Por Canuto Un nuevo reporte de TRM Labs sostiene que hackers vinculados con Corea del Norte ya concentraron el 76% de las pérdidas por hackeos cripto registradas en 2026 hasta abril. El dato no responde a una ola masiva de ataques, sino a dos exploits de gran escala contra Drift Protocol y Kelp DAO que, en conjunto, movieron más de USD $577 millones y refuerzan la preocupación por tácticas cada vez más sofisticadas, incluso con posible apoyo de herramientas de IA.
***
- TRM Labs calcula que operativos ligados a Corea del Norte han robado más de USD $6.000 millones en criptomonedas desde 2017.
- Los ataques contra Drift Protocol y Kelp DAO explican el 76% de todas las pérdidas por hackeos cripto registradas en 2026 hasta abril.
- Los analistas señalan una evolución táctica en estos grupos, con mayor precisión operativa y posible uso de IA en reconocimiento e ingeniería social.
Los hackers vinculados con Corea del Norte han robado más de USD $6.000 millones en criptomonedas desde 2017, de acuerdo con un nuevo informe de TRM Labs. La firma estima que solo en lo que va de 2026, hasta abril, estos operativos concentraron el 76% del total de fondos sustraídos en hackeos al ecosistema cripto.
La cifra sobresale porque no proviene de una campaña extensa con decenas de golpes simultáneos. Según el reporte, reseñado por Decrypt, el resultado se explica sobre todo por dos ataques de alta precisión dirigidos a plataformas de finanzas descentralizadas, o DeFi, ejecutados durante abril.
El primero fue una brecha de USD $285 millones en Drift Protocol, ocurrida el 1 de abril. El segundo fue un exploit de USD $292 millones contra Kelp DAO, registrado el 18 de abril. En conjunto, ambos incidentes representaron el 76% de todas las pérdidas por hackeos cripto contabilizadas hasta abril, aunque solo constituyeron el 3% del total de incidentes registrados.
Para los lectores menos familiarizados con este sector, DeFi agrupa aplicaciones financieras construidas sobre redes blockchain que permiten intercambios, préstamos, staking o puentes entre cadenas sin intermediarios tradicionales. Esa arquitectura ofrece eficiencia y apertura, pero también amplía la superficie de ataque si existen fallas técnicas o vulnerabilidades operativas.
Un dominio creciente sobre el robo cripto global
El informe citado por Yahoo Finance describe una concentración acelerada del robo de criptomonedas en manos de operativos norcoreanos vinculados al Estado. La evolución es clara si se compara su participación sobre las pérdidas totales del sector a lo largo de varios años.
La cuota atribuida a Pyongyang pasó de menos del 10% en 2020 y 2021 al 22% en 2022. Luego subió a 37% en 2023, avanzó a 39% en 2024 y alcanzó 64% en 2025. El 76% observado en 2026 hasta abril marca, según TRM Labs, la proporción sostenida más alta registrada hasta ahora.
Ese salto sugiere un cambio cualitativo, no solo cuantitativo. Más que multiplicar ataques, los grupos parecen estar afinando la selección de objetivos y mejorando la ejecución. El resultado es un mayor impacto económico con menos operaciones, algo que preocupa especialmente en protocolos con mecanismos complejos o estructuras críticas para el movimiento de liquidez.
La historia reciente del ecosistema cripto ha mostrado que los grandes exploits suelen tener efectos que van mucho más allá de la pérdida inmediata de fondos. También golpean la confianza de usuarios, presionan a los desarrolladores y reabren debates sobre descentralización, gobernanza de emergencia y responsabilidad de los operadores de infraestructura.
Cómo ocurrió el ataque a Drift Protocol
El caso de Drift Protocol destacó por el nivel de paciencia atribuido a los atacantes. La preparación on-chain comenzó el 11 de marzo, semanas antes del robo, y la campaña incluyó reuniones en persona entre intermediarios norcoreanos y empleados de Drift durante varios meses.
Los analistas de TRM Labs describieron esa táctica como potencialmente sin precedentes dentro de la larga campaña de hackeos cripto asociada con Corea del Norte. El punto relevante no fue solo la intrusión técnica, sino la combinación entre trabajo preparatorio, manipulación dirigida y aprovechamiento de funciones específicas de la infraestructura blockchain.
En este caso, los atacantes explotaron una función de Solana conocida como durable nonce. Esa herramienta permite mantener transacciones prefirmadas para desplegarlas más tarde, lo que puede ser útil en contextos legítimos, pero también crea oportunidades si un actor malicioso logra insertar o reutilizar operaciones en el momento adecuado.
El 1 de abril, se ejecutaron 31 retiros en unos 12 minutos. El ataque drenó activos reales, incluidos USDC y JLP. Después, los fondos robados se movieron rápidamente hacia Ethereum y, según el informe, han permanecido inactivos desde entonces.
