régimen norcoreano.