Mientras otros mercados cierran, existen instrumentos que operan 24/7 → Descubre los índices sintéticos.
Espacio patrocinadoLos actores de Corea del Norte extrajeron aproximadamente $577 millones en criptomonedas durante los primeros cuatro meses de 2026. Según un informe de la firma de inteligencia en blockchain TRM Labs, esta cifra indica que los hackers norcoreanos concentraron el 76% de todos los fondos perdidos por ataques en el sector durante este periodo.
El botín proviene principalmente de dos incidentes masivos ocurridos en abril: el exploit de $292 millones contra KelpDAO y el ataque de $285 millones a Drift Protocol. A pesar de representar solo el 3% del volumen total de incidentes de hackeo en 2026, la magnitud de estos ataques refleja una estrategia de «pocos golpes, pero de alto impacto».
TRM Labs atribuye el ataque a KelpDAO al grupo TraderTraitor, una operación vinculada a la conocida organización Lazarus. Por otro lado, el hackeo a Drift Protocol habría sido ejecutado por un subgrupo norcoreano distinto. En este caso, los atacantes emplearon tácticas de ingeniería social que incluyeron meses de interacción con empleados de Drift antes de ejecutar el robo.
La ejecución del ataque a Drift fue particularmente sofisticada. Los atacantes indujeron a los firmantes del consejo de seguridad de la plataforma a preautorizar transacciones justo después de que el protocolo migrara a una nueva configuración sin tiempos de espera («timelocks»). En una fase de ejecución que duró solo 12 minutos, se desplegaron 31 retiros prefirmados para vaciar los fondos.
Aceleración histórica de los robos por parte de hackers norcoreanos
La participación de los hackers norcoreanos en el robo de criptomonedas no solo se mantiene, sino que se ha acelerado significativamente en los últimos años. Según los datos de TRM Labs, la cuota de estos grupos ha crecido de forma sostenida, como se observa en la evolución reciente.
Desde 2017, el robo acumulado atribuido a este país supera ya los $6.000 millones. Los analistas señalan que el hackeo de $1.460 millones a Bybit en 2025 marcó un punto de inflexión, estableciendo una dinámica en la que los grupos más sofisticados priorizan ataques contra puentes y sistemas de gobernanza multifirma.
En el caso de KelpDAO, el ataque explotó una vulnerabilidad en el diseño de un puente de LayerZero. Los atacantes manipularon la lógica de validación tras comprometer la infraestructura de nodos, logrando drenar aproximadamente 116.500 rsETH. A diferencia del botín de Drift, que permanece inactivo en Ethereum, los fondos de KelpDAO se movieron rápidamente hacia Bitcoin a través de infraestructuras como THORChain.
Estrategias de lavado y vigilancia del cumplimiento
El informe destaca que los diferentes grupos norcoreanos emplean tácticas de lavado diferenciadas. Mientras que los responsables del ataque a Drift podrían mantener los fondos «dormidos» durante años antes de un retiro estructurado, los atacantes de KelpDAO utilizan intermediarios para movilizar los activos de forma acelerada.
Ante esta amenaza creciente, TRM Labs ha delineado prioridades críticas para el monitoreo de cumplimiento en la industria. Estas incluyen las siguientes:
- Rastreo de flujos en THORChain: vigilancia de activos provenientes de puentes comprometidos.
- Escrutinio en Solana: monitoreo de depósitos relacionados con gobernanza que involucren transacciones de tipo nonce.
- Alertas multiplataforma: implementación de mecanismos de alerta rápida una vez que se identifican direcciones vinculadas a Corea del Norte.
La sofisticación de estos actores, que combinan el espionaje tradicional con exploits técnicos avanzados, plantea un desafío sin precedentes para la seguridad de las finanzas descentralizadas (DeFi). La industria cripto se enfrenta a un adversario que no solo busca vulnerabilidades en el código, sino que también invierte tiempo en infiltrarse en las estructuras humanas de los protocolos más relevantes del mercado.
