Ilustración abstracta del Lazarus Group norcoreano: bandera RPDC y símbolos Bitcoin
$7,3B
Total robado 2017–2026
$2,02B
Solo en 2025 — récord absoluto
11 días
Para lavar $1.500M de Bybit
11 gob.
Países que confirman los datos (MSMT)

El Lazarus Group no es un colectivo criminal. Es una agencia gubernamental norcoreana, financiada por el Estado, con presupuestos, objetivos anuales y bonificaciones por rendimiento. Los números, verificados por Chainalysis, TRM Labs, Elliptic, el FBI y 11 gobiernos aliados: más de 7.300 millones de dólares robados en ocho años.

El Robo del Siglo: Bybit, 1.500 Millones en 11 Días

El 21 de febrero de 2025 es una fecha que los profesionales de ciberseguridad no olvidarán fácilmente. A las 14:13:35 UTC, Bybit, uno de los mayores exchanges de criptomonedas del mundo con sede en Dubái, pierde el control de aproximadamente 500.000 Ether. En dólares: 1.500 millones. El mayor robo de la historia de las criptomonedas.

¿Cómo sucedió? No atacando Bybit directamente. El Lazarus Group había comprometido, días antes, el portátil de un desarrollador de Safe{Wallet} — la empresa que proporciona la infraestructura de firma múltiple utilizada por Bybit para las transferencias de su cold wallet.

El 19 de febrero de 2025, a las 15:29:25 UTC, el código JavaScript de la interfaz Safe{Wallet} había sido reemplazado silenciosamente por una versión modificada. Cuando los responsables de seguridad de Bybit iniciaron una transacción rutinaria dos días después, sus pantallas mostraban exactamente lo que esperaban ver. Estaban aprobando algo completamente diferente.

"El ataque estaba diseñado para activarse durante la próxima transacción de Bybit. Se activó puntualmente." — Verichains, análisis forense, febrero de 2025

El 26 de febrero de 2025, el FBI atribuyó oficialmente el ataque a TraderTraitor, una subunidad del Lazarus Group también conocida como Jade Sleet y Slow Pisces — la misma unidad responsable del robo de 308 millones de dólares al exchange japonés DMM Bitcoin en mayo de 2024, un ataque tan devastador que obligó al exchange a cerrar.

Los fondos de Bybit: completamente lavados en 11 días. El CEO Ben Zhou admitió públicamente haber perdido el rastro de aproximadamente 300 millones de dólares durante la operación de seguimiento. No fueron recuperados. Ya era demasiado tarde.

La Máquina del Robo: Quién es Realmente Lazarus

"El Lazarus Group y Corea del Norte son la misma cosa. No es un grupo patrocinado por el Estado en el sentido tradicional. Es el Estado." — TRM Labs, febrero de 2025

El Lazarus Group opera bajo la Oficina General de Reconocimiento (RGB), el principal servicio de inteligencia exterior de la República Popular Democrática de Corea. Está organizado en subunidades especializadas:

SubunidadAliasEspecialización
TraderTraitorJade Sleet, Slow PiscesExchanges centralizados, cadenas de suministro software
UNC4736Citrine Sleet, Golden ChollimaIngeniería social a largo plazo, DeFi
KimsukyEspionaje e inteligencia
AndarielRansomware, wiper malware, sabotaje

La estructura está deliberadamente compartimentada: cada misión está aislada para resistir la atribución. Pero las firmas dejadas en la blockchain — malware reutilizado, rutas de lavado, patrones de tiempo — son rastros que los analistas de Chainalysis, Elliptic y TRM Labs han aprendido a reconocer con precisión creciente.

Los Números que No Cuadran

Datos agregados, todos verificados de fuentes primarias independientes:

AñoImporte robadoPrincipales hacks
2022$1.350MRonin Bridge ($620M), Harmony ($100M)
2023$600MAtomic Wallet ($100M), Stake.com ($41M)
2024$1.340M (récord)WazirX ($235M), DMM Bitcoin ($305M)
2025$2.020M (+51%)Bybit ($1.500M), LND.fi, WOO X, Seedify
Ene–Abr 2026$577MDrift Protocol ($285M), Kelp DAO ($292M)
TOTAL 2017–2026$7.300M+Fuente: Chainalysis, TRM Labs, Elliptic

El informe del Equipo Multilateral de Seguimiento de Sanciones (MSMT) — once países, publicado en octubre de 2025 — certificó que los robos norcoreanos entre enero de 2024 y septiembre de 2025 ascienden a 2.840 millones de dólares: una cifra que representa casi un tercio de los ingresos totales en divisas del país en 2024.

En un país cuyas principales exportaciones son carbón y mano de obra, robar criptomonedas se ha convertido en una partida presupuestaria primaria.

Ingeniería Social: Seis Meses para Robar 285 Millones

Si Bybit demostró la capacidad técnica de Lazarus, el ataque a Drift Protocol — un exchange descentralizado en Solana — demostró su paciencia estratégica.

En otoño de 2025, individuos aparecieron en conferencias internacionales de criptomonedas representando a una "empresa de trading cuantitativo". No eran norcoreanos: eran intermediarios de terceros, reclutados y entrenados por el régimen. Eran técnicamente competentes. Tenían historiales profesionales verificables. Hablaban el idioma del sector con fluidez.

Entre diciembre de 2025 y enero de 2026, el grupo comenzó a depositar más de un millón de dólares como garantía en Drift Protocol. Interactuaron con los colaboradores del proyecto en Telegram, hicieron preguntas técnicas en conferencias y construyeron confianza.

El 1 de abril de 2026, se ejecutó el ataque. Los repositorios de código compartidos durante la "colaboración" contenían archivos de configuración de VS Code con tareas maliciosas. Las aplicaciones de wallet distribuidas para pruebas beta en Apple TestFlight ocultaban malware. Simultáneamente con la ejecución del ataque, los chats de Telegram fueron eliminados.

285 millones de dólares desaparecieron en un día, tras seis meses de preparación. Los analistas de blockchain de Elliptic y TRM Labs rastrearon los flujos de fondos hasta los mismos operadores responsables del hack de Radiant Capital en octubre de 2024 (53 millones de dólares).

Dieciocho días después, el 18 de abril de 2026, Kelp DAO fue atacada por otros 292 millones de dólares en 46 minutos mediante un exploit del bridge cross-chain de LayerZero. El daño colateral: 6.600 millones de dólares en TVL de Aave evaporados en horas por contagio sistémico.

Los "Trabajadores" que No Existen

Paralelamente a los hackeos técnicos, Corea del Norte gestiona un programa complementario aún más insidioso: miles de ciudadanos norcoreanos — o proxies reclutados en terceros países — que obtienen trabajo remoto en empresas tecnológicas americanas y europeas usando identidades falsas.

No trabajan por sus salarios. Trabajan para robar datos, credenciales y código fuente. Los salarios en sí — hasta 300.000 dólares anuales por trabajador — se transfieren casi íntegramente al régimen.

El Departamento de Justicia de EE.UU. cuantificó el programa de trabajadores IT en casi 800 millones de dólares anuales para las arcas de Pyongyang (OFAC, marzo de 2026).

El 30 de junio de 2025, el DOJ coordinó redadas simultáneas en 16 estados estadounidenses: 29 cuentas financieras congeladas, 21 sitios web fraudulentos cerrados, aproximadamente 200 ordenadores incautados. Más de 100 empresas americanas habían sido infiltradas, con identidades robadas de más de 80 ciudadanos estadounidenses.

En 2026, las operaciones se han internacionalizado aún más: iraníes, sirios y saudíes son reclutados como proxies para superar los controles de identidad. El régimen graba y estudia las entrevistas de trabajo fallidas para perfeccionar las técnicas.

Cómo Desaparece el Dinero: El Ciclo de 9 Fases

El proceso de lavado documentado por el MSMT se produce en nueve fases:

  1. Los fondos robados se convierten inmediatamente en Ethereum en exchanges descentralizados
  2. Mezcladores como Tornado Cash (o alternativas post-designación OFAC) oscurecen los rastros
  3. ETH convertido a Bitcoin mediante bridges cross-chain
  4. Segunda ronda de mezcla
  5. Bitcoin almacenado en cold wallets
  6. Conversión a Tron (TRX)
  7. TRX convertido a USDT (stablecoin)
  8. USDT enviado a brokers over-the-counter
  9. Conversión final a efectivo

Los brokers OTC identificados operan principalmente en China, Rusia y Camboya. La organización camboyana Huione Group — cuyo accionista es el primo del Primer Ministro Hun Manet — procesó al menos 4.000 millones de dólares en ingresos ilícitos entre 2021 y 2025, de los cuales 37 millones están directamente vinculados a Lazarus. FinCEN la declaró "Primary Money Laundering Concern" en 2025.

