El mega‑saqueo cripto de 2025: cómo Corea del Norte robó más de 2.000 millones de dólares
Grupos vinculados a Corea del Norte robaron unos 2,02 mil millones de dólares en criptomonedas en 2025, impulsados principalmente por el hackeo de 1.460 millones al exchange Bybit. Los ataques combinaron compromisos de cadena de suministro, ingeniería social asistida por IA, infiltración de empleados remotos falsos...
How did North Korean cyber operatives steal a record $2.02 billion in cryptocurrency in 2025, including the $1.46 billion Bybit hack, what tNorth Korean cyber groups executed record‑scale cryptocurrency thefts in 2025 through supply‑chain attacks, social engineering, and insider infiltration.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: How did North Korean cyber operatives steal a record $2.02 billion in cryptocurrency in 2025, including the $1.46 billion Bybit hack, what t. Article summary: The FBI publicly attributed the Bybit hack to North Korea and said the theft involved approximately $1.5 billion in virtual assets from cryptocurrency exchange Bybit on or about February 21, 2025.. Topic tags: general, government, news, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# North Korean hackers stole a record $2 billion of crypto in 2025, Chainalysis says. ## North Korea-linked hackers drove a record year for crypto thefts, favoring rare but massive" source context "North Korea stole $2 billion in crypto in 2025, Chainalysis says" Reference image 2: visual subject "# North Korean hacker
openai.com
En 2025, hackers vinculados al Estado norcoreano lograron un récord histórico: robar aproximadamente 2,02 mil millones de dólares en criptomonedas en un solo año. Se trata de la mayor cifra anual atribuida a un actor estatal en la historia del cibercrimen financiero.
Gran parte del monto provino de un solo ataque masivo contra el exchange de criptomonedas Bybit en febrero de 2025, que terminó con unos 1.460 millones de dólares en activos digitales robados, el mayor hackeo de criptomonedas jamás registrado.
Investigaciones del FBI, firmas de análisis blockchain y compañías de inteligencia de amenazas muestran que estos ataques no fueron incidentes aislados. Más bien formaron parte de una estrategia coordinada que mezcla técnicas técnicas avanzadas con manipulación humana, incluyendo infiltración laboral, ataques a la cadena de suministro y operaciones rápidas de lavado de dinero.
El hackeo récord de Bybit
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "El mega‑saqueo cripto de 2025: cómo Corea del Norte robó más de 2.000 millones de dólares"?
Grupos vinculados a Corea del Norte robaron unos 2,02 mil millones de dólares en criptomonedas en 2025, impulsados principalmente por el hackeo de 1.460 millones al exchange Bybit.
¿Cuáles son los puntos clave a validar primero?
Grupos vinculados a Corea del Norte robaron unos 2,02 mil millones de dólares en criptomonedas en 2025, impulsados principalmente por el hackeo de 1.460 millones al exchange Bybit. Los ataques combinaron compromisos de cadena de suministro, ingeniería social asistida por IA, infiltración de empleados remotos falsos y redes sofisticadas de lavado de criptoactivos.
¿Qué debo hacer a continuación en la práctica?
Gobiernos y analistas advierten que estas operaciones financian al Estado norcoreano y sus programas de misiles y armas, convirtiendo el robo cripto en un problema de seguridad nacional.
El evento central de la campaña ocurrió el 21 de febrero de 2025, cuando atacantes drenaron aproximadamente 1.460 millones de dólares en activos digitales del exchange Bybit, con sede en Dubái.
Las autoridades estadounidenses atribuyeron la operación a actores norcoreanos conocidos como "TraderTraitor", vinculados al aparato cibernético del país.
Según análisis de inteligencia de amenazas, el ataque estuvo relacionado con un compromiso de la cadena de suministro de software, donde los atacantes distribuyeron herramientas manipuladas que parecían legítimas. Esto permitió que los sistemas de la plataforma confiaran en software ya comprometido.
CrowdStrike atribuye esta intrusión a un grupo que rastrea como PRESSURE CHOLLIMA, el cual habría distribuido software troyanizado a través de un entorno de desarrollo comprometido.
Una vez dentro de la infraestructura del exchange, los atacantes movieron grandes cantidades de criptomonedas a miles de direcciones en diferentes blockchains, una táctica diseñada para dificultar el rastreo del dinero.
Menos ataques, pero mucho más grandes
Los datos de análisis blockchain muestran un cambio estratégico claro.
Aunque el número total de ataques disminuyó, el valor robado creció hasta 2,02 mil millones de dólares en 2025, lo que representa un aumento del 51 % respecto al año anterior.
En lugar de realizar muchos ataques pequeños, los grupos vinculados a Corea del Norte se enfocan ahora en operaciones de alto impacto contra grandes plataformas de criptomonedas y servicios financieros.
