A finales de 2025, Bybit, uno de los mayores exchanges de criptomonedas, detectó una salida masiva de fondos desde sus billeteras calientes. En pocas horas se estimó que habían salido más de 1.500 millones de dólares en ether y tokens relacionados. Bybit suspendió parcialmente operaciones y solicitó ayuda a empresas forenses y a agencias de seguridad, pero gran parte del dinero ya se había dispersado entre múltiples direcciones, puentes entre cadenas y plataformas intermedias.
El incidente no solo fue el mayor robo registrado en el sector hasta ese momento, sino también un ejemplo de las tácticas utilizadas en los ataques más costosos recientes. Las primeras investigaciones descartaron una falla técnica crítica o la explotación directa del código: los atacantes llegaron a los controles que permitían mover los fondos tras comprometer progresivamente cuentas internas.
Para miles de usuarios el efecto fue inmediato. Bybit afirmó que cubriría las pérdidas con sus reservas, pero durante días persistió la incertidumbre sobre el alcance real del daño y cómo pudo ocurrir en una plataforma que se presentaba como muy segura. Para los analistas, el caso encajaba con un patrón ya conocido.
Esa metodología se ha atribuido en múltiples ocasiones al Lazarus Group, una red de hackers vinculada al régimen norcoreano. En la última década se le ha señalado por ataques cibernéticos y financieros destinados a generar ingresos para Pyongyang, especialmente tras el endurecimiento de sanciones internacionales.
Un informe reciente de TRM Labs, especializada en análisis de blockchain y crimen financiero, concluye que el ataque a Bybit reproduce tácticas observadas en otros grandes robos atribuidos a actores norcoreanos: compromiso de accesos internos, uso de credenciales válidas y rápida dispersión de fondos para dificultar su rastreo.
Entre 2023 y 2025, firmas forenses y agencias de seguridad atribuyeron más de la mitad del dinero robado en hackeos cripto de gran escala a grupos vinculados a Corea del Norte. Los ataques compartieron objetivos y procedimientos: exchanges, procesadores de pagos y servicios de custodia fueron blancos recurrentes.
Entrar sin forzar la puerta
En muchos casos recientes, el primer contacto no fue una vulnerabilidad técnica sino ingeniería social a través de plataformas como LinkedIn. Investigaciones forenses y documentos judiciales en EE. UU. y Corea del Sur describen un patrón repetido: perfiles falsos que se hacen pasar por reclutadores, inversores o desarrolladores senior contactan a empleados del sector con ofertas laborales plausibles. Tras varios intercambios, envían una supuesta “prueba técnica” o un archivo de trabajo.
Ese archivo no evalúa habilidades: instala malware. Al ejecutarlo, roba cookies de navegador, credenciales, llaves SSH o tokens de servicios en la nube. En ocasiones los atacantes permanecen semanas o meses dentro de los sistemas, observando flujos internos y escalando privilegios antes de llevar a cabo el robo definitivo.
El mismo esquema fue detectado en ataques contra Atomic Wallet, CoinsPaid o Alphapo en 2023 y reaparece en la investigación vinculada a Bybit. El objetivo no es quebrantar la criptografía, sino alcanzar los sistemas que controlan la custodia: billeteras operativas, firmantes en esquemas multifirma o el software que autoriza retiros. Desde esos accesos, las transferencias pueden parecer legítimas incluso ante los controles internos.
Chris Wong, exagente del FBI especializado en Corea del Norte y hoy responsable de relaciones con fuerzas de seguridad en TRM, resume el fenómeno: Corea del Norte ha industrializado el robo de criptomonedas; no es solo un hackeo patrocinado por el Estado, sino una operación estatal que combina objetivos estratégicos con redes profesionales de lavado para limpiar los fondos antes de que entren al sistema financiero tradicional.
El problema ya no es robar, es cobrar
Durante años el principal desafío fue sacar el dinero de la cadena. Los mezcladores ayudaban a ocultar el origen de fondos, pero convertir grandes volúmenes en valor utilizable sin activar controles seguía siendo difícil. Las sanciones de Estados Unidos en 2022 y 2023 impulsaron un cambio en los métodos de blanqueo.
El lavado no se detuvo, sino que cambió de ruta. Los fondos robados se fragmentan y saltan entre cadenas —Ethereum, Avalanche, Bitcoin— hasta concentrarse en activos muy líquidos, sobre todo USDT en la red Tron. A partir de ahí, el proceso abandona en buena medida la visibilidad de la blockchain y entra en un circuito paralelo de intermediarios extrabursátiles, exchanges anidados y brokers en la sombra.
Estas redes de operadores, en su mayoría con presencia en China, compran criptoactivos robados con descuento y se encargan de la liquidación fuera del sistema financiero formal. La coordinación se realiza mediante plataformas de mensajería como WeChat y corredores privados que negocian fuera de los exchanges visibles. La compensación final puede realizarse en yuanes, bienes o pagos a empresas pantalla vinculadas al régimen norcoreano.
En el caso de Bybit, firmas forenses, entre ellas TRM Labs, rastrearon cientos de millones de dólares moviéndose en días a través de billeteras intermedias, exchanges descentralizados y puentes entre cadenas antes de perderse en esa red de lavado.
Un desafío que nadie logra cerrar
Para reguladores y plataformas, este modelo plantea un dilema persistente. Las herramientas tradicionales —listas negras de direcciones, sanciones a mezcladores y monitoreo por cadena— llegan tarde o resultan insuficientes cuando la limpieza del dinero ocurre fuera de la blockchain.
“No es solo un problema de ciberseguridad”, advirtió Wong. La actividad de robo cripto de Corea del Norte combina cuestiones de sanciones, seguridad nacional y crimen financiero, y su control exige inteligencia en tiempo real y coordinación transfronteriza sostenida.
Hasta ahora esa coordinación ha sido fragmentaria: Estados Unidos ha impuesto sanciones y presentado acusaciones; Corea del Sur ha intensificado la cooperación en inteligencia; China, donde operan muchas redes de intermediación, sigue siendo una zona gris. Mientras tanto, los exchanges absorben pérdidas, mejoran controles y ofrecen reembolsos para mantener la confianza de los usuarios.
El logro principal de Corea del Norte no es solo el volumen robado, sino haber demostrado la capacidad de ejecutar estos ataques de forma repetida y a gran escala, superando en muchas ocasiones la capacidad estatal para cortar todo el circuito de lavado. Queda abierta la pregunta de cómo detener a un régimen que financia parte de su actividad mediante el mismo sistema que se intenta frustrar.