La velocidad es el arma más eficaz: los fondos de Bybit fueron lavados completamente en 11 días. Las autoridades publican direcciones de wallet en horas, pero los fondos se mueven en minutos.

Por Qué Nadie Puede Detenerlo

Existe una paradoja en el corazón de la respuesta internacional a la amenaza norcoreana: las sanciones no funcionan con quien ya está bajo sanción total.

"Obviamente, las herramientas tradicionales que teníamos no han funcionado. Es muy difícil de detener, porque hay una asimetría: están tan desconectados del mundo y son un Estado tan fuera de la ley." — Matt Pearl, Center for Strategic and International Studies, NBC News, diciembre de 2025

El contexto geopolítico empeora la situación. En 2024, Rusia vetó la renovación del mandato del Panel de Expertos del Consejo de Seguridad de la ONU que monitorizaba las actividades norcoreanas. El MSMT es una respuesta informal de 11 países — sin poderes coercitivos. La supervisión internacional se debilitó exactamente cuando los robos aumentaron.

En el plano técnico, el DeFi introduce vulnerabilidades sistémicas: Kelp DAO, atacada el 18 de abril de 2026 por 292 millones de dólares en 46 minutos, usaba una configuración con un único verificador para sus bridges cross-chain. LayerZero había documentado el riesgo. Kelp no había implementado el multi-verificador.

Los Misiles Pagados con el Bitcoin de Otros

El informe MSMT de octubre de 2025 es explícito: los fondos robados se utilizan para financiar "investigación y desarrollo de armas nucleares" y para "realizar compras militares para evadir las sanciones internacionales vinculadas a su programa nuclear".

CrowdStrike, en su análisis de Golden Chollima de enero de 2026, escribe que Corea del Norte "requiere ingresos adicionales para financiar planes militares ambiciosos que incluyen la construcción de nuevos destructores, la construcción de submarinos de propulsión nuclear y el lanzamiento de satélites de reconocimiento adicionales".

Un misil balístico intercontinental como el Hwasong-17 — probado repetidamente en los últimos tres años — cuesta entre 30 y 50 millones de dólares por lanzamiento. Kim Jong Un ha lanzado más de cien entre 2022 y 2025.

Quienes perdieron fondos en un hack de criptomonedas no sabían que estaban financiando esto. Pero eso es lo que sucedió.

Conclusión: El Banco Central de Kim

Los libros de texto de economía enseñan que un Estado sin acceso a los mercados de capitales internacionales no puede financiarse. Corea del Norte ha encontrado una excepción práctica a esta regla.

Donde los bancos centrales emiten deuda para obtener capital, la Oficina General de Reconocimiento emite hackers. El resultado — acceso a miles de millones de dólares anuales — es funcionalmente idéntico. Pero no hay tenedores de bonos que convencer, no hay tipos de interés que gestionar, no hay convenios de crédito que cumplir.

El sistema cripto que se proponía como alternativa democrática a las finanzas tradicionales se ha convertido, en parte, en el mecanismo de financiación de un régimen autoritario con cabezas nucleares.

Los datos existen. Faltaba alguien que los leyera todos juntos.

¿Cómo llegó a 7.000 millones? Cada vez que un exchange, un protocolo DeFi o una empresa tecnológica ignora una advertencia de seguridad.

Fuentes primarias

  • FBI PSA250226 — Atribución hack Bybit (ic3.gov, 26 de febrero de 2025)
  • Chainalysis — 2026 Crypto Crime Report (chainalysis.com/blog)
  • MSMT Report — Robo cibernético Corea del Norte (msmt.info, octubre de 2025)
  • DOJ Comunicado de prensa — Operación trabajadores IT (30 de junio de 2025)
  • TRM Labs — The Bybit Hack: Following North Korea's Largest Exploit
  • Elliptic — North Korea Linked Hackers Stolen Over $2 Billion in 2025
  • FinCEN — Huione Group Primary Money Laundering Concern (2025)
  • OFAC SDN — Lazarus Group / Amnokgang Technology (marzo de 2026)
  • CrowdStrike — 2026 Global Threat Report (enero de 2026)