Corea del Norte impulsa un año récord en ciberdelincuencia cripto con más de 2.000 millones de dólares sustraídos en 2025 El robo total de criptomonedas alcanzó los 3.400 millones de dólares.

Bogotá, Colombia 18 de diciembre de 2025 — El año 2025 ha marcado un hito sombrío
en la historia de la ciberseguridad financiera. Según el informe de Chainalysis publicado el
día de hoy, la industria de las criptomonedas sufrió robos por más de 3.400 millones de
dólares, una cifra impulsada principalmente por una escalada masiva de operaciones en
la República Popular Democrática de Corea (RPDC).
El año más lucrativo para la RPDC
Los hackers norcoreanos lograron sustraer al menos 2.020 millones de dólares en 2025,
lo que supone un aumento interanual del 51% y 681 millones más que en 2024. Este
volumen convierte al 2025 en el año más grave registrado para la RPDC, cuyos ataques
representaron un récord del 76% de todos los compromisos de servicios.
Con esta cifra, el robo histórico acumulado por parte de actores norcoreanos asciende
aproximadamente a 6.750 millones de dólares. Organismos internacionales y agencias de
inteligencia han señalado que estos fondos son instrumentales para financiar los
programas de armas del régimen y otras prioridades estatales.
Infiltración de trabajadores TI y tácticas sofisticadas
A diferencia de los cibercriminales comunes, los actores de la RPDC han perfeccionado
tácticas únicas orientadas a lograr el máximo impacto en grandes servicios. Una de las
estrategias más alarmantes identificadas en 2025 es la creciente dependencia de
trabajadores de TI infiltrados en empresas de criptomonedas. Estos operativos consiguen
acceso privilegiado desde dentro para facilitar robos a gran escala.
Además, su metodología de lavado de dinero demuestra una gran sofisticación. A pesar
de robar grandes sumas, tienden a lavar el dinero en tramos pequeños —con
transferencias por debajo de los 500.000 dólares— y muestran una preferencia marcada
por redes de lavado y servicios de garantía en idioma chino.
El ciclo de lavado de 45 días
El análisis forense ha revelado un patrón temporal consistente: tras los grandes robos, el
proceso de lavado se desarrolla durante aproximadamente 45 días. Esta estructura, que
persiste a lo largo de los años, proporciona inteligencia crucial para las autoridades, pues
sugiere limitaciones operativas de los actores norcoreanos, probablemente vinculadas a
su acceso restringido a la infraestructura financiera y la necesidad de coordinarse con
facilitadores específicos.
Una escalada masiva y el cambio en billeteras personales

La magnitud de los ataques ha cambiado drásticamente. Por primera vez, los fondos
robados en los incidentes más grandes son ahora 1.000 veces mayores que los ataques
típicos de años anteriores, superando los picos de 2021.
Paralelamente, el panorama de las billeteras personales ha evolucionado. Aunque los
incidentes se dispararon a 158.000 víctimas (casi el triple que en 2022) , el valor total
robado a usuarios individuales descendió a 713 millones de dólares , representando ahora
solo el 20% del valor total robado, frente al 44% de 2024. Esto indica que, si bien los
atacantes apuntan a más usuarios, están logrando sustraer cantidades más pequeñas por
víctima
El desafío para 2026: Detección y prevención
El informe concluye con una perspectiva compleja para el futuro inmediato. La evolución
de Corea del Norte, que ha logrado resultados récord con un 74% menos de ataques
conocidos, demuestra una creciente sofisticación y paciencia operativa. Para la industria,
esto implica que la amenaza ya no radica únicamente en la frecuencia de los ataques,
sino en su magnitud catastrófica.
Chainalysis advierte que el reto principal para 2026 será detectar y prevenir estas
operaciones de alto impacto antes de que los actores afiliados a la RPDC puedan infligir
otro incidente de la escala de Bybit. Aunque el sector DeFi ha demostrado mejoras
tangibles en su infraestructura de seguridad y capacidad de respuesta , la industria
deberá centrarse en identificar los patrones de lavado específicos de los actores
estatales, quienes operan bajo reglas y objetivos distintos a los del cibercrimen
convencional.