Un nuevo informe revela el alarmante alcance de los hackers de criptomonedas de Corea del Norte

Según un informe publicado por el Multilateral Sanctions Monitoring Team (MSMT), los hackers vinculados a Corea del Norte robaron la asombrosa cifra de 2.83 mil millones de dólares en activos virtuales entre 2024 y septiembre de 2025.

El informe enfatiza que Pyongyang no solo sobresale en el robo, sino que también posee métodos sofisticados para liquidar las ganancias ilícitas.

Los ingresos por hackeo financian un tercio de la moneda extranjera del país

El MSMT es una coalición multinacional de 11 países, incluidos Estados Unidos, Corea del Sur y Japón. Fue establecido en octubre de 2024 para apoyar la implementación de las sanciones del Consejo de Seguridad de la ONU contra Corea del Norte.

Según el MSMT, los 2.83 mil millones de dólares robados desde 2024 hasta septiembre de 2025 representan una cifra crítica.

“Los ingresos obtenidos por Corea del Norte a través del robo de activos virtuales en 2024 representaron aproximadamente un tercio del total de ingresos en moneda extranjera del país”, señaló el equipo.

La escala del robo se ha acelerado dramáticamente, con 1.64 mil millones de dólares robados solo en 2025, lo que representa un aumento de más del 50% respecto a los 1.19 mil millones de dólares sustraídos en 2024, a pesar de que la cifra de 2025 no incluye el último trimestre.

El hackeo de Bybit y el sindicato TraderTraitor

El MSMT identificó el hackeo en febrero de 2025 al exchange global Bybit como un factor clave en el aumento de ingresos ilícitos en 2025. El ataque fue atribuido a TraderTraitor, una de las organizaciones de hacking más sofisticadas de Corea del Norte.

La investigación reveló que el grupo recopiló información relacionada con SafeWallet, el proveedor de wallets multifirma utilizado por Bybit. Luego obtuvieron acceso no autorizado mediante correos electrónicos de phishing.

Utilizaron código malicioso para acceder a la red interna, disfrazando las transferencias externas como movimientos internos de activos. Esto les permitió tomar el control del contrato inteligente de la cold wallet.

El MSMT señaló que, en los principales hackeos de los últimos dos años, Corea del Norte suele preferir atacar a proveedores de servicios de terceros conectados a los exchanges, en lugar de atacar directamente a los exchanges.

El mecanismo de lavado de nueve pasos

El MSMT detalló un meticuloso proceso de lavado de nueve pasos que Corea del Norte utiliza para convertir los activos virtuales robados en moneda fiduciaria:

1. Los atacantes intercambian los activos robados por criptomonedas como ETH en un Decentralized Exchange (DEX).

2. ‘Mezclan’ los fondos utilizando servicios como Tornado Cash, Wasabi Wallet o Railgun.

3. Convierten ETH a BTC a través de servicios de puente.

4. Mueven los fondos a una cold wallet después de pasar por cuentas de exchanges centralizados.

5. Dispersan los activos a diferentes wallets tras una segunda ronda de mezcla.

6. Intercambian BTC por TRX (Tron) utilizando puentes y operaciones P2P.

7. Convierten TRX a la stablecoin USDT.

8. Transfieren el USDT a un bróker Over-the-Counter (OTC).

9. El bróker OTC liquida los activos en moneda fiduciaria local.

Red global facilita la conversión a efectivo

La etapa más desafiante es convertir las criptomonedas en moneda fiduciaria utilizable. Esto se logra utilizando brókers OTC y compañías financieras en países terceros, incluidos China, Rusia y Camboya.

El informe nombró a individuos específicos. Entre ellos se encuentran los ciudadanos chinos Ye Dinrong y Tan Yongzhi de Shenzhen Chain Element Network Technology y el trader P2P Wang Yicong.

Supuestamente cooperaron con entidades norcoreanas para proporcionar identificaciones fraudulentas y facilitar el lavado de activos. También se implicó a intermediarios rusos en la liquidación de aproximadamente 60 millones de dólares del hackeo a Bybit.

Además, Huione Pay, un proveedor de servicios financieros perteneciente al grupo camboyano Huione Group, fue utilizado para el lavado de dinero.

“Un ciudadano norcoreano mantuvo una relación personal con asociados de Huione Pay y cooperó con ellos para convertir en efectivo activos virtuales a finales de 2023”, declaró el MSMT.

El MSMT expresó su preocupación al gobierno de Camboya en octubre y diciembre de 2024 respecto a las actividades de Huione Pay apoyando a hackers cibernéticos norcoreanos designados por la ONU. Como resultado, el Banco Nacional de Camboya se negó a renovar la licencia de pagos de Huione Pay; sin embargo, la empresa continúa operando en el país.