El exploit contra Kelp DAO y la respuesta de emergencia
El ataque a Kelp DAO siguió una ruta distinta y mostró otro tipo de sofisticación. Según TRM Labs, los atacantes comprometieron dos nodos RPC internos y luego lanzaron un ataque de denegación de servicio contra nodos externos.
Esa maniobra dejó al único verificador del puente dependiendo de fuentes de datos envenenadas. En otras palabras, el sistema recibió información falsa sobre el estado de un activo en la cadena de origen. Específicamente, esos nodos reportaron de forma incorrecta que el activo subyacente había sido quemado, cuando en realidad eso nunca ocurrió.
Como consecuencia, unos 116.500 rsETH, valorados en aproximadamente USD $292 millones, fueron drenados del contrato puente de Ethereum. El episodio volvió a poner bajo la lupa los riesgos de los puentes entre cadenas, que suelen concentrar grandes reservas y dependen de supuestos de seguridad difíciles de mantener bajo presión.
Tras el robo, el Consejo de Seguridad de Arbitrum usó poderes de emergencia para congelar cerca de USD $75 millones de los fondos robados que permanecían en la red. La intervención fue poco común y generó una reacción rápida de lavado por parte de los atacantes, que buscaron mover el resto del capital antes de enfrentar nuevas restricciones.
Después de esa congelación, alrededor de USD $175 millones en ETH fueron intercambiados por Bitcoin, en su mayoría a través de THORChain. El protocolo de liquidez cross-chain no exige procesos de conocimiento del cliente, un rasgo que vuelve recurrente su aparición en investigaciones sobre movimientos de fondos robados.
THORChain, Bybit y las rutas de lavado
TRM Labs señaló que THORChain procesó la gran mayoría de los ingresos procedentes tanto de la brecha contra Bybit en 2025 como del hackeo a Kelp DAO en 2026. En ambos casos, la plataforma facilitó la conversión de cientos de millones en ETH robado hacia Bitcoin.
El antecedente de Bybit es importante porque ese robo, con más de USD $1.400 millones en criptomonedas sustraídos, fue descrito como el peor de la historia de la industria. Que la misma infraestructura aparezca otra vez en una operación de gran escala reaviva el debate sobre el papel de protocolos sin operadores dispuestos a congelar o rechazar transferencias sospechosas.
Ese debate toca uno de los dilemas centrales del ecosistema. Por un lado, la resistencia a la censura es un principio valorado en muchas redes descentralizadas. Por otro, cuando el dinero robado circula con facilidad entre cadenas y activos, la recuperación de fondos se vuelve mucho más compleja y la presión regulatoria aumenta.
En este caso, el cambio de ETH a Bitcoin también refleja una lógica operativa. Bitcoin sigue siendo un activo altamente líquido y útil para mover valor a escala global. Para grupos especializados en evasión y lavado, esa liquidez puede ofrecer ventajas adicionales después de un exploit exitoso.
Señales de una nueva etapa, con posible apoyo de IA
Los analistas de TRM Labs afirmaron que el grupo parece estar perfeccionando sus herramientas. En particular, indicaron que ha comenzado la especulación sobre una posible incorporación de herramientas de inteligencia artificial en los flujos de trabajo de reconocimiento e ingeniería social.
La hipótesis no se presenta como confirmación definitiva, pero encaja con la creciente precisión observada en ataques como el de Drift. Ese golpe requirió semanas de manipulación dirigida y un entendimiento detallado de mecanismos complejos dentro de la infraestructura blockchain, algo que podría beneficiarse de sistemas automatizados para análisis, perfilado o generación de señuelos.
Para la industria, la advertencia es relevante porque desplaza el foco más allá de las vulnerabilidades puramente técnicas. Si los atacantes combinan acceso social, reconocimiento más eficiente y un mejor aprovechamiento de herramientas on-chain, la defensa ya no depende solo de auditar contratos, sino también de reforzar procesos humanos e infraestructura crítica.
Los datos de 2026 muestran, en suma, que el problema no solo persiste, sino que cambia de forma. Con apenas dos ataques, actores vinculados con Corea del Norte lograron dominar las pérdidas anuales del sector hasta abril. Ese patrón deja una señal incómoda para DeFi: menos incidentes no necesariamente significan menos riesgo, si cada ataque es más preciso, más profundo y mucho más costoso.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
IA
Ubuntu suma funciones de IA y desata alarma entre usuarios de Linux
Empresas
OpenAI restringe GPT-5.5 Cyber tras criticar a Anthropic por limitar Mythos
Noticias
Hackers explotan fallo crítico en cPanel y ponen en riesgo millones de sitios web
IA