Analistas de seguridad describen este modelo como “cibercrimen industrializado”, con infraestructura dedicada para cada etapa: acceso inicial, robo de activos y posterior lavado del dinero.
Las tácticas clave detrás de la ola de robos
Compromiso de la cadena de suministro
El caso de Bybit muestra una tendencia creciente: los atacantes ya no necesitan hackear directamente a la víctima principal.
En su lugar, comprometen proveedores de software, herramientas de desarrollo o dependencias tecnológicas. Si logran insertar código malicioso en esas herramientas, los propios usuarios terminan instalando el acceso para los atacantes sin saberlo.
Este tipo de ataques es especialmente peligroso porque aprovecha relaciones de confianza dentro del ecosistema tecnológico.
Ingeniería social impulsada por inteligencia artificial
Los informes de inteligencia indican que los atacantes utilizan cada vez más herramientas de IA para mejorar campañas de phishing, suplantación de identidad e investigación de objetivos.
La IA permite generar mensajes más convincentes, crear identidades digitales realistas y automatizar la recopilación de información sobre empleados o ejecutivos de empresas objetivo.
El resultado es una ingeniería social más rápida, más creíble y más difícil de detectar.
Falsos trabajadores remotos de TI
Otra táctica importante consiste en colocar operativos norcoreanos dentro de empresas tecnológicas mediante empleos remotos falsos.
Según autoridades estadounidenses, el país ha desarrollado redes de trabajadores que utilizan identidades robadas o inventadas para conseguir empleos como desarrolladores o especialistas de TI, incluidos puestos en empresas vinculadas al ecosistema cripto.
Una vez contratados, estos trabajadores pueden:
obtener acceso legítimo a sistemas internos
recopilar credenciales sensibles
facilitar robos de criptomonedas o esquemas de lavado
Grandes empresas tecnológicas han reportado miles de intentos de infiltración, lo que evidencia la escala del programa.
Infiltración humana y acceso interno
Los investigadores también describen un cambio hacia lo que llaman “infiltración fuera de línea”: acceso obtenido mediante relaciones humanas —empleados, contratistas o socios— en lugar de vulnerabilidades puramente técnicas.
Este enfoque híbrido permite evadir muchos controles tradicionales de ciberseguridad.
Los grupos de hackers involucrados
Las empresas de seguridad suelen rastrear estas operaciones mediante nombres de clústeres en lugar de una única organización.
Entre ellos:
PRESSURE CHOLLIMA: vinculado por CrowdStrike al compromiso de cadena de suministro que facilitó el robo de 1.460 millones en Bybit.
Otros clústeres vinculados al ecosistema Lazarus: involucrados en espionaje, intrusiones financieras y ataques a infraestructuras cripto.
En informes públicos hay menos detalles confirmados que vinculen incidentes específicos de 2025 con otros clústeres como FAMOUS CHOLLIMA o STARDUST CHOLLIMA, aunque se consideran parte del panorama general de operaciones cibernéticas norcoreanas.
Cómo se lava el dinero robado
Tras los grandes robos, los atacantes suelen mover los fondos a través de miles de direcciones blockchain y diferentes criptomonedas para ocultar el origen del dinero.
También utilizan:
servicios de mezcla (mixers)
exchanges descentralizados
puentes entre distintas blockchains
Estas técnicas permiten romper el rastro de las transacciones y dificultar las investigaciones.
En algunos casos, gran parte del dinero robado puede moverse o blanquearse en cuestión de semanas tras el ataque inicial.
Por qué los gobiernos lo consideran un problema de seguridad nacional
Para Estados Unidos y otros países, estas operaciones no son solo delitos financieros.
Funcionarios han señalado que los ingresos obtenidos mediante ciberataques ayudan al gobierno norcoreano a evadir sanciones internacionales y a financiar programas de armas, incluidos misiles balísticos y desarrollo nuclear.
El Departamento de Justicia de EE. UU. también ha perseguido redes relacionadas con empleos remotos falsos y lavado de criptomonedas, incautando activos y presentando cargos contra intermediarios que ayudaban a mover el dinero.
El impacto para la seguridad del ecosistema cripto
El récord de 2025 revela un cambio importante en el panorama de amenazas:
Los actores estatales ven a las plataformas de criptomonedas como infraestructura financiera estratégica.
Los ataques combinan exploits técnicos con manipulación humana e infiltración interna.
Un solo incidente puede generar pérdidas de miles de millones de dólares.
Para investigadores de seguridad, la lección es clara: a medida que crece la adopción de las criptomonedas, el cibercrimen patrocinado por Estados probablemente seguirá siendo uno de los mayores riesgos para la industria.
Esto implica reforzar áreas críticas como la seguridad de la cadena de suministro de software, la verificación de identidades en trabajos remotos y el monitoreo avanzado de transacciones blockchain.
Comments
0 comments