¿Por qué los hackers norcoreanos dominan el robo de criptomonedas?

El 21 de febrero empezó como un día normal, recuerda Ben Zhou, el jefe de ByBit, una bolsa de criptomonedas con sede en Dubai. Antes de irse a la cama, aprobó una transferencia de fondos entre las cuentas de la empresa, una “maniobra típica” realizada al prestar servicio a más de 60 millones de usuarios en todo el mundo. Media hora más tarde recibió una llamada. “Ben, hay un problema”, le dijo su director financiero, con voz temblorosa. “Puede que nos hayan pirateado... todo el Ethereum ha desaparecido”.

Investigadores independientes y la Oficina Federal de Investigaciones (FBI) de Estados Unidos no tardaron en señalar a un culpable conocido: Corea del Norte. Los piratas informáticos del reino ermitaño se han consolidado como una de las mayores amenazas para la criptoindustria, y como una fuente crucial de ingresos para el régimen de Kim Jong-un, ayudándole a esquivar las sanciones internacionales, a mimar a sus élites y a financiar sus programas de misiles y armas nucleares.

En 2023, los hackers norcoreanos se hicieron con un total de 661 millones de dólares, según Chainalysis, una empresa de investigación de criptomonedas; duplicaron la suma en 2024, acumulando 1.340 millones de dólares en 47 robos distintos, una cantidad equivalente a más del 60% del total mundial de criptomonedas robadas. La operación de ByBit indica un creciente grado de habilidad y ambición: en un solo ataque, Corea del Norte robó el equivalente a 1.500 millones de dólares de la bolsa, el mayor robo de la historia de las criptomonedas.

El saqueo de Corea del Norte es la recompensa a un esfuerzo de décadas. Las primeras escuelas de informática del país datan al menos de los años ochenta. La Guerra del Golfo ayudó al régimen a reconocer la importancia de la tecnología en red para la guerra moderna. Los estudiantes de matemáticas con talento fueron enviados a escuelas especiales y se les eximió del trabajo obligatorio anual en el campo, dice Thae Yong Ho, un alto diplomático norcoreano que desertó en 2016. Originalmente concebidas como una herramienta para el espionaje y el sabotaje, las fuerzas cibernéticas de Corea del Norte comenzaron a centrarse en la ciberdelincuencia a mediados de la década de 2010. Se dice que Kim considera la ciberguerra “una espada multiusos”.

El robo de criptomonedas consta de dos fases principales. La primera consiste en acceder a los sistemas del objetivo, el equivalente digital de encontrar el pasadizo subterráneo a las cámaras acorazadas de un banco. Los correos electrónicos de phishing pueden insertar código malicioso. Los operativos norcoreanos se hacen pasar por reclutadores e incitan a los desarrolladores de software a abrir archivos infectados durante falsas entrevistas de trabajo.

Otro método consiste en utilizar identidades falsas para ser contratado en puestos de trabajo remotos en empresas extranjeras, lo que puede ser un primer paso para acceder a las cuentas. “Se han vuelto muy buenos encontrando vulnerabilidades a través de la ingeniería social”, afirma Andrew Fierman, de Chainalysis. En el caso de ByBit, los hackers comprometieron el ordenador de un desarrollador que trabajaba para un proveedor de software de monederos digitales.

Una vez robada, la criptomoneda tiene que blanquearse. El dinero sucio se reparte entre varias carteras digitales, se combina con fondos limpios y se transfiere entre distintas criptodivisas, procesos conocidos en el sector como “mezcla” y “salto de cadena”. “Son los blanqueadores de criptomonedas más sofisticados con los que nos hemos topado”, afirma Tom Robinson, de Elliptic, una empresa de análisis de blockchain. Por último, hay que cobrar los fondos robados.

Una creciente variedad de servicios clandestinos, muchos de ellos vinculados a la delincuencia organizada china, pueden ayudar en esta tarea. Las tasas y las interceptaciones de las fuerzas de seguridad reducen el botín total, pero Corea del Norte puede esperar recibir “definitivamente el 80%, tal vez el 90%” de los fondos que roba, dice Nick Carlsen, un ex analista del FBI que ahora trabaja en TRM Labs, una empresa de inteligencia de blockchain.

Corea del Norte tiene varios puntos fuertes. Uno es el talento. Esto podría parecer contraintuitivo: el país es desesperadamente pobre, mientras que los ciudadanos de a pie tienen un acceso muy restringido a Internet o incluso a los ordenadores. Pero “Corea del Norte puede coger a los mejores cerebros y decirles lo que tienen que hacer”, afirma Kim Seung-joo, de la Universidad de Corea en Seúl. “No tienen que preocuparse de que vayan a trabajar a Samsung”. En el Concurso Internacional de Programación Colegial de 2019, un equipo de una universidad norcoreana quedó octavo, superando a los de Cambridge, Harvard, Oxford y Stanford.

Esos talentos también son explotados. Los hackers norcoreanos trabajan día y noche. Son inusualmente descarados cuando atacan. La mayoría de los actores estatales tratan de evitar las represalias diplomáticas y “actúan como en Ocean’s 11: guantes blancos, entran sin que nadie se dé cuenta, roban la joya de la corona y salen sin que nadie se dé cuenta”, afirma Jenny Jun, del Instituto de Tecnología de Georgia. Corea del Norte “no valora el secretismo: no tiene miedo de hacer ruido”.

Para el régimen norcoreano, las criptomonedas robadas se han convertido en un salvavidas, sobre todo desde que las sanciones internacionales y la pandemia del covid-19 engarzaron su ya limitado comercio. El robo de criptomonedas es una forma más eficaz de obtener divisas que las fuentes tradicionales, como los trabajadores en el extranjero o las drogas ilegales. El Grupo de Expertos de las Naciones Unidas (PNUMA), un organismo de vigilancia, informó en 2023 de que el ciberrobo representaba la mitad de los ingresos en divisas de Corea del Norte. El saqueo digital de Corea del Norte supuso el año pasado más del triple del valor de sus exportaciones a China. “Se puede hacer lo que costó millones de trabajadores con el trabajo de unas pocas docenas de personas”, afirma Carlsen.

Esos fondos ayudan a apuntalar el régimen. Las divisas se utilizan para comprar artículos de lujo que mantienen a raya a las élites. También sirve para fabricar armas. Se cree que la mayor parte de la criptomoneda robada a Corea del Norte se destina a sus programas de misiles y armas nucleares.

Los investigadores de criptomonedas están mejorando en el seguimiento de los fondos robados a lo largo de la cadena de bloques. Las principales bolsas de criptomonedas y emisores de monedas estables suelen cooperar con las fuerzas de seguridad para congelar los fondos robados. En 2023, Estados Unidos, Japón y Corea del Sur anunciaron un esfuerzo conjunto para luchar contra la ciberdelincuencia norcoreana. Estados Unidos ha sancionado a varios proveedores de servicios de “mezcla” que Corea del Norte utilizaba.

Sin embargo, las autoridades siguen un paso por detrás. Después de que Estados Unidos sancionara a los proveedores favoritos de Corea del Norte, los piratas cambiaron a otros que ofrecían servicios similares. Abordar el problema requiere esfuerzos multilaterales entre los gobiernos y el sector privado, pero esta colaboración se ha ido debilitando. El año pasado, Rusia utilizó su derecho de veto en la ONU para debilitar el PNUMA. Los recortes del presidente Donald Trump a la ayuda estadounidense al desarrollo han afectado a programas destinados a crear capacidades de ciberseguridad en países vulnerables.

En cambio, el régimen norcoreano destina cada vez más recursos a la ciberdelincuencia. Los servicios de inteligencia de Corea del Sur calculan que su fuerza de ciberdelincuentes pasó de 6.800 personas en 2022 a 8.400 el año pasado. A medida que la criptoindustria se expande en países con una supervisión reguladora más débil, Corea del Norte tiene un “entorno objetivo cada vez más rico”, afirma Abhishek Sharma, de la Observer Research Foundation, un think tank indio. El año pasado, señala Sharma, Corea del Norte atacó bolsas con sede en India e Indonesia.

Ya se sabe que Corea del Norte utiliza la inteligencia artificial en sus operaciones. Las herramientas de inteligencia artificial pueden ayudar a que los correos electrónicos de phishing sean más convincentes y fáciles de producir a gran escala en muchos idiomas. También pueden facilitar la infiltración en empresas como trabajadores tecnológicos a distancia. Los días malos como el del Sr. Zhou pueden ser cada vez más habituales.

© 2025, The Economist Newspaper Limited. All rights reserved.