En 2026, tres de cada cuatro dólares robados en cripto en el mundo terminaron en el mismo lugar: Pyongyang. Según TRM Labs, Corea del Norte respondió por 76% de todo el valor robado en ataques cripto en 2026 (hasta abril). El número asusta — pero lo que esconde asusta más. Este dominio no vino de una avalancha de ataques. Vino de apenas dos golpes, sumando cerca de US$ 577 millones. Y los dos ya los leíste aquí.
El primero fue el hack de US$ 285 millones a Drift Protocol, que se reveló una operación de seis meses de ingeniería social ligada a Corea del Norte. El segundo fue el exploit de cerca de US$ 292 millones en KelpDAO, que cubrimos en el mes en que el cross-chain sangró — y que Chainalysis, socio de ON3X en blockchain analytics, ahora atribuye formalmente al Lazarus Group. Dos reportajes separados que, juntos, son tres cuartos de todo el crimen cripto del año. Esta es la tesis de este artículo: la era del hacker solitario terminó. Lo que existe hoy es un Estado con un centro de ganancias.
Dos golpes, no una onda
La lectura ingenua del 76% es imaginar ejércitos de hackers norcoreanos barriendo DeFi todos los días. Es lo opuesto. Corea del Norte está haciendo menos ataques, pero mayores — y dos de ellos bastaron para acaparar el año. Drift y KelpDAO no fueron bugs explotados por casualidad: fueron operaciones de objetivo único, planeadas por meses, con nueve dígitos de retorno cada una.
El contraste con el pasado es gritante. En 2020, actores ligados a Corea del Norte respondían por menos del 10% del robo global de cripto. En 2025, el régimen llevó un récord de cerca de US$ 2,02 mil millones — alza de 51% en el año —, elevando el acumulado desde 2017 a más de US$ 6 mil millones. La trayectoria es de concentración: a medida que las cifras por golpe explotan, la cuota de un único Estado en el total crece. Cripto dejó de ser objetivo de oportunistas y se convirtió en objeto de una política de Estado.
El patrón no es nuevo — es la firma del régimen. El récord de 2025 fue impulsado por un único evento: el robo de cerca de US$ 1,5 mil millones a Bybit a principios de año, el mayor hack de la historia de las criptomonedas, también atribuido al Lazarus. Un golpe definió el año 2025; dos golpes definieron 2026. Corea del Norte descubrió que no necesita volumen — necesita una operación quirúrgica de nueve o diez dígitos por ventana. Es la diferencia entre un ladrón de carteras y un asaltante de banco central.
La muerte del hacker solitario
Detrás de los golpes está la Reconnaissance General Bureau (RGB), la agencia de inteligencia norcoreana, operando a través del Lazarus Group y sus subunidades. No es un colectivo anárquico — es una estructura jerárquica, con metas, presupuesto y un destino claro para el dinero: el programa de armas y misiles del régimen, bajo pesadas sanciones internacionales.
Eso es lo que cambia la naturaleza del problema. Cuando el Crypto Crime Report 2026 de Chainalysis describe el paso de hackers solitarios a una infraestructura criminal a gran escala, Corea del Norte es el caso límite: un país entero transformado en operación de robo cibernético con fines de financiamiento militar. Cada exploit de DeFi atribuido al Lazarus no es solo pérdida de un protocolo — es una transferencia de capital a un programa de armas.
La dimensión económica es lo que hace el tema inevitable. Estimaciones de paneles de expertos de la ONU vienen señalando, hace años, que el robo de criptoactivos financia una porción significativa del programa de armas de destrucción masiva del régimen — una fuente de ingresos que eludió capas sucesivas de sanciones comerciales. Para una economía aislada y bajo embargo, algunos miles de millones de dólares en cripto líquido por año no son cambio: son una de las principales líneas de financiamiento de misiles balísticos. Por eso cada cifra robada importa mucho más allá del libro de un protocolo de DeFi.
El manual no es exploit — es gente
Aquí está el engaño más peligroso del mercado: creer que se defiende de Corea del Norte auditando smart contract. El vector principal del Lazarus no es el código. Es la persona.
El ataque a Drift es el retrato del método: una operación de seis meses, con identidades profesionales falsas, presencia en conferencias del sector a través de proxies y construcción paciente de relaciones con objetivos específicos hasta obtener acceso. En paralelo, Fireblocks documentó campañas de entrevistas de trabajo falsas — reclutadores fantasmas, entrevistas por Google Meet, pruebas técnicas enviadas vía GitHub que, al ejecutarse, instalaban malware capaz de exponer carteras, claves y sistemas de producción. Es el mismo ADN del "Mach-O Man", el malware para macOS distribuido vía Zoom falso para ejecutivos de cripto que mapeamos en abril.
