El auge de la ciberdelincuencia sofisticada en el ecosistema cripto
El año 2025 ha marcado un punto de inflexión en la evolución del robo de criptomonedas. Lo que antes se manifestaba principalmente como estafas individuales y esquemas ‘rug pull’, se ha transformado en operaciones altamente sofisticadas, a menudo respaldadas por estados-nación, dirigidas a intercambios de gran envergadura e infraestructura crítica. Durante la primera mitad de 2025, se sustrajeron más de 2.170 millones de dólares en activos digitales, una cifra que continúa en aumento, consolidando la preocupación global sobre la seguridad en este sector. Solo en septiembre, 20 ataques relacionados con criptomonedas generaron pérdidas reportadas de 127,06 millones de dólares, evidenciando la escalada de esta amenaza.
Perfilando a los actores clave detrás de los mayores robos
A continuación, se desglosan tres de los grupos de hackers más notorios que han orquestado ataques significativos en el ámbito de las criptomonedas durante este período.
1. Grupo Lazarus: el brazo cibernético de Corea del Norte
El Grupo Lazarus, una organización de hacking con un extenso historial y vinculada directamente a Corea del Norte, es reconocido por su capacidad para eludir sistemas de seguridad avanzados. Operando bajo diversos alias como APT 38, Labyrinth Chollima y HIDDEN COBRA, sus actividades delictivas se remontan al menos a 2007, comenzando con intrusiones en sistemas gubernamentales surcoreanos. Su historial incluye incidentes de alto perfil como el ataque a Sony Pictures en 2014, el brote de ransomware WannaCry en 2017 y campañas continuas contra sectores económicos en Corea del Sur.
En los últimos años, Lazarus ha intensificado su enfoque en el robo de criptomonedas, acumulando más de 5.000 millones de dólares entre 2021 y 2025. El incidente más significativo fue el robo de 1.500 millones de dólares en Ethereum (ETH) a Bybit en febrero de 2025, catalogado como el mayor atraco de criptomonedas registrado hasta la fecha. Este evento, según Chainalysis, representó el 69% de todos los fondos sustraídos de servicios durante ese año, alterando fundamentalmente el panorama de amenazas de 2025. Otras operaciones incluyen el robo de 3,2 millones de dólares en Solana (SOL) en mayo de 2025.
2. Gonjeshke Darande: el “gorrión depredador” con motivaciones políticas
Gonjeshke Darande (gorrión depredador) es un colectivo de ciberataque con motivaciones políticas, ampliamente vinculado a Israel. En un contexto de creciente tensión entre Israel e Irán, este grupo irrumpió en Nobitex, el intercambio de criptomonedas más grande de Irán, sustrayendo aproximadamente 90 millones de dólares y posteriormente procediendo a quemar los fondos. Adicionalmente, Gonjeshke Darande expuso públicamente el código fuente de Nobitex, dañando su reputación y la confianza de sus usuarios.
El grupo ha declarado explícitamente sus motivos políticos y sus acciones han trascendido el ámbito cripto, atacando infraestructuras iraníes, bancos y otros sectores. En julio de 2021, interrumpieron el sistema ferroviario de Irán, causando demoras significativas y difundiendo mensajes en tableros públicos. En octubre de 2022, atacaron tres importantes plantas siderúrgicas, reportando incendios que generaron daños económicos y físicos considerables. En mayo de 2025, comprometieron Bank Sepah, el banco estatal de Irán, filtrando datos sensibles y afectando sus operaciones financieras.
El pulpo que Gobierna Irán tiene muchos brazos – están siendo cortados uno por uno.
Esta semana, nosotros, “Gonjeshke Darande”, atacamos las líneas de vida financieras del IRGC – las arterias que alimentan el terror y la destrucción.
Estas infraestructuras no operaban en beneficio de los ciudadanos.
Ellos…
— Gonjeshke Darande (@GonjeshkeDarand) 20 de junio de 2025
3. UNC4899: infiltración sigilosa patrocinada por Corea del Norte
UNC4899 es otra unidad de hacking con respaldo estatal norcoreano, de acuerdo con el informe Cloud Threat Horizons de Google. Este grupo opera bajo la supervisión de la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia de Corea del Norte, y ha estado activo desde al menos 2020. Su enfoque principal es el sector de las criptomonedas y la tecnología blockchain, demostrando una notable sofisticación en la ejecución de compromisos en la cadena de suministro.
Un ejemplo destacado de su modus operandi fue la explotación de JumpCloud, una herramienta que utilizaron para infiltrarse en una entidad de soluciones de software y, posteriormente, victimizar a clientes dentro del sector de las criptomonedas. Este incidente subraya los riesgos en cascada que plantean este tipo de adversarios avanzados. Entre 2024 y 2025, UNC4899 llevó a cabo dos atracos de criptomonedas de gran envergadura. En uno de ellos, atrajeron a una víctima a través de Telegram, desplegaron malware mediante contenedores Docker, y, tras evadir la autenticación multifactor en Google Cloud, robaron millones en criptomonedas. En otro ataque, se aproximaron a un objetivo mediante LinkedIn, sustrajeron cookies de sesión de AWS para eludir controles de seguridad, inyectaron JavaScript malicioso en servicios en la nube, y nuevamente, sustrajeron millones en activos digitales.
Implicaciones geopolíticas y la necesidad de seguridad colectiva
El año 2025 ha evidenciado que el robo de criptomonedas ha trascendido el ámbito de la delincuencia financiera para convertirse en una herramienta de conflicto geopolítico. Los miles de millones perdidos y las motivaciones estratégicas detrás de muchos de estos ataques demuestran que tanto intercambios, proveedores de infraestructura, e incluso gobiernos, deben considerar la seguridad de las criptomonedas como un asunto de seguridad nacional. Una respuesta coordinada que incluya la defensa robusta, el intercambio de inteligencia y la implementación de salvaguardas más estrictas en todo el ecosistema crypto es crucial para mitigar el riesgo y evitar una escalada aún mayor de pérdidas.
