Ciberdelincuentes vinculados a Corea del Norte impulsan un nuevo récord global de robo de criptomonedas en 2025

**Introducción**

El año 2025 ha registrado un preocupante incremento en los incidentes de robo de criptomonedas a nivel global, situando a los actores de amenaza vinculados a la República Popular Democrática de Corea (RPDC, comúnmente conocida como Corea del Norte) en el epicentro de esta tendencia. Según análisis recientes, estos grupos han sido responsables de la sustracción de al menos 2.020 millones de dólares en criptoactivos entre enero y principios de diciembre, lo que supone un incremento del 51% respecto al año anterior. Este fenómeno no solo pone en evidencia la sofisticación y persistencia de los actores estatales norcoreanos, sino que subraya los desafíos críticos a los que se enfrentan los responsables de ciberseguridad en el ecosistema de los activos digitales.

**Contexto del Incidente o Vulnerabilidad**

Durante los últimos años, Corea del Norte ha consolidado su posición como uno de los principales actores estatales en operaciones de cibercrimen financiero, especialmente en el sector de las criptomonedas. El 2025 ha sido testigo de una aceleración significativa en la frecuencia y alcance de estos ataques. Los ciberataques se han dirigido principalmente a exchanges, plataformas DeFi, wallets y puentes inter-cadena (cross-chain bridges), aprovechando tanto vulnerabilidades técnicas como deficiencias en los controles internos de seguridad y procesos KYC/AML.

El incremento de ataques coincide con una mayor adopción de soluciones blockchain, la expansión de servicios DeFi y la aparición de nuevos vectores de ataque dirigidos a smart contracts y APIs expuestas. Además, la presión internacional y las sanciones sobre el régimen norcoreano han intensificado su interés en las criptomonedas como vía de obtención de recursos.

**Detalles Técnicos**

Los actores asociados a Corea del Norte, entre los que destacan grupos como Lazarus Group (APT38), han empleado una combinación de técnicas avanzadas para comprometer infraestructuras críticas de criptomonedas. Según informes de inteligencia, los principales vectores de ataque identificados en 2025 son:

– **Exploits de Smart Contracts**: Aproximadamente un 38% de los incidentes han involucrado la explotación de vulnerabilidades en contratos inteligentes, como reentrancy attacks y fallos en funciones de validación.
– **Phishing y Compromiso de Credenciales**: Campañas de spear-phishing dirigidas a empleados de exchanges y desarrolladores de DeFi, usando malware personalizado y kits de phishing avanzados.
– **Ataques a Puentes Cross-Chain**: Utilización de vulnerabilidades en bridges como Poly Network y Wormhole, permitiendo la transferencia fraudulenta de activos entre blockchains.
– **Herramientas y Frameworks**: Uso documentado de Cobalt Strike, Metasploit y exploits públicos para CVEs recientes, destacando CVE-2025-1347 (vulnerabilidad crítica en wallets sin custodia) y CVE-2025-2511 (desbordamiento de buffer en módulos de autenticación de exchanges).
– **Tácticas MITRE ATT&CK**: Técnicas T1190 (Exploitation of Public-Facing Application), T1110 (Brute Force), T1566 (Phishing), T1041 (Exfiltration Over C2 Channel).
– **IoC**: Se han identificado direcciones wallet, hash de malware y dominios C2 asociados al ecosistema norcoreano, compartidos por plataformas como VirusTotal y MISP.

**Impacto y Riesgos**

El impacto económico de estos ataques es devastador: los 2.020 millones de dólares robados representan un 59% del total sustraído globalmente en 2025 (más de 3.400 millones de dólares), y la tendencia sigue al alza. Más de 25 exchanges han reportado incidentes, afectando a millones de usuarios. El riesgo reputacional y la posible sanción regulatoria bajo el GDPR y, para operadores europeos críticos, bajo la directiva NIS2, se ha incrementado notablemente. Asimismo, los ataques han provocado interrupciones en la operativa de plataformas y una desconfianza creciente por parte de inversores institucionales.

**Medidas de Mitigación y Recomendaciones**

Se recomienda a las organizaciones e infraestructuras de criptomonedas:

– Realizar auditorías de seguridad frecuentes en smart contracts y sistemas de backend.
– Implementar autenticación multifactor avanzada (MFA) y sistemas robustos de gestión de identidades (IAM).
– Monitorización continua de IoC e integración con plataformas de threat intelligence.
– Uso de soluciones EDR y segmentación de redes para limitar movimientos laterales.
– Simulaciones periódicas de ataques (red team) y formación de empleados frente a técnicas de spear-phishing.
– Cumplimiento estricto de regulaciones KYC/AML y colaboración con organismos internacionales de ciberseguridad.

**Opinión de Expertos**

Diversos analistas de amenazas y responsables de seguridad, como los equipos de Chainalysis y Kaspersky, advierten que la sofisticación de los ataques norcoreanos seguirá en aumento. “Lazarus y grupos afines han demostrado una capacidad única para adaptar sus TTPs y explotar ágilmente nuevas vulnerabilidades, especialmente en entornos DeFi poco maduros en seguridad”, señala Juan Rodríguez, analista senior en una firma europea de ciberinteligencia.

**Implicaciones para Empresas y Usuarios**

Empresas del sector cripto y usuarios individuales deben asumir que la amenaza persistente avanzada (APT) es una realidad cotidiana. La inversión en ciberseguridad ya no es opcional, especialmente ante la presión de reguladores europeos y la obligación de notificación de incidentes graves bajo NIS2. El incumplimiento puede derivar en sanciones económicas y pérdida de licencia de operación.

**Conclusiones**

El 2025 marca un punto de inflexión en la cibercriminalidad asociada a criptomonedas, con Corea del Norte liderando el panorama de amenazas. La colaboración internacional, la mejora continua de las defensas técnicas y el fortalecimiento del cumplimiento normativo serán claves para contener la escalada de incidentes en los próximos años.

(Fuente: feeds.feedburner.com)