- Los hackers de la RPDC robaron 2.000 millones de dólares en criptomonedas en 2025, un aumento del 51% a pesar de menos ataques.
- Los atacantes pasaron de campañas de volumen a ataques de precisión en bolsas de alto valor.
- La Fundación Ethereum identificó 100 actores de la RPDC infiltrados en las cadenas de contratación de criptomonedas.
Hackers vinculados a estados norcoreanos robaron más de 2.000 millones de dólares en criptomonedas durante 2025, un aumento del 51% respecto al año anterior, según un nuevo informe de amenazas de la empresa de ciberseguridad CrowdStrike. El detalle más llamativo no es la cifra en dólares, sino cómo se alcanzó esa cifra.
El número de ataques disminuyó y la tasa de éxito por ataque aumentó drásticamente. Los grupos afiliados a la RPDC han pasado de llevar a cabo campañas de alto volumen a realizar menos operaciones y más cuidadosamente dirigidas contra intercambios de alto valor y protocolos Web3.
Por qué las criptomonedas son el objetivo
El análisis de CrowdStrike es directo sobre por qué el sector de las criptomonedas atrae específicamente a actores estatales norcoreanos . Los fondos robados pueden ser retirados y trasladados con un anonimato significativamente mayor que los robos equivalentes de los sistemas bancarios tradicionales. Los ingresos casi con toda seguridad se están lavando para financiar los programas militares del país.
El sector de servicios financieros es ahora la cuarta industria más objetivo a nivel mundial en ciberataques, según el mismo informe. Dentro de esa categoría, los exchanges de criptomonedas y la infraestructura Web3 tienen la mayor combinación de liquidez y liquidez de salida, lo que los convierte en los objetivos más eficientes para los actores estatales que operan a gran escala.
La infiltración ha pasado por dentro de la cadena de contratación
La evolución más preocupante del informe es cómo los atacantes están accediendo a proyectos cripto en primer lugar. La seguridad perimetral tradicional ya no es el punto de fallo. La cadena de contratación lo es.
En abril de 2025, la Fundación Ethereum identificó a 100 personas respaldadas por la RPDC que habían infiltrado directamente proyectos cripto, normalmente como contrataciones remotas integradas en equipos de desarrolladores. El caso del Protocolo de Deriva es el ejemplo más llamativo. Trabajadores tecnológicos afiliados a la RPDC conocieron al equipo de Drift Protocol en una importante conferencia de la industria de criptomonedas y establecieron una relación de trabajo de seis meses antes de que se identificara el compromiso.
El investigador de Onchain ZachXBT ha seguido patrones de infiltración similares en varias empresas, lo que sugiere que el incidente de Drift no fue aislado, sino parte de una estrategia coordinada.
Cómo ha evolucionado la operación
CrowdStrike describe la estructura operativa como que ha madurado significativamente. Los grupos vinculados a la RPDC operan ahora a través de contratistas distribuidos y redes de intermediarios específicamente vinculadas al sector cripto. Este enfoque descentralizado aumenta la resiliencia y permite una adaptación más rápida a las actualizaciones de seguridad de la plataforma.
La dependencia de colaboradores remotos, entornos de desarrollo abiertos y externalización global en Web3 se ha convertido en una vulnerabilidad estructural. Cada desarrollador remoto es un posible punto de entrada. Cada contratista que incorpora es un posible compromiso.
Lo que la industria está haciendo al respecto
Los equipos de seguridad de las principales plataformas cripto están aumentando las medidas de monitorización y verificación a lo largo de los procesos de incorporación y contribución de código. Se están profundizando las verificaciones de antecedentes. La verificación de identidad se está superponiendo en capas. Los commits de código de los nuevos colaboradores están siendo auditados de forma más agresiva.
El reto es que los actores de la RPDC sigan adaptando sus técnicas en paralelo. A medida que los equipos de seguridad estrechan la cadena de contratación, los actores amenazantes refinan sus historias de cobertura, redes profesionales y tácticas de ingeniería social para eludir los nuevos controles.
Relacionado: Un informe de CertiK muestra que hackers norcoreanos robaron 1.100 millones de dólares en criptomonedas en 2026
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
