Los hackers vinculados a Corea del Norte se han convertido en el gran problema del sector cripto este año. Según un informe de la firma de análisis on-chain TRM Labs, el régimen de Pionyang está detrás del 76% del valor total robado en ataques a plataformas cripto en lo que llevamos de 2026. Dicho de otro modo: tres de cada cuatro dólares que han desaparecido en hackeos del sector han ido a parar a las arcas norcoreanas.
El golpe más sonado fue el ataque al exchange descentralizado Drift, donde los atacantes se llevaron 285 millones de dólares, unos 265 millones de euros al cambio actual. Es la mayor brecha cripto del año y, por sí sola, explica buena parte de ese 76%.
Qué dice el informe de TRM Labs y por qué importa
TRM Labs, una de las consultoras de referencia en seguimiento de movimientos sospechosos en blockchain, lleva años rastreando las direcciones asociadas al grupo Lazarus (la unidad de ciberataques del régimen norcoreano, vinculada a su servicio de inteligencia militar). Su conclusión para este ejercicio es contundente: los actores estatales norcoreanos no solo siguen activos, están operando más rápido y con mayor sofisticación que en años anteriores.
El patrón se repite con variaciones. Phishing dirigido a empleados con acceso privilegiado, suplantación de reclutadores en LinkedIn para colar malware en ordenadores de desarrolladores, vulnerabilidades en puentes entre cadenas y, una vez ejecutado el robo, una carrera contrarreloj para mover los fondos a través de mezcladores y cadenas pequeñas antes de que los exchanges puedan congelarlos. En el caso de Drift, los analistas detectaron movimientos en menos de 48 horas tras el ataque, un margen mucho más corto que los varios días o semanas habituales en operaciones similares de 2023 y 2024.
Por ponerlo en contexto, en 2024 Corea del Norte representaba en torno al 35-40% del total robado, según los recuentos de la propia TRM Labs y otras firmas del sector. Pasar al 76% en apenas año y medio es un salto que no se explica solo por la mejora técnica de los atacantes: también pesa que el resto de actores criminales han reducido su actividad tras varias operaciones policiales internacionales.
A quién afecta y qué consecuencias tiene
La pregunta que se hace cualquier lector es directa: si tengo cripto en un exchange grande, ¿debo preocuparme? La respuesta corta es que el riesgo individual sigue siendo bajo en plataformas reguladas con seguros y reservas, pero el riesgo sistémico está creciendo. Cada vez que un protocolo pierde cientos de millones, la confianza del sector se resiente y los reguladores aprietan.
Estados Unidos, la Unión Europea y Japón llevan meses coordinándose para reforzar las sanciones contra direcciones cripto vinculadas a Pionyang. La OFAC, la oficina del Tesoro estadounidense que gestiona sanciones internacionales, ha incluido decenas de wallets en su lista negra, lo que obliga a los exchanges a bloquear cualquier interacción con esos fondos. Pero la velocidad de los atacantes está desbordando la capacidad de respuesta.
Para los desarrolladores de protocolos descentralizados (DeFi), el mensaje también es claro. Drift no era un proyecto pequeño ni mal auditado, operaba con auditorías de firmas reconocidas y volúmenes diarios significativos. Que cayera de esa forma replantea hasta qué punto las auditorías actuales bastan para frenar a un actor estatal con recursos casi ilimitados.
Una década de Lazarus: del hack a Sony al saqueo cripto
Conviene situar este 76% en perspectiva. El grupo Lazarus saltó al gran público en 2014 con el ataque a Sony Pictures, pero llevaba años operando en silencio. Su pivote hacia el cripto se aceleró tras 2018, cuando Pionyang empezó a usar los activos digitales como vía para esquivar las sanciones financieras tradicionales que asfixian a su economía. El robo de 625 millones de dólares al puente Ronin de Axie Infinity en 2022 fue el aviso de que Corea del Norte ya no era un actor secundario, sino el más peligroso del sector.
Lo que vemos en 2026 es la maduración de esa estrategia. Pionyang ha entendido antes que muchos gobiernos democráticos cómo funciona el dinero digital, qué grietas tienen los puentes entre cadenas y cómo aprovechar la fragmentación regulatoria global. Los analistas estiman que el régimen ha financiado parte de su programa de misiles balísticos con cripto robado, una afirmación que el Consejo de Seguridad de la ONU ha recogido en sus últimos informes.
El riesgo, sin embargo, no es solo geopolítico. Es también reputacional para el sector. Cada titular que asocia cripto con financiación de armamento norcoreano refuerza la narrativa, en ocasiones injusta y en ocasiones merecida, de que el ecosistema sigue siendo terreno fértil para actores ilícitos. Las plataformas que no inviertan en seguridad seria y en colaboración con firmas de análisis on-chain pagarán un precio cada vez mas alto en confianza y en regulación. Lo que está por ver es si el sector reacciona a tiempo o si hace falta otro Drift, u otro Ronin, para que la inversión en defensa esté a la altura del adversario.
