Los inversores minoristas en criptomonedas a quienes les han pirateado sus cuentas, o que fueron víctimas de la estafa de Coinbase (NASDAQ:COIN) del año pasado, en la que un pobre desdichado perdió más de 2 millones de dólares, saben lo estresante que es despertarse con el monedero vacío. Y lo que es peor, casi no hay forma de recuperar el dinero. ¿Quién está robando todos esos bitcoins? ¿De dónde salen todos estos hackers?
Corea del Norte. De ahí es de donde salen. Alrededor del 60 % del valor total robado en criptomonedas el año pasado podría atribuirse a ciberdelincuentes de Corea del Norte, según la empresa de servicios de seguridad Web3 CertiK. En lo que va de año, la actividad vinculada a Corea del Norte ha representado el 55 % de las pérdidas globales en criptomonedas. Parece que mantienen la tendencia. CertiK estimó que 185 incidentes provocaron al menos 1 100 millones de dólares en pérdidas totales a los titulares de criptomonedas desde enero. De esa cantidad, unos 621 millones de dólares se atribuyeron a fuentes de Corea del Norte. La mayor parte procedía del ataque a KelpDAO, que supuso 291 millones de dólares.
CertiK, fundada en 2017 por profesores de las universidades de Yale y Columbia, publicó el miércoles su informe de 23 páginas.
El establecimiento de relaciones sociales es el vector de ataque predominante. Los usuarios de Coinbase que fueron víctimas de estafadores la primavera pasada probablemente transfirieron dinero de sus cuentas a sus monederos tras recibir el consejo de estafadores que hablaban un inglés perfecto y se hacían pasar por empleados de Coinbase. Una vez que el dinero estaba en el monedero, este fue vaciado.
CertiK dio ejemplos concretos de ofertas de trabajo falsas en LinkedIn. «La mayoría de los grandes robos norcoreanos comienzan con la manipulación humana», afirmó CertiK en el informe, añadiendo que «los suplantadores de identidad de capital riesgo, las entrevistas de trabajo fraudulentas y los repositorios de código malicioso representan la mayor parte del acceso inicial en todos los clústeres».
El hackeo de Bybit de febrero de 2025, que superó con creces los 1000 millones de dólares, demostró que las carteras frías con multifirma de grado institucional pueden verse comprometidas cuando se ataca la infraestructura de terceros. Los atacantes norcoreanos nunca rompieron el contrato inteligente; rompieron la interfaz de usuario en la que los usuarios confiaban al iniciar sesión.
También puedes leer: Xi Jinping redobla la apuesta tecnológica de China mientras escala la guerra con EE. UU.
En el plazo de un mes desde ese hackeo a Bybit, el 86,3 % del Ethereum (CRYPTO: ETH) robado se había convertido en Bitcoin (CRYPTO: BTC). La red de ciberdelincuentes de Corea del Norte utiliza servicios de mezcla, puentes entre cadenas, intercambios descentralizados y pequeños corredores extrabursátiles para intercambiar los tokens que han robado, en su mayoría a inversores minoristas.
El informe afirma que las sanciones del Consejo de Seguridad de las Naciones Unidas contra Corea del Norte han convertido el robo de criptomonedas prácticamente en una actividad sancionada por el Estado.
Según el informe: «Las sanciones internacionales han restringido gravemente el acceso de Corea del Norte a la moneda extranjera y a los sistemas financieros internacionales desde la primera prueba nuclear del régimen en 2006. El Consejo de Seguridad de la ONU ha impuesto restricciones cada vez más estrictas a las exportaciones norcoreanas, las relaciones bancarias y las asociaciones comerciales. En 2017, los ingresos por exportaciones de Corea del Norte se habían desplomado. El régimen necesitaba una fuente de ingresos alternativa que pudiera eludir por completo el sistema financiero internacional. Las criptomonedas proporcionaban exactamente eso. Los activos digitales pueden ser robados de forma remota, trasladados a través de las fronteras sin intermediarios y convertidos en moneda fiduciaria a través de redes de intermediarios cómplices o inconscientes».
Los hackeos de carteras de criptomonedas ya no son principalmente una cuestión de contratos inteligentes; cada vez más, se trata de duplicación de carteras, fraude multisig y malware. La actualización de Chainalysis sobre robos a finales de 2025 situó el total de robos del año por encima de los 3 400 millones de dólares. El Informe sobre delitos criptográficos de 2026 de TRM Labs reveló que los ataques a la infraestructura a través de claves privadas comprometidas, frases de semilla, infraestructura de carteras, acceso privilegiado y superficies front-end generaron alrededor de 2 200 millones de dólares, o el 76 %, de las pérdidas por piratería de 2025.
Solo los ataques a monederos personales alcanzaron aproximadamente 158 000 incidentes que afectaron al menos a 80 000 víctimas, siendo el país de origen predominante Corea del Norte, según TRM Labs.
Los estadounidenses no son los únicos que ven cómo el valor de sus criptomonedas se reduce a 0 dólares.
El robo de ByBit convirtió a los titulares de cuentas de los Emiratos Árabes Unidos en el principal destino de los ataques a monederos en 2025, según el valor revelado. Otros grandes objetivos fueron Irán y Singapur.
La Oficina Federal de Investigación (FBI) culpó directamente al grupo TraderTraitor, con sede en Corea del Norte, del robo a Bybit.
Fuera de Corea del Norte, Predatory Sparrow reivindicó públicamente la violación de Nobitex y el patrón en cadena sugirió que los fondos fueron efectivamente quemados, con un grupo de hackers de nivel medio-alto vinculado a Israel. Los ecosistemas de drenaje de criptomonedas minoristas de habla rusa también están activos. La empresa de lucha contra la ciberdelincuencia, Recorded Future, vinculó al Equipo Rublevka de Rusia con más de 10 millones de dólares en ingresos acumulados y alrededor de 240 000 drenajes de carteras exitosos, con la actual campaña centrada en Solana generando ya unos 8,2 millones de dólares este año. Llevan atacando carteras de Solana desde al menos 2022.
Mandiant, una filial de Google, documentó que los norcoreanos utilizan las redes sociales y el establecimiento de relaciones contra la infraestructura de carteras minoristas y las empresas de tecnología financiera. Mandiant afirmó que los norcoreanos son «muy activos a la hora de atacar carteras y exchanges de criptomonedas para financiar sus programas de armamento y eludir las sanciones internacionales».
En abril de 2026, Kaspersky Threat Research identificó 26 aplicaciones fraudulentas de carteras de criptomonedas en la App Store de Apple diseñadas para robar activos digitales. Estas aplicaciones falsas, a menudo denominadas «FakeWallet» o vinculadas a la campaña SparkKitty, se dirigían a los usuarios imitando carteras de criptomonedas populares y legítimas.
El autor posee bitcoins y ethereums. Ilustración del autor realizada con Canva.
Descargo de responsabilidad de Benzinga: Este artículo procede de un colaborador externo no remunerado. No representa la información de Benzinga y no ha sido editado en cuanto a contenido o veracidad.
Recibe noticias exclusivas 30 minutos antes que otros tradersLa prueba gratuita de 14 días de Benzinga Pro te brinda acceso a noticias exclusivas para que puedas realizar transacciones antes que millones de otros inversores. Comienza tu prueba gratuita de 14 días haciendo CLIC AQUÍ.
Para más actualizaciones sobre este tema, activa las notificaciones de Benzinga España o síguenos en nuestras redes sociales: X y Facebook.