Los hackers de Corea del Norte roban $6B cripto desde 2017, el 76% de las pérdidas de 2026

Los hackers norcoreanos han robado casi tres cuartas partes de toda la criptomoneda obtenida hasta ahora por ciberdelincuentes en 2026 mediante dos ataques ejecutados con precisión sobre plataformas de finanzas descentralizadas en abril, según la firma de inteligencia blockchain TRM Labs. Los dos incidentes: una brecha de 285 millones de dólares en Drift Protocol el 1 de abril y un exploit de 292 millones de dólares en Kelp DAO el 18 de abril, en conjunto representan el 76% de todas las pérdidas por hack de cripto rastreadas hasta abril. En total, TRM Labs estima que los hackers vinculados a Corea del Norte han robado más de 6 mil millones de dólares a protocolos y proyectos cripto desde 2017.

Metodología del ataque y precisión

El ataque a Drift Protocol destacó por su prolongada campaña de ingeniería social. El montaje en cadena comenzó el 11 de marzo, y la campaña incluyó reuniones presenciales entre intermediarios norcoreanos y empleados de Drift durante un periodo de meses. Los atacantes explotaron una función de Solana llamada nonce duradero, que permite mantener transacciones prefirmadas y desplegarlas en un momento posterior. El 1 de abril, 31 retiros ejecutados en aproximadamente 12 minutos, drenaron activos reales, incluidos USDC y JLP. Los fondos robados se movieron rápidamente a Ethereum y han permanecido inactivos desde entonces.

El ataque a Kelp DAO siguió una ruta técnica distinta. Los atacantes comprometieron dos nodos RPC internos y luego lanzaron un ataque de denegación de servicio contra nodos externos, obligando al único verificador del puente a depender de fuentes de datos envenenadas. Esos nodos informaron falsamente que el activo subyacente había sido quemado en la cadena de origen cuando no ocurrió ninguna acción, y aproximadamente 116.500 rsETH—con un valor cercano a 292 millones de dólares—fueron drenados del contrato del puente de Ethereum.

Escalada histórica del robo cripto norcoreano

Las cifras reflejan una concentración acelerada del robo de criptomoneda por parte de operativos norcoreanos vinculados al Estado. La participación de Pionyang en las pérdidas totales por hacks cripto creció de menos del 10% en 2020 y 2021 a 22% en 2022, 37% en 2023, 39% en 2024 y 64% en 2025. La cifra de 76% en 2026 hasta abril es la mayor participación sostenida registrada, pese a que los dos incidentes representan solo el 3% del número total de incidentes registrados.

Movimiento de fondos y blanqueo

Después del robo a Kelp DAO, el Arbitrum Security Council ejerció poderes de emergencia para congelar aproximadamente 75 millones de dólares de los fondos robados que habían quedado en la red—una intervención rara que provocó una respuesta rápida de blanqueo. Luego, aproximadamente 175 millones de dólares en ETH se intercambiaron por Bitcoin, principalmente mediante THORChain, un protocolo de liquidez entre cadenas que no requiere verificación de identidad del cliente.

THORChain procesó la gran mayoría de los ingresos de la brecha de Bybit en 2025—el peor robo de la industria, con más de 1,4 mil millones en cripto robadas—y del hack de Kelp DAO en 2026, convirtiendo cientos de millones de ETH robado en Bitcoin sin que ningún operador estuviera dispuesto a congelar o rechazar transferencias.

Evolución de la sofisticación del ataque

Analistas de TRM señalaron que el grupo parece estar afilando sus herramientas. Los analistas han empezado a especular que los operadores norcoreanos están incorporando herramientas de IA en sus flujos de reconocimiento e ingeniería social, un desarrollo coherente con la creciente precisión de ataques como el de Drift, que requirió semanas de manipulación dirigida de mecanismos complejos de blockchain.