Hackers vinculados a Corea del Norte fueron responsables de robos sin precedentes de criptomonedas en 2025, y firmas de análisis blockchain informaron que actores afiliados al régimen robaron un valor estimado de más de 2.000 millones de dólares en criptoactivos durante el año. Estas actividades supusieron la mayor captura anual atribuida a Corea del Norte en el sector de las criptomonedas y continuaron un patrón a largo plazo de robos cibernéticos vinculados al Estado que se utilizaban para generar ingresos.
El análisis de varias organizaciones de inteligencia blockchain mostró que los actores cibernéticos norcoreanos se centraron en una mezcla de grandes brechas de intercambio y otros compromisos de alto valor. Uno de los eventos más significativos fue una gran explotación del exchange de criptomonedas Bybit en febrero de 2025, donde atacantes tomaron el control de claves privadas y retiraron grandes cantidades de activos digitales poco después de su ejecución. Este único robo, valorado en aproximadamente 1.500 millones de dólares, fue uno de los mayores robos individuales de criptomonedas jamás registrados y representó una gran parte del valor robado conocido del año.
Los investigadores también documentaron que la cuota de Corea del Norte en el robo global de criptomonedas era considerable en comparación con otros actores amenazantes. En 2025, hasta un 60–76 % del valor total robado de servicios centralizados se atribuyó a actores vinculados a la República Popular Democrática de Corea (RPDC), según estimaciones de informes industriales. Este patrón demostró tanto la estrategia de segmentar los intercambios centralizados como la escala a la que se llevaron a cabo estas operaciones en comparación con otros grupos maliciosos.
El contexto más amplio de estas actividades muestra un cambio tanto en la táctica como en la escala. Elliptic, una firma de inteligencia blockchain, informó que los operadores cibernéticos norcoreanos realizaron más de 30 ataques independientes contra exchanges y otros servicios de criptomonedas en 2025, elevando su total acumulado de criptomonedas robadas desde 2017 a más de 6.000 millones de dólares. Se dice que estos robos de 2025 fueron impulsados por una combinación de compromiso técnico de la infraestructura del intercambio e ingeniería social dirigida a administradores de servicios y usuarios privilegiados.
Parte de la estrategia operativa ha consistido en apuntar a grandes plataformas de custodia y trading donde un único compromiso de acceso privilegiado puede resultar en pérdidas de valor extremadamente altas. Al apuntar a servicios centralizados con reservas sustanciales, los atacantes pudieron maximizar el impacto económico de cada incidente. Los analistas señalaron que este enfoque en las reservas concentradas de criptomonedas contribuyó a la proporción desproporcionadamente grande de las pérdidas de 2025 vinculadas a Corea del Norte.
Junto a las graves brechas de plataforma, también se reportaron incidentes menores pero notables atribuidos a hackers vinculados a la RPDC. Por ejemplo, observadores del sector y autoridades surcoreanas informaron de investigaciones sobre robos de decenas de millones de dólares en criptomonedas de servicios como Upbit, donde a finales de 2025 surgieron compromisos de claves privadas o retiradas anormales, citando las fuerzas del orden tácticas e infraestructuras consistentes con grupos vinculados a Corea del Norte.
Los datos del sector sugieren que 2025 no solo representó un año récord para el robo de criptomonedas en Corea del Norte en términos absolutos, sino también un periodo en el que los métodos utilizados se volvieron más sistemáticos, reflejando un enfoque industrializado para generar ingresos mediante una combinación de brechas de alto valor, ingeniería social y lavado sofisticado de activos robados. Los analistas de blockchain señalaron que los fondos robados a menudo pasaban por complejos servicios de mezcla y puente, seguidos de conversiones tanto online como offline, ilustrando cómo las operaciones norcoreanas de robo de criptomonedas han madurado tanto técnica como operativamente.
Las implicaciones financieras de estos robos van más allá de las pérdidas inmediatas en sí. Los beneficios de los robos de blockchain se han vinculado a los esfuerzos del gobierno norcoreano para evadir sanciones internacionales y subvencionar las prioridades estatales. Análisis independientes y monitorizaciones por parte de firmas de inteligencia financiera han identificado patrones de blanqueo y transferencias entre cadenas que se alinean con las conocidas fuentes de ingresos por ciberdelincuencia en la RPDC, subrayando las consecuencias geopolíticas más amplias de la amenaza.
En conjunto, los datos de 2025 muestran que los actores cibernéticos norcoreanos reforzaron su posición como fuerza dominante en el panorama del robo de criptomonedas. Sus operaciones contribuyeron con una parte importante de los aproximadamente 3.400 millones de dólares en activos criptoactivos totales reportados en toda la industria, con la cuota vinculada a la RPDC superando significativamente a la de otros grupos vinculados a estados o criminales durante el año.
La evolución continua de estas operaciones pone de manifiesto los desafíos que enfrentan los operadores de intercambio, custodios y titulares individuales para proteger los activos digitales. A medida que crece la sofisticación técnica y económica de los atacantes, la ciberseguridad de las plataformas de criptomonedas y la protección de las claves privadas y el acceso administrativo siguen siendo preocupaciones centrales para la industria.