En Resumen
- Corea del Norte robó $2.840 millones en criptomonedas desde enero de 2024, según el Equipo Multilateral de Monitoreo de Sanciones, siendo el hackeo de Bybit en febrero responsable de una porción significativa del $1.650 millones robados entre enero y septiembre.
- El Consejo de Seguridad de la ONU descubrió que Pyongyang desplegó entre 1.000 y 1.500 trabajadores de TI en China y planeaba enviar hasta 40.000 a Rusia, violando las Resoluciones 2375 y 2397 en mercados laborales de al menos ocho países.
- Andrew Fierman de Chainalysis afirmó que los fondos robados financian programas de armas de destrucción masiva, vehículos blindados y sistemas de misiles, mientras que las agencias occidentales, OFAC y exchanges como Kraken y Binance intensifican sus esfuerzos para identificar y neutralizar operaciones norcoreanas.
Corea del Norte ha robado $2.840 millones en criptomonedas desde enero de 2024, según un nuevo informe del Equipo Multilateral de Monitoreo de Sanciones.
El MSMT, responsable de monitorear la violación de las sanciones de la ONU contra la República Popular Democrática de Corea, también descubrió que la RPDC robó "al menos" $1.650 millones entre enero y septiembre de este año.
Gran parte de esto fue el resultado del hackeo de Bybit en febrero, sin embargo, el MS
MT—que enumera a Estados Unidos, Japón, Alemania, Francia, Canadá, Australia y otras naciones occidentales como estados participantes—también reporta que Corea del Norte ha estado expandiendo su uso de trabajo remoto de TI.
El despliegue de trabajadores de TI internacionalmente viola las Resoluciones 2375 y 2397 del Consejo de Seguridad de la ONU, que prohíben el empleo de trabajadores de Corea del Norte, sin embargo, esto no ha impedido que la RPDC participe en los mercados laborales de al menos ocho países.
Estos incluyen China, Rusia, Laos, Camboya, Guinea Ecuatorial, Guinea, Nigeria y Tanzania, con el informe detallando cómo entre 1.000 y 1.500 trabajadores de la RPDC estaban ubicados en China, y cómo Pyongyang planeaba enviar hasta 40.000 trabajadores a Rusia.
La creciente "contraofensiva"
Sin embargo, aunque el MSMT concluye que la fuerza cibernética de Corea del Norte es "un programa nacional de espectro completo que opera con una sofisticación que se acerca a los programas cibernéticos de China y Rusia", los contribuyentes a su informe también testifican que las agencias y empresas occidentales se están adaptando cada vez más al problema.
"Si bien los hackers vinculados a Corea del Norte representan una amenaza significativa, la capacidad de las fuerzas del orden, las agencias de seguridad nacional y el sector privado para identificar los riesgos asociados y contraatacar está creciendo", afirmó Andrew Fierman, Jefe de Inteligencia de Seguridad Nacional en Chainalysis.
En conversación con Decrypt, Fierman dio un ejemplo de agosto, cuando la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC) sancionó una red fraudulenta de trabajadores de TI vinculada a la RPDC.
Explicó que: "Estos actores fueron designados por su participación en esquemas que canalizan los ingresos derivados de trabajadores de TI de la RPDC para apoyar los programas de armas de destrucción masiva y misiles balísticos de la RPDC".
Fierman también señaló cómo decenas de millones de dólares en criptomonedas han sido recuperados del hackeo de Bybit en febrero, mientras que Decrypt reportó en junio cómo una porción de los fondos había sido rastreada hasta un exchange de criptomonedas griego.
"El sector privado está identificando más efectivamente las amenazas de trabajadores de TI de la RPDC, como lo evidenciaron recientemente los esfuerzos de Kraken en mayo de 2025", agregó Fierman. En agosto, el director de seguridad de Binance dijo a Decrypt que el exchange descarta currículums de atacantes norcoreanos que buscan ser contratados en la empresa a diario.
Las criptomonedas y el programa de armas de Corea del Norte
La capacidad de identificar y frustrar las actividades norcoreanas es de considerable importancia, ya que, como el informe y Fierman dejan claro, los fondos generados por las actividades de la RPDC generalmente se desvían a su programa de armas.
"El informe del MSMT detalla cómo estos fondos se están utilizando para adquirir todo, desde vehículos blindados hasta sistemas de misiles portátiles de defensa aérea", señaló Fierman. "Mientras tanto, las operaciones de espionaje cibernético de la RPDC apuntan a industrias críticas como semiconductores, procesamiento de uranio y tecnología de misiles, creando un peligroso ciclo de retroalimentación entre sus crímenes financieros y capacidades militares".
Ante tales amenazas, Fierman recomendó una mayor colaboración entre entidades públicas y privadas, algo de lo cual el informe del MSMT es producto, dado el involucramiento de Chainalysis, Mandiant de Google Cloud, DTEX, Palo Alto Networks, Upwork y Sekoia.io.
Afirmó que: "Las iniciativas de intercambio de datos, las asesorías gubernamentales, las soluciones de seguridad en tiempo real, las herramientas avanzadas de rastreo y la capacitación especializada pueden empoderar a las partes interesadas para identificar y neutralizar rápidamente a actores maliciosos mientras construyen la resiliencia necesaria para salvaguardar los criptoactivos".
Al hacer uso de inteligencia blockchain y medidas tradicionales de ciberseguridad, las partes afectadas podrán identificar y congelar fondos robados antes de que sean lavados, mientras también mapean las redes financieras de Corea del Norte.
Con base en esto, Fierman y Chainalysis recomiendan que las organizaciones "implementen un monitoreo integral de blockchain, desarrollen una debida diligencia mejorada para la contratación de contratistas de TI, desplieguen sistemas avanzados de detección de amenazas, mantengan auditorías de seguridad regulares y establezcan protocolos claros para transacciones grandes".