Hay también la estrategia "Wagemole": infiltrar trabajadores de TI norcoreanos, con identidades fraudulentas, dentro de empresas legítimas de todo el mundo. Una vez contratados, actúan como empleados comunes mientras transmiten inteligencia a los equipos de ataque o facilitan el robo desde adentro. La superficie de ataque dejó de ser el perímetro técnico y pasó a ser Recursos Humanos.
Cómo desaparece el dinero
Robar es la mitad del trabajo; el resto es lavar. Después de que Estados Unidos sancionó Tornado Cash y Sinbad.io, los operadores de Corea del Norte migraron los flujos de lavado a puentes cross-chain — sobretodo THORChain y LI.FI —, haciendo "chain hopping": convierten Ethereum en Bitcoin, después en stablecoins como DAI, saltando de blockchain en blockchain para embarullar el rastro.
No es coincidencia que THORChain aparezca tanto en el lavado como en la lista de puentes explotados que cubrimos en el cluster de tres puentes en cuatro días. La infraestructura cross-chain se convirtió, al mismo tiempo, en objetivo y lavandería. La respuesta posible es la congelación en la capa del emisor — como cuando Tether congeló USDT a pedido del OFAC —, pero eso solo funciona para stablecoins centralizados y cuando la atribución llega a tiempo.
Por qué esto es geopolítica, no soporte técnico
Vale cerrar con el contraste que rodea toda nuestra cobertura de cyber. En el caso de Comando Vermelho, el crimen cripto es territorial y analógico en la entrada — un robo de electricidad en una favela de Río. En Corea del Norte, es estatal y sofisticado de entrada a salida: agencia de inteligencia, ingeniería social de seis meses, lavado cross-chain. Son los dos extremos del mismo espectro — y ambos terminan en el mismo lugar, la blockchain, porque es la única capa de liquidación que no pide permiso ni devuelve dinero.
Para un protocolo de DeFi, la consecuencia práctica es dura: el adversario relevante ya no es el script kiddie detrás de una reentrancy. Es un Estado-nación con paciencia de seis meses, presupuesto de inteligencia y un programa de misiles para financiar. Defenderse de eso es higiene de personal y de proceso — verificación de identidad de candidatos, segregación de claves, desconfianza de "reclutadores" —, no solo auditoría de contrato.
La perspectiva ON3X
Tres lecturas para llevarse de este número:
- 76% con dos golpes es una estadística sobre concentración, no sobre frecuencia. Corea del Norte no hackea más; hackea mayor. El riesgo sistémico migró de la cantidad de ataques al tamaño de cada uno — y basta una operación exitosa por trimestre para dominar el año entero.
- El eslabón más débil es humano, no técnico. Drift, Mach-O Man y las entrevistas falsas cuentan la misma historia: el Lazarus entra por la persona, no por el código. Quien trata seguridad cripto como problema de auditoría de smart contract está defendiendo la puerta equivocada.
- Todo hack del Lazarus es un problema de sanciones. El dinero robado financia armas bajo embargo. Esto transforma cada exploit de DeFi en cuestión de seguridad nacional — y explica por qué congelamiento de stablecoin, atribución on-chain y cooperación entre analytics (Chainalysis, TRM, Elliptic) dejaron de ser detalle técnico para convertirse en instrumento de política exterior.
Preguntas frecuentes
¿Corea del Norte robó realmente 76% de todo el cripto en 2026?
Según TRM Labs, actores ligados a Corea del Norte respondieron por cerca de 76% de todo el valor robado en ataques cripto en 2026 hasta abril. El número está dominado por apenas dos golpes — Drift Protocol y KelpDAO —, que sumaron aproximadamente US$ 577 millones.
¿Cuáles fueron los dos ataques?
El hack de cerca de US$ 285 millones a Drift Protocol, revelado como una operación de seis meses de ingeniería social ligada a Corea del Norte, y el exploit de aproximadamente US$ 292 millones en el puente cross-chain de KelpDAO, atribuido por Chainalysis al Lazarus Group.
¿Cómo Corea del Norte lava el cripto robado?
Después de las sanciones de Estados Unidos a Tornado Cash y Sinbad.io, los operadores migraron a puentes cross-chain como THORChain y LI.FI, haciendo "chain hopping" — convierten Ethereum en Bitcoin y después en stablecoins como DAI, saltando entre blockchains para dificultar el rastreo.
¿Por qué esto importa más allá del mercado cripto?
Los recursos robados financian el programa de armas y misiles de Corea del Norte, bajo sanciones internacionales. Esto transforma cada exploit atribuido al Lazarus en una cuestión de evasión de sanciones y seguridad nacional, no solo en pérdida de un protocolo.