En un escenario que fusiona el crimen cibernético con la geopolítica, el año 2025 ha marcado un punto de inflexión en la relación entre los ciberataques patrocinados por estados y el ecosistema de las criptomonedas. La reciente condena de Roman Storm, cofundador de Tornado Cash, y la confirmación del papel del Grupo Lazarus en el asalto a Bybit, subrayan una tendencia preocupante: los robos de criptoactivos ya no son solo un riesgo financiero, sino una amenaza para la seguridad global.

Estos eventos no solo destacan la sofisticación de los actores estatales en el espacio digital, sino que también forzan a la industria cripto a afrontar costos de cumplimiento crecientes y una supervisión regulatoria más estricta. La percepción está cambiando: las criptomonedas, que alguna vez fueron vistas principalmente como un riesgo financiero, ahora son consideradas un asunto de seguridad nacional, dada su creciente explotación por parte de grupos como el Grupo Lazarus, conocido por sus vínculos con el gobierno de Corea del Norte (RPDC).

El Grupo Lazarus: una década de operaciones cibernéticas

Desde 2017, el Grupo Lazarus, una organización de hackers presuntamente vinculada al estado norcoreano, ha dirigido sus ataques a bancos y plataformas de intercambio de criptomonedas con el objetivo de generar fondos. Esta estrategia surge en respuesta a las estrictas sanciones internacionales que limitaron el comercio de Corea del Norte, llevando a Pyongyang a reorientar sus esfuerzos hacia el ciberdelito como fuente principal de ingresos. A medida que avanza 2025, el ritmo de estos ataques ha escalado significativamente, afectando a entidades en Asia, Estados Unidos y Europa. La comunidad global de cumplimiento de la ley lucha por mantener el ritmo ante la velocidad y la complejidad de estas operaciones.

Hacia una nueva era de cumplimiento y aplicación

La postura de las autoridades mundiales se ha endurecido de manera perceptible. La confirmación por parte del FBI del robo de 1.500 millones de dólares de Bybit, el incidente más significativo en la historia de las criptomonedas, y la condena de un cofundador de Tornado Cash por parte del Departamento de Justicia de EE. UU. (DOJ), marcan un giro crucial. Las autoridades ahora no solo persiguen a los hackers, sino también a la infraestructura que facilita el lavado de los fondos ilícitos. Los reguladores están enviando una señal clara: la aplicación de la ley se ampliará para abarcar tanto a los perpetradores como a sus facilitadores en toda la industria.

Un año de escalada: ataques y lavado de dinero

El primer semestre de 2025 ha sido testigo de una serie de incidentes que revelan la magnitud de la amenaza:

• En mayo, el exchange taiwanés BitoPro sufrió un robo de aproximadamente 11,5 millones de dólares.
• En junio, el DOJ inició una acción de decomiso para incautar 7,74 millones de dólares vinculados a esquemas de lavado de dinero.
• Posteriormente, cuatro ciudadanos norcoreanos fueron acusados en Georgia por infiltrarse en empresas estadounidenses como contratistas de TI, sustrayendo casi 900.000 dólares. Las investigaciones sugieren que estos incidentes no son aislados, sino parte de un patrón coordinado.

Un informe de TRM Labs estimó que Corea del Norte robó 1.600 millones de dólares en el primer semestre de 2025, lo que representa alrededor del 70% del crimen cripto global. En junio, el Grupo de Acción Financiera Internacional (GAFI) alertó que Corea del Norte constituye la amenaza estatal más grave para la integridad de los mercados de criptomonedas. Esto ha impulsado a los reguladores de todo el mundo a revisar de forma más agresiva los marcos de licenciamiento.

«Con más de 2.170 millones de dólares robados de servicios de criptomonedas en lo que va de 2025, este año es más devastador que la totalidad de 2024. El hackeo de 1.500 millones de dólares de Bybit por parte de la RPDC, el mayor hackeo individual en la historia de las criptomonedas, representa la mayoría de las pérdidas de servicios.»

Chainalysis

Tácticas ocultas expuestas: más allá de los robos directos

Una investigación reciente de Wired ha desvelado que más de 1.000 cuentas de correo electrónico están vinculadas a trabajadores de TI norcoreanos empleados de forma remota por empresas occidentales. Los salarios se transfieren a carteras de criptomonedas, para luego ser lavados a través de mixers y swaps entre cadenas. Esta «doble estrategia» —ingresos estables provenientes de trabajos de TI combinados con beneficios extraordinarios de los ataques a exchanges— proporciona a Pyongyang fuentes de financiación duraderas. Expertos señalan que esta combinación permite al régimen equilibrar ingresos fiables con ganancias ocasionales de miles de millones de dólares.

Las operaciones norcoreanas también han mejorado sus herramientas. Como ha informado BeInCrypto, ahora combinan ingeniería social avanzada con exploits de día cero, aumentando sus tasas de éxito incluso contra plataformas que antes se consideraban seguras.

Impacto de gran alcance: la reacción del sector y las políticas públicas

Estos incidentes han mermado la confianza en la industria. Las plataformas de intercambio europeas reportan costos de cumplimiento más altos, mientras que Corea del Sur ha ampliado sus capacidades de análisis forense en blockchain. La advertencia del GAFI ha llevado a varios gobiernos a endurecer sus marcos de licenciamiento. En consecuencia, la supervisión ha pasado de una perspectiva meramente financiera a una de seguridad, un cambio que impacta directamente tanto a inversores como a plataformas.

Riesgos de desvío militar y reacciones políticas

Datos clave adicionales consolidan la preocupación:

• Corea del Norte robó 1.600 millones de dólares en la primera mitad de 2025 (TRM Labs).
• El hackeo a Bybit ascendió a 1.500 millones de dólares (FBI).
• BitoPro perdió 11,5 millones de dólares.
• El DOJ presentó una acción de decomiso por 7,74 millones de dólares.
• Cuatro ciudadanos fueron acusados por robos de 900.000 dólares.
• Monitores de la ONU han reportado que los ingresos cibernéticos financian programas de armamento.

Mirando hacia el futuro

Funcionarios han advertido que Pyongyang está expandiendo sus pruebas a las finanzas descentralizadas (DeFi) y a las monedas de privacidad. Los analistas anticipan nuevas sanciones sobre mezcladores, carteras de custodia y pools de liquidez. Sin una coordinación global efectiva, las brechas en la aplicación de la ley se ampliarán, dejando a los inversores expuestos a riesgos continuos.

De saqueos oportunistas a una hegemonía sistemática

Entre 2017 y 2022, paneles de la ONU estimaron que Pyongyang, incluyendo al Grupo Lazarus, generó aproximadamente 2.000 millones de dólares a través del ciberdelito. En 2024, Corea del Norte representaba casi un tercio del crimen cripto global. Para 2025, su dominio se ha expandido drásticamente, impulsando la mayoría de los ataques más grandes. Este cambio de ataques oportunistas a campañas sistemáticas demuestra la creciente sofisticación del régimen.

Posibles riesgos y opiniones de expertos

Aunque las sanciones podrían endurecerse, las transacciones peer-to-peer en economías emergentes generan puntos ciegos, lo que probablemente llevará a la RPDC a pivotar hacia corredores descentralizados. Esto implica riesgos de liquidez sostenidos, costos regulatorios más altos y posibles restricciones repentinas de mercado para los inversores.

Expertos coinciden en la gravedad de la situación:

«Las actividades cibercriminales generan aproximadamente la mitad de los ingresos en divisas de Corea del Norte y se utilizan para financiar sus programas de armas.»

Informe de sanciones de la ONU, junio de 2025

«Estos fondos permiten las actividades malignas de la RPDC en todo el mundo, socavando las sanciones e impulsando la proliferación.»

Departamento de Justicia de EE. UU.

«La estrategia del Grupo Lazarus ha evolucionado de hackeos oportunistas a operaciones de financiaciónestructuradas y respaldadas por el estado, lo que los hace más difíciles de desarticular.»

Analista de TRM Labs