Un solo estado nación se adjudicó dos tercios de cada dólar robado del ecosistema cripto global en la primera mitad de 2026.
No es un error de redondeo. No es el resultado de un golpe espectacular aislado.
Es el producto de una operación de hackeo sostenida e industrializada, que lleva casi una década afinando sus métodos y ahora supera, combinados, a todos los demás actores de amenazas del sector.
La escala es asombrosa incluso para los estándares del crimen cripto, un ámbito que nunca ha carecido de cifras dramáticas.
Los grupos vinculados a Corea del Norte representaron el 66,2% de las pérdidas globales por hackeos de activos digitales en el primer semestre de 2026, según cifras que circulan esta semana entre investigadores de seguridad en blockchain.
Esa concentración de pérdidas en un único clúster de amenaza marca un cambio cualitativo en el perfil de riesgo de toda la industria. Y llega en un momento en que el capital institucional fluye hacia las criptomonedas al ritmo más rápido desde 2021.
TL;DR
- Los hackers vinculados a Corea del Norte capturaron el 66,2% de todas las pérdidas por hackeos cripto en la primera mitad de 2026, lo que representa un nuevo pico en la concentración de robo cripto patrocinado por un Estado.
- El Lazarus Group y unidades afines de la RPDC han pasado de hackeos oportunistas a exchanges a operaciones altamente estructuradas dirigidas a protocolos DeFi, puentes entre cadenas y a la ingeniería social de desarrolladores.
- Los fondos financian directamente los programas de armas de Corea del Norte, convirtiendo la seguridad cripto en un asunto geopolítico que los reguladores en Washington, Bruselas y Seúl ahora tratan con urgencia.
La cifra del 66% y qué mide realmente
Antes de analizar el panorama estratégico, merece escrutinio la metodología detrás de esta cifra.
El 66,2% se refiere a la cuota del total de pérdidas verificadas por hackeos cripto atribuibles a monederos vinculados a la RPDC en el primer semestre de 2026, basada en análisis forense on-chain que rastrean los flujos de fondos desde el robo inicial, pasando por el uso de mezcladores y hasta su conversión final.
Chainalysis, que ha publicado los datos longitudinales más completos sobre crimen cripto, informó en su Informe sobre Crimen 2024 que los grupos vinculados a Corea del Norte robaron aproximadamente 1.340 millones de dólares en 47 incidentes en 2023, el 61% del valor total robado ese año.
La cifra del primer semestre de 2026 representa una concentración aún mayor. Sugiere que la brecha entre las capacidades de la RPDC y las de todos los demás actores de amenazas se está ampliando en lugar de cerrarse.
Ese 66,2% es la mayor concentración de robo de activos digitales patrocinado por un Estado jamás registrada en un solo período de seis meses.
Es importante señalar lo que la cifra del 66% no capta.
Excluye las estafas de salida (exit scams), los rug pulls y el fraude, categorías que Chainalysis suele clasificar por separado de los hackeos. El denominador incluye únicamente pérdidas por hackeos verificadas.
Incluir todas las categorías de crimen cripto reduciría el porcentaje de la RPDC. Pero no disminuiría el importe absoluto de dólares robados.
También lee: La demanda spot de XRP sube mientras los perp de Binance lanzan una advertencia de 783 millones de dólares
Cómo el Lazarus Group se convirtió en una superpotencia cripto
El Lazarus Group —la denominación general utilizada por las agencias de inteligencia de EE. UU. e investigadores privados para las unidades cibernéticas más capaces de la RPDC— no comenzó como una operación centrada en las criptomonedas.
Su perfil inicial incluía ataques destructivos, robos bancarios mediante explotación de la red SWIFT y ransomware.
El giro hacia las criptomonedas fue gradual. Comenzó en serio alrededor de 2017, cuando el grupo apuntó a exchanges surcoreanos, y luego se intensificó con fuerza tras la brecha de Ronin Network en 2022.
El hackeo de Ronin, en el que el Lazarus Group robó aproximadamente 625 millones de dólares de la sidechain de Axie Infinity, fue un punto de inflexión estratégico.
Demostró que la infraestructura DeFi —con su complejidad de contratos inteligentes, dependencias de puentes entre cadenas y vulnerabilidades de ingeniería social sobre desarrolladores— ofrecía una superficie de ataque mucho más lucrativa que los exchanges centralizados, que habían endurecido sus defensas tras una década de brechas.
Ese robo de 625 millones de dólares en marzo de 2022 sigue siendo el mayor hackeo DeFi registrado. Sirvió como plantilla operativa para las campañas cripto posteriores de la RPDC.
Desde 2022, el grupo ha refinado sistemáticamente tres vectores de ataque.
El primero son las credenciales de desarrolladores comprometidas, normalmente mediante falsas ofertas de trabajo en LinkedIn que instalan malware cuando el objetivo abre un documento o ejecuta un repositorio.
El segundo son los exploits de puentes entre cadenas, dirigidos a la lógica de contratos inteligentes que valida las transferencias de activos entre redes.
El tercero son los ataques a la cadena de suministro contra dependencias de software utilizadas por protocolos cripto, una técnica popularizada inicialmente en la ciberseguridad tradicional y ahora adaptada a objetivos blockchain.
También lee: El partido Eng vs Ind ya no es solo cricket para los traders de mercados de predicción
El perfil de objetivo ha pasado de los exchanges a DeFi
La historia temprana de los grandes hackeos cripto se escribió con brechas en exchanges centralizados. Mt. Gox en 2014, Bitfinex en 2016, Coincheck en 2018. Estos ataques se basaban en comprometer la infraestructura de hot wallets, explotar vulnerabilidades de API o corromper a insiders. Los perpetradores solían ser grupos criminales oportunistas, más que actores estatales con respaldo institucional.
El manual actual de la RPDC es fundamentalmente distinto. TRM Labs, en su informe 2024 Crypto Threat Intelligence, encontró que la proporción del robo cripto total de la RPDC atribuible a exploits de protocolos DeFi, en lugar de hackeos de exchanges centralizados, pasó de aproximadamente el 30% en 2021 a más del 70% en 2024. Ese cambio sigue el crecimiento de la propia liquidez on-chain.
El valor total bloqueado en protocolos DeFi a nivel global alcanzó un máximo de más de 180.000 millones de dólares a finales de 2021, cayó con fuerza durante el mercado bajista de 2022 y desde entonces se ha recuperado hasta niveles que vuelven a representar un objetivo atractivo. Datos de DefiLlama (https://defillama.com/) a mediados de 2026 muestran un TVL total en DeFi por encima de 110.000 millones de dólares en todas las cadenas, con los puentes entre cadenas controlando una cuota desproporcionada de ese valor en forma de fondos agrupados.
Los contratos de puentes DeFi son objetivos estructuralmente atractivos para atacantes sofisticados porque agregan grandes pools de liquidez en contratos inteligentes únicos, a la vez que requieren una validación compleja de mensajes entre cadenas, difícil de auditar por completo.
Los puentes entre cadenas se convirtieron en una obsesión específica para las unidades de la RPDC debido a su topología de riesgo única. Un contrato de puente debe confiar en afirmaciones de una cadena remota que no puede verificar de forma nativa. La lógica de validación es compleja, y a menudo se basa en un comité de firma múltiple o en una prueba de cliente ligero. Cualquiera de los dos enfoques crea supuestos explotables. El puente Ronin utilizaba un multisig de nueve de nueve que, en la práctica, se vio comprometido hasta un umbral de cinco de nueve mediante ingeniería social. Ese umbral de cinco firmas fue alcanzado por los atacantes, autorizando retiros que vaciaron el puente.
También lee: ¿Vale la pena pagar el doble por Fable 5 cuando Opus 4.8 sigue cumpliendo?
El vector de la falsa oferta de trabajo y el ataque a desarrolladores
El elemento más constante y subestimado de la campaña de la RPDC en el primer semestre de 2026 es la infraestructura de ingeniería social dirigida a desarrolladores individuales y empleados de protocolos. No se trata de un hackeo técnico en el sentido tradicional. Es una operación de inteligencia basada en relaciones, paciente, que culmina en la ejecución de código.
El manual estándar, documentado en detalle por Mandiant en su análisis de amenaza financiera APT38 y por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. en la Alerta CISA AA22-108A, implica que operativos de la RPDC creen perfiles profesionales convincentes en LinkedIn, a menudo usando fotos de perfil generadas por IA. Se acercan a desarrolladores que trabajan en protocolos cripto ofreciéndoles trabajo como contratistas, entrevistas laborales u oportunidades de revisión de código.
En casos documentados, los operativos de la RPDC mantuvieron relaciones en LinkedIn con desarrolladores objetivo de criptomonedas durante semanas o meses antes de entregar una carga de malware, ganando confianza mediante conversaciones técnicamente creíbles sobre la base de código específica del objetivo.
Cuando el objetivo entra en contacto, el atacante acaba enviando un archivo que requiere ejecución. Puede ser un PDF con una carga maliciosa incrustada, un repositorio de GitHub que contiene una dependencia maliciosa o una falsa prueba técnica que instala una puerta trasera. Una vez que el atacante logra una base en la máquina del desarrollador, puede recolectar claves privadas, tokens de sesión de sistemas internos y credenciales de la infraestructura en la nube utilizada para gestionar los despliegues del protocolo.
La sofisticación de estas tácticas refleja una inversión institucional en desarrollo de capacidades que ningún grupo criminal privado puede replicar. Las unidades cibernéticas de la RPDC son empleados del Estado que se forman a tiempo completo, operan bajo una disciplina de seguridad operativa y cuentan con años de conocimiento institucional acumulado sobre qué protocolos son más vulnerables y qué desarrolladores son más abordables.
La infraestructura de lavado detrás de las cifras de robo
Robar criptomonedas es solo el primer paso. Convertirlas en ingresos utilizables para el régimen requiere una compleja cadena de lavado que se ha convertido en sí misma en objeto de intensa investigación on-chain. El movimiento de fondos posterior al robo es donde los investigadores atribuyen con mayor fiabilidad los ataques a la RPDC, porque el grupo tiene patrones de comportamiento identificables. patrones en cómo mueve y oculta fondos.
Chainalysis documentó el flujo estándar de lavado de la RPDC como un proceso de múltiples etapas. Los activos robados se convierten primero en Ethereum (ETH) o Bitcoin (BTC) usando intercambios descentralizados on-chain, convirtiendo tokens ilíquidos específicos de protocolos en activos más líquidos. Esos activos luego pasan por servicios de mezcla, siendo Tornado Cash el que el grupo utilizó históricamente antes de que sus sanciones por parte de la OFAC en agosto de 2022 lo obligaran a adaptarse a herramientas alternativas de ofuscación como Sinbad y Yomix, ambas también sometidas desde entonces a sanciones de Estados Unidos.
La OFAC designó el mezclador Sinbad en noviembre de 2023 y el mezclador Yomix en abril de 2025, demostrando una dinámica de gato y ratón en la que cada herramienta de lavado de la RPDC enfrenta eventualmente acciones sancionatorias que empujan al grupo hacia nueva infraestructura.
Después de la mezcla, los fondos se enrutan a través de una red de cuentas anidadas en exchanges, corredores OTC que operan en jurisdicciones sin una aplicación efectiva de AML, y plataformas peer‑to‑peer. La vía de salida más comúnmente utilizada han sido históricamente los exchanges que operan en el Este y Sudeste de Asia con una aplicación limitada de KYC. Un informe de 2024 del Panel de Expertos de las Naciones Unidas sobre Corea del Norte identificó específicamente los ingresos por robos de criptomonedas como una fuente primaria de financiación para el programa de misiles balísticos de la RPDC, estimando que los ingresos cripto financiaron aproximadamente el 40% de las necesidades de divisas para el desarrollo de armas de destrucción masiva.
También lea: Ethereum Podría Alcanzar Un Estado Casi Cero Bajo El Plan De Cadena Más Radical Y Ligera De Buterin
La Respuesta Regulatoria Y Sus Límites
El gobierno de Estados Unidos ha desplegado un amplio conjunto de herramientas contra las operaciones cripto de la RPDC, incluidas designaciones de la OFAC sobre monederos y servicios de mezcla, avisos de atribución del FBI para ataques específicos y comunicados conjuntos con agencias de inteligencia aliadas. El Departamento de Justicia ha imputado a múltiples operativos identificados de la RPDC, aunque la persecución penal es efectivamente imposible dada la ausencia de vías de extradición.
La limitación de la respuesta estadounidense es estructural. Las sanciones sobre direcciones de monederos son efectivas solo contra actores que usan infraestructura financiera regulada como vía de salida. Tienen un efecto mínimo sobre actores sofisticados que se enrutan a través de jurisdicciones fuera del alcance de AML de Estados Unidos. La acción de la OFAC contra Tornado Cash fue significativa y controvertida, pero la RPDC se adaptó en cuestión de meses migrando hacia infraestructura alternativa.
El Departamento de Justicia ha acusado a siete hackers militares identificados de la RPDC en relación con operaciones de robo de criptomonedas, pero ninguno ha enfrentado juicio. Las acusaciones funcionan principalmente como herramientas de atribución y como elementos disuasorios para servicios de terceros que, de otro modo, podrían facilitar el movimiento de fondos.
El Grupo de Acción Financiera Internacional (GAFI/FATF), el organismo intergubernamental de estándares AML, ha elevado a Corea del Norte a su categoría de mayor riesgo y mantiene un llamado permanente a que las jurisdicciones miembro apliquen debida diligencia reforzada a cualquier transacción con nexo con la RPDC. Pero las recomendaciones del GAFI no son vinculantes, y las jurisdicciones más útiles para la RPDC como vías de salida son, por lo general, no miembros del GAFI o miembros con historiales débiles de implementación.
El Reglamento de Mercados de Criptoactivos (MiCA) de la UE, que entró plenamente en vigor a finales de 2024, incluye requisitos de travel rule que exigen la identificación de la contraparte para transferencias de cripto por encima de ciertos umbrales. Sus defensores sostienen que esto cierra algunas vías OTC de salida. Los críticos señalan que las operaciones de la RPDC son lo suficientemente sofisticadas como para esquivar los requisitos de KYC utilizando monederos no alojados y jurisdicciones fuera del alcance de la UE.
También lea: La Imagen Muse De Meta Convierte Instagram En Materia Prima Para Arte De IA
Lo Que Realmente Muestran Las Pruebas On-Chain
La atribución de robos de criptomonedas a Corea del Norte no es una afirmación política. Se basa en datos on-chain verificables que cualquier investigador con acceso a datos públicos de blockchain y herramientas de agrupamiento de monederos puede replicar de forma independiente. Entender cómo funciona esa atribución es esencial para evaluar su credibilidad.
Cuando la RPDC roba de un protocolo, la transacción inicial es inmediatamente visible on-chain. Los fondos robados se mueven a monederos controlados por el atacante, que luego ejecutan una secuencia de swaps, transacciones de puente y operaciones de mezcla. Elliptic, otra firma de análisis de blockchain, ha publicado una metodología detallada que muestra que los monederos de la RPDC se agrupan alrededor de firmas de comportamiento que incluyen patrones de tiempo específicos, rutas de swap preferidas, cantidades características de “dust” que se dejan en monederos intermedios y una tendencia a mantener fondos robados en clústeres de monederos durante períodos prolongados antes de moverlos.
El análisis de agrupamiento de monederos de Elliptic ha identificado más de 15.000 direcciones asociadas a operaciones de robo de la RPDC, creando un grafo de monederos interconectados que los analistas forenses usan para rastrear flujos de fondos incluso después de la mezcla.
Los avisos de atribución del FBI para hacks específicos, incluyendo la brecha de Alphapo y el exploit de Atomic Wallet en 2023, se basan en esta metodología forense combinada con inteligencia de señales clasificada.
La combinación de datos públicos on-chain e inteligencia gubernamental ha producido niveles de confianza en la atribución que superan lo típico en investigaciones de ciberdelitos tradicionales, donde no existe evidencia on-chain.
También lea: Saylor Dice Que Un Crecimiento De Bitcoin Del 3,3% Puede Mantener Viva La Estrategia De Dividendos
El Esquema De Trabajadores De TI Como Canal De Ingresos Paralelo
Separado de las operaciones de hackeo, la RPDC dirige un programa paralelo de generación de ingresos cripto que recibió una atención significativa de las fuerzas del orden en 2024 y 2025. Miles de nacionales norcoreanos, que operan bajo identidades falsas utilizando documentación generada por IA y tecnología de video deepfake, han conseguido empleo remoto en empresas de criptomonedas y startups Web3 en toda Norteamérica y Europa.
El Departamento de Justicia imputó a catorce individuos en mayo de 2024 por operar un esquema que colocó trabajadores de TI norcoreanos en más de 300 empresas estadounidenses, con las ganancias canalizadas de vuelta a la RPDC.
La acusación alegaba que los trabajadores individuales ganaban entre 250.000 y 300.000 dólares anuales, con el esquema total generando decenas de millones de dólares a lo largo de varios años.
La acusación de mayo de 2024 del Departamento de Justicia documentó que los trabajadores de TI norcoreanos ganaban hasta 300.000 dólares al año cada uno en empresas cripto y tecnológicas estadounidenses, con los fondos remitidos a la RPDC a través de una red de facilitadores en Estados Unidos, el Reino Unido y China.
El esquema de trabajadores de TI es particularmente insidioso para la industria cripto porque planta acceso interno dentro de los equipos de desarrollo. Un trabajador de TI con credenciales legítimas y acceso a repositorios es más peligroso que un atacante externo que intenta penetrar las defensas perimetrales.
Varios investigadores de seguridad han señalado que los patrones sospechosos en commits de código, el acceso inexplicado a repositorios y horarios de trabajo inusuales se tratan ahora como posibles indicadores de trabajadores de TI de la RPDC por parte de las firmas cripto con mayor conciencia de seguridad.
La intersección del esquema de trabajadores de TI y la campaña de ingeniería social dirigida a desarrolladores significa que la superficie de ataque de la RPDC contra la industria cripto es multidimensional. Hackers externos, desarrolladores comprometidos mediante ofertas de trabajo falsas e infiltrados plantados representan todos vectores de amenaza activos que operan simultáneamente.
También lea: OpenAI Obtiene La Aprobación De GPT-5.6 Mientras Trump Autoriza Una Implementación De IA Más Amplia
La Respuesta Más Amplia De Seguridad De La Industria
La respuesta de la industria a la amenaza de la RPDC ha sido sustantiva pero desigual.
Los protocolos con mayores recursos ahora realizan extensas auditorías de seguridad previas al despliegue, ejecutan programas de recompensas por bugs con pagos de seis cifras y mantienen equipos internos de seguridad con experiencia en investigación ofensiva.
Esa concentración de inversión en seguridad en la parte alta de la jerarquía de protocolos refleja la misma ley de potencia que gobierna el cripto en general.
Immunefi, la principal plataforma de recompensas por bugs de Web3, informó pagos totales de recompensas de más de 100 millones de dólares a mediados de 2025, tras haber facilitado la identificación de vulnerabilidades que podrían haber permitido pérdidas potenciales por miles de millones.
El mayor pago único en su historia fue una recompensa de 10 millones de dólares a un investigador white-hat que detectó una falla crítica en un importante protocolo DeFi antes de que pudiera ser explotada.
Pero esa concentración del gasto en seguridad en protocolos de primer nivel deja a proyectos DeFi más pequeños —que aún controlan colectivamente miles de millones en TVL— significativamente desprotegidos.
El problema de los puentes cross‑chain, que se sitúa en el centro de tantos hacks importantes, ha producido sus propias respuestas arquitectónicas.
La principal de ellas es el movimiento hacia puentes más minimizados en confianza, usando pruebas de conocimiento cero para verificar el estado de la cadena de origen sin depender de comités de validadores.
Proyectos como Succinct Labs y Polyhedra Network han construido infraestructura de light clients ZK diseñada específicamente para eliminar el supuesto de comité de confianza que hizo explotables puentes como Ronin.
Si bienque la infraestructura de seguridad esté mejorando lo suficientemente rápido como para superar el desarrollo de capacidades de la RPDC es genuinamente incierto.
La cuota del 66% en el primer semestre de 2026 sugiere que incluso con una inversión sustancial de la industria, el atacante mantiene el ritmo.
Implicaciones geopolíticas y lo que viene después
El robo de criptomonedas es la fuente más importante de divisas fuertes para Corea del Norte.
No es una figura retórica. Refleja una realidad operativa documentada, reconocida por el Departamento del Tesoro de EE. UU., las Naciones Unidas y los servicios de inteligencia aliados.
El Panel de Expertos de la ONU estimó los ingresos de la RPDC por robo de criptomonedas en aproximadamente 3.000 millones de dólares entre 2017 y 2023, con un ritmo que se ha acelerado en los años posteriores.
Los fondos no desaparecen en una tesorería del régimen en ningún sentido convencional.
Fluyen directamente hacia los programas de armamento, en particular los esfuerzos de miniaturización de cabezas nucleares y de misiles balísticos que representan la principal prioridad estratégica de Pionyang.
Cada dólar robado de un protocolo DeFi potencialmente se traduce en capacidad material y técnica para sistemas de armas que los planificadores de defensa de EE. UU., Corea del Sur y Japón modelan activamente en sus evaluaciones de amenazas.
El Panel de Expertos de la ONU vinculó esos 3.000 millones de dólares en robos entre 2017 y 2023 directamente a la financiación de programas de armamento, lo que convierte la seguridad de la cadena de bloques en un componente vivo de los cálculos de seguridad regional en el noreste de Asia.
Lee a continuación: 5 rivales más baratos que Fable 5: no pagues de más por trabajo de IA diario
Reflexiones finales
La cifra de participación del 66,2% del primer semestre de 2026 no es una curiosidad estadística.
Es una señal sobre el estado actual de la contienda entre uno de los programas cibernéticos estatales más capaces del mundo y una industria que históricamente ha priorizado la velocidad de salida al mercado por encima de la seguridad operativa.
La trayectoria de esa contienda —que va desde ataques oportunistas a exchanges en 2017, pasando por la brecha del puente Ronin en 2022, hasta la actual campaña multivectorial que apunta simultáneamente a desarrolladores, puentes y personas internas— muestra a un actor de amenazas que aprende, se adapta y escala más rápido de lo que la inversión defensiva de la industria ha logrado contener.
Los factores estructurales que favorecen a la RPDC no van a desaparecer a corto plazo.
Corea del Norte cuenta con una fuerza de trabajo cibernética institucional sin tentaciones del sector privado, sin rendición de cuentas pública y con un mandato estatal para generar ingresos por cualquier medio disponible.
La industria cripto, en cambio, tiene un panorama de seguridad difuso. Los protocolos más valiosos están cada vez mejor defendidos, pero la larga cola de pequeños proyectos DeFi sigue estando sistemáticamente infradotada de recursos.
Y los puentes entre cadenas, la infraestructura que conecta las islas de liquidez del ecosistema, siguen siendo arquitectónicamente complejos de maneras que crean supuestos explotables persistentes.





