Corea del Norte estableció un nuevo récord de robo de criptomonedas en 2025, sustrayendo $2.02 mil millones a pesar de realizar muchos menos ataques que en años anteriores, según nuevos informes de Chainalysis.
El informe indica que la estrategia cibernética de la RPDC ha cambiado de exploits de alta frecuencia a infiltraciones de alta precisión y valor, un cambio que señala una amenaza en evolución para el ecosistema global de criptomonedas.
Menos ataques, pero robos más grandes y estratégicos
Chainalysis descubrió que los grupos vinculados a Corea del Norte ahora se centran en intrusiones profundas y dirigidas, en lugar de los patrones de exploit amplios vistos en ciclos anteriores.
Los hackers de la RPDC robaron más dinero en 2025 que en cualquier año registrado, mientras que el número total de incidentes en realidad disminuyó.
Un factor importante fue la brecha de $1.5 mil millones de Bybit, pero la tendencia se extiende más allá de un solo evento.
El informe destaca un cambio hacia la infiltración de personas y sistemas internos, no solo bases de código, incluyendo la suplantación de ejecutivos, el compromiso de contratistas y la obtención de acceso ascendente para drenar fondos.
Este cambio marca una nueva fase de explotación de criptomonedas a nivel estatal: menos hackeos, pagos más grandes y un objetivo mucho más estratégico.
La RPDC depende de redes de lavado de rápido movimiento
El informe también describe cómo Corea del Norte ha refinado sus operaciones de lavado.
Chainalysis identificó un ciclo repetible de 45 días utilizado para limpiar fondos robados, que involucra:
- ofuscación rápida a través de mezcladores,
- saltos de cadena a través de puentes, y
- eventual salida a través de brokers OTC de habla china y intercambiadores instantáneos.
El uso de estos canales de salida por parte de grupos vinculados a la RPDC ha aumentado entre un 97% y un 1000%, dependiendo de la red.
Los usuarios minoristas enfrentan una amenaza diferente: drenajes masivos de billeteras
Si bien los objetivos institucionales enfrentaron las mayores pérdidas, los usuarios minoristas experimentaron una creciente ola de ataques de toma de cuentas.
Chainalysis registró 158,000 hackeos de billeteras personales en 2025, tres veces más que en 2022.
El valor total robado de las billeteras cayó a $713 millones, pero los usuarios de Solana fueron los más afectados, lo que refleja una exposición persistente a nivel individual incluso cuando las plataformas DeFi mejoran su postura de seguridad.
DeFi es más seguro, pero las instituciones son ahora el punto débil
El informe señala que, a pesar del aumento en el valor total bloqueado en DeFi, los exploits exitosos a nivel de protocolo se mantuvieron sorprendentemente bajos.
En cambio, los atacantes se dirigieron a las capas organizacionales que rodean estas plataformas:
- Contratistas de TI
- Ejecutivos
- Personal de soporte al cliente
- Administradores de sistemas internos
- Los ataques se volvieron sobre personas, no sobre contratos inteligentes.
Esta evolución sugiere que los modelos de seguridad tradicionales, que se centran en auditorías de código y endurecimiento de protocolos, ya no abordan las vulnerabilidades más explotadas.
Una nueva fase de riesgo de seguridad criptográfica global
Chainalysis advierte que las operaciones cibernéticas de la RPDC han alcanzado un nivel de sofisticación que exige un nuevo enfoque de seguridad.
Con robos de criptomonedas de por vida ahora en $6.75 mil millones, Corea del Norte sigue siendo el actor estatal más peligroso en la industria.
Reflexiones finales
- El cambio de Corea del Norte a infiltraciones de alto impacto a nivel institucional marca una nueva era de riesgo de seguridad criptográfica.
- La industria debe fortalecer sus defensas humanas y organizacionales, no solo sus contratos inteligentes.
