|
.png)
Autoridades de seguridad y analistas en Corea del Sur han puesto bajo escrutinio al grupo norcoreano Lazarus como el presunto responsable de la reciente sustracción de aproximadamente 44.500 millones de wones (30,4 millones de dólares) de Upbit, la mayor plataforma de intercambio de criptomonedas del país.
Este ciberataque, que se sospecha fue facilitado mediante el acceso o la suplantación de cuentas administrativas, posee métodos que guardan una notable similitud con operaciones previas de Lazarus, un actor conocido por ser una pieza clave en la estrategia de financiamiento del régimen de Pionyang. El incidente ha vuelto a poner de manifiesto la amenaza persistente que representan los ejércitos cibernéticos estatales para el ecosistema de activos digitales.
I. La Técnica de Lazarus y la Pérdida de Solana 🔗
La empresa Dunamu, operadora de Upbit, confirmó que el robo afectó a la red Solana. "Hemos confirmado que algunos activos de la red Solana, con un valor aproximado de 54.000 millones de wones [cifra que luego se ajustó a 44.500 millones], se transfirieron a una dirección de billetera externa no autorizada a las 4:42 hora local," informó la compañía, citada por la agencia de noticias surcoreana Yonhap.
La investigación inicial del Servicio de Supervisión Financiera (FSS) y la Agencia de Seguridad de Internet (KISA) ha enfocado el análisis en las técnicas de dispersión de fondos, conocidas como 'hopping' y 'mixing'. Estas técnicas, frecuentemente asociadas a Lazarus y a otros grupos de hackers norcoreanos, están diseñadas específicamente para dificultar el rastreo de los activos a través de múltiples exchanges y wallets.
El gobierno de Corea del Sur ha recordado la existencia de un precedente grave: en 2019, la misma plataforma fue víctima de un golpe atribuido a este grupo que superó los 396 millones de dólares (580.000 millones de wones) aprovechando vