Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

SOLICITAR DEMO
Buscar en
Buscar en
Perspectivas
27 de febrero de 2025

El pirateo de Bybit: Tras el mayor exploit de Corea del Norte

Blog TRMPerspectivas
El pirateo de Bybit: Tras el mayor exploit de Corea del Norte

El 21 de febrero de 2025, Bybit, una de las mayores bolsas de criptomonedas del mundo, sufrió un ciberataque sin precedentes, que se saldó con el robo de aproximadamente 1.500 millones de dólares en tokens Ethereum. Este suceso se ha convertido en el mayor ataque del que se tiene constancia, superando a anteriores ataques de gran repercusión y suscitando una gran preocupación por la creciente sofisticación de los ciberdelincuentes. 

Para poner en perspectiva la magnitud del hackeo de 1.500 millones de dólares, según el informe 2025 Crypto Crime Report de TRM, Corea del Norte fue responsable de unos 800 millones de dólares en criptomoneda robada (incluyendo solo los ataques para los que TRM tiene una confianza moderada o superior) en todo 2024. Según el informe, Corea del Norte representó aproximadamente el 35 % de todos los fondos robados en 2024 y los ataques norcoreanos fueron casi cinco veces mayores que los de otros actores, lo que subraya su énfasis en las operaciones de alto impacto.

Salida de fondos de ByBit tras el pirateo inicial, como muestra el TRM Graph Visualizer.

Casi inmediatamente después del pirateo de ByBit, TRM identificó y etiquetó las direcciones comprometidas como "pirateadas" o "fondos robados" y estableció una entidad de seguimiento específica denominada "Bybit Exploiter Feb 2025" para supervisar en tiempo real el movimiento de los activos robados. 

A través de Inteligencia en Blockchain, TRM Labs confirmó que hackers norcoreanos fueron los responsables de la brecha, vinculándola con anteriores robos de criptomonedas patrocinados por el Estado. Las pruebas revelaron claras coincidencias entre las billeteras utilizadas en esta operación y las asociadas a robos norcoreanos anteriores. El 26 de febrero de 2025, el FBI vinculó oficialmente el robo a Corea del Norte.

Esta atribución se alinea con un patrón de larga data de operaciones cibernéticas orquestadas por Pyongyang, que, según TRM, ha resultado en el robo de más de USD 5 mil millones en criptomonedas desde 2017. El ataque a Bybit refleja las tácticas establecidas por Corea del Norte para atacar los intercambios centralizados de criptomonedas a través de métodos como el phishing, el compromiso de la cadena de suministro y el robo de claves privadas, estrategias empleadas anteriormente en incidentes como el hackeo de Atomic Wallet en 2023, que condujo a la pérdida de 100 millones de dólares en criptomonedas de más de 4.100 direcciones individuales.

Una estrategia de blanqueo en evolución

Más allá de la magnitud del ataque a Bybit, la velocidad a la que se blanquean los fondos robados es especialmente alarmante. En 48 horas, al menos 160 millones de dólares habían sido canalizados a través de canales ilícitos, y TRM estima que el total superó los 200 millones de dólares el 23 de febrero. El 26 de febrero se habían movido más de 400 millones de dólares, lo que indica un nivel de eficacia operativa sin precedentes. 

El proceso de blanqueo, a partir del 26 de febrero de 2025, incluye transferencias a través de múltiples monederos intermediarios, la conversión en diferentes criptomonedas y el uso de intercambios descentralizados y puentes entre cadenas para ofuscar el rastro. 

El rápido proceso de blanqueo, a partir del 26 de febrero de 2025, incluye transferencias a través de múltiples monederos intermediarios, la conversión en diferentes criptomonedas, y el uso de DEXs, y puentes entre cadenas para ofuscar el rastro

Este rápido blanqueo sugiere que Corea del Norte ha ampliado su infraestructura de blanqueo de capitales o que las redes financieras clandestinas, especialmente en China, han aumentado su capacidad para absorber y procesar fondos ilícitos. La escala y la velocidad de esta operación plantean nuevos retos a los investigadores, ya que los mecanismos tradicionales de lucha contra el blanqueo de capitales tienen dificultades para seguir el ritmo del elevado volumen de transacciones ilícitas.

Históricamente, los ciberdelincuentes norcoreanos han recurrido a mezcladores de criptomonedas para ocultar el origen de los fondos robados antes de convertirlos en moneda fiduciaria. Sin embargo, la gran cantidad de activos robados en el ataque a Bybit hace que los servicios de mezcla tradicionales sean poco prácticos. En su lugar, los atacantes han adoptado una estrategia multifacética que incluye múltiples monederos intermediarios, intercambios descentralizados y puentes entre cadenas para ocultar rápidamente el origen de los fondos. 

Inicialmente, parte del Ethereum robado se canalizó a través de redes como Binance Smart Chain y Solana, pero la mayor parte ya se ha convertido directamente en Bitcoin. A pesar del rápido movimiento de los activos, la mayor parte del Bitcoin convertido permanece en gran parte inmóvil, lo que sugiere que los hackers se están preparando para una liquidación a gran escala o una mayor ofuscación a través de redes extrabursátiles (OTC).

Este cambio en las tácticas de blanqueo refleja la creciente dependencia de Corea del Norte de los puentes entre cadenas y las estrategias de transacciones de gran volumen, como se detalla en un informe de TRM sobre la actividad cibernética de la RPDC. En atracos anteriores, los hackers norcoreanos utilizaban plataformas como Ren Bridge y Avalanche Bridge, a menudo convirtiendo los fondos en Bitcoin antes de emplear mezcladores como Sinbad, YoMix, Wasabi Wallet y CryptoMixer. Sin embargo, debido a un mayor escrutinio de los servicios de mezcla y a las medidas coercitivas contra plataformas como Tornado Cash, Corea del Norte parece priorizar ahora la velocidad y la automatización sobre el anonimato tradicional. 

Según el experto en Corea del Norte de TRM, y ex experto en la materia FBI , Nick Carlsen, "El exploit Bybit indica que el régimen está intensificando su técnica de "inundar la zona": abrumar a los equipos de cumplimiento, los analistas de blockchain y los organismos encargados de hacer cumplir la ley con transacciones rápidas y de alta frecuencia a través de múltiples plataformas, complicando así los esfuerzos de rastreo."

De la falsificación a las criptomonedas

Durante décadas, Corea del Norte ha actuado como un Estado delincuente, fuertemente sancionado por la comunidad internacional debido a sus ambiciones nucleares, violaciones de los derechos humanos y actividades financieras ilícitas. Enfrentado al aislamiento económico, Pyongyang ha recurrido durante mucho tiempo a empresas criminales para financiar su régimen, desarrollando una sofisticada red global de fuentes de ingresos ilícitos. Mucho antes de su implicación en el robo de criptomonedas, Corea del Norte se dedicaba a la falsificación a gran escala de dólares estadounidenses, con la famosa producción de "supernotes" casi perfectos, así como al contrabando de cigarrillos falsificados, el tráfico de estupefacientes y la venta de armas. 

En 2016, el régimen intensificó sus ciberdelitos financieros con el atraco al Banco de Bangladesh, en el que piratas informáticos norcoreanos se infiltraron en la red bancaria SWIFT e intentaron robar 1.000 millones de dólares, de los que se llevaron 81 millones. Este ataque supuso el primer caso conocido de un Estado nación que realizaba delitos financieros cibernéticos a gran escala, demostrando que las capacidades cibernéticas de Corea del Norte no solo eran avanzadas, sino que también se centraban exclusivamente en el robo financiero. 

Los piratas informáticos de Pyongyang continuaron sus ataques globales, incluido el hackeo de Sony Pictures en 2014, un ciberataque de represalia que paralizó los sistemas de la compañía tras el estreno de The Interview, una película satírica sobre Kim Jong-un. A medida que las sanciones se endurecían y las operaciones delictivas tradicionales se hacían más difíciles de mantener, Corea del Norte encontró un objetivo ideal en las bolsas de criptomonedas y las plataformas financieras descentralizadas, aprovechando las vulnerabilidades del emergente ecosistema de activos digitales para robar miles de millones. Lo que comenzó como una dependencia del comercio ilícito y los robos cibernéticos se ha convertido ahora en una campaña nacional de robo de criptomonedas a gran escala, posicionando a Corea del Norte como el ciberdelincuente financiero más prolífico en el escenario mundial.

Historia de los robos de criptomonedas en Corea del Norte

El pirateo de Bybit es el último de una serie de robos de criptomoneda de gran repercusión atribuidos al grupo norcoreano Lazarus. Lazarus Group no está patrocinado por el Estado en la forma tradicional en que pensamos acerca de los grupos patrocinados por el Estado. Lazarus Group es Corea del Norte y Corea del Norte es Lazarus Group. Estos ciberdelincuentes han demostrado una capacidad constante de adaptación y evolución de sus tácticas para explotar las vulnerabilidades del ecosistema de las criptomonedas. 

  • Atomic Wallet Hack (Junio de 2023): Piratas informáticos norcoreanos atacaron a usuarios de Atomic Wallet, un proveedor de billeteras sin custodia, lo que resultó en el robo de aproximadamente USD 100 millones en criptomoneda de más de 4,100 direcciones individuales. La naturaleza del ataque sugiere que probablemente se ejecutó mediante phishing o comprometiendo la cadena de suministro.
Etapas del hackeo de Atomic Wallet visualizadas en TRM Forensics: ETH se blanquea programáticamente a través de varias capas de intermediarios con rutas entrelazadas, antes de salir a noventa y dos (92) direcciones Ethereum de primera vez. A continuación, WETH se puentea a Avalanche blockchain, se intercambia a WBTC y luego se puentea a Bitcoin blockchain.
  • Explotación de estacas (Septiembre 2023): El FBI confirmó que el Grupo Lazarus estaba detrás del robo de aproximadamente 41 millones de USD en criptoactivos de Stake.com, una plataforma de casino y apuestas en línea. Los activos robados se sustrajeron de direcciones controladas por Stake en las cadenas de bloques Ethereum, Binance Smart Chain y Polygon.
Los piratas informáticos de Stake.com movieron rápidamente los fondos robados a través de múltiples divisas y cadenas, lo que puede verse fácilmente en un gráfico de TRM's Graph Visualizer
  • Ronin Bridge Hack (Marzo 2022): En uno de los exploits DeFi más importantes, hackers norcoreanos comprometieron el Ronin Bridge, un puente de cadena cruzada asociado al juego Axie Infinity, lo que provocó el robo de más de 600 millones de USD en criptodivisas.
Hackers norcoreanos mueven fondos robados a través del mezclador Tornado Cash tras el hackeo de Ronin Bridge
  • Violación de la bolsa WazirX (2024): Piratas informáticos patrocinados por el Estado norcoreano robaron 235 millones de dólares de WazirX, la mayor bolsa de criptomonedas de la India, como parte de una campaña más amplia que obtuvo 659 millones de dólares a través de múltiples robos de criptomonedas en 2024.
  • DMM Bitcoin Exchange Hack (2024): Un importante atraco incluyó el robo de bitcoin por valor de 305 millones de USD del intercambio DMM Bitcoin de Japón, contribuyendo al récord de Corea del Norte de 1.340 millones de USD en robos de criptodivisas ese año.

Estos incidentes, entre otros, ponen de relieve un patrón de ciberagentes norcoreanos que atacan a bolsas centralizadas, plataformas financieras descentralizadas y proveedores de monederos individuales. Sus métodos a menudo incluyen sofisticadas técnicas de ingeniería social, campañas de phishing y la explotación de vulnerabilidades de software para obtener acceso no autorizado a activos digitales.

Contramedidas y respuesta de la industria

En respuesta al ataque de Bybit, la bolsa ha puesto en marcha un programa de recompensas que ofrece un 10% de recompensa sobre cualquier activo congelado o recuperado con éxito. Esta iniciativa pretende movilizar tanto a investigadores profesionales de blockchain como a analistas independientes, aumentando el escrutinio sobre las redes de blanqueo y añadiendo una capa adicional de complejidad para los autores. Estos esfuerzos de colaboración reflejan una tendencia más amplia de la industria en la que las bolsas y las empresas de seguridad aprovechan los incentivos financieros para multiplicar los recursos de investigación y mejorar el seguimiento en tiempo real de las transacciones ilícitas.

Al mismo tiempo, TRM, en estrecha colaboración con los organismos encargados de hacer cumplir la ley, las organizaciones de seguridad nacional, los reguladores y la industria de la criptomoneda en general, sigue trabajando incansablemente para rastrear, congelar y recuperar los fondos robados.

Este ataque subraya la urgente necesidad de mejorar las medidas de ciberseguridad, el control de las transacciones en tiempo real y un sólido intercambio transfronterizo de inteligencia. La capacidad de los agentes estatales y los ciberdelincuentes para orquestar ataques de esta envergadura y blanquear rápidamente los fondos robados indica que las redes de delincuencia financiera son cada vez más sofisticadas.

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
12 de junio de 2023

TRM Talks: La amenaza de Corea del Norte

flecha derecha
15 de abril de 2022

Flash TRM Talks: Corea del Norte y el informe CNAS

flecha derecha
20 de septiembre de 2023

TRM Talks: El atraco de Lázaro con Jean Lee

flecha derecha
8 de septiembre de 2023

FBI confirma que Corea del Norte está detrás de la estafa de 41 millones de dólares de Stake.com 

flecha derecha
5 de enero de 2024

Hackers norcoreanos robaron 600 millones de dólares en criptomonedas en 2023

flecha derecha
20 de enero de 2022

Las amenazas norcoreanas siguen apuntando a las empresas de criptomonedas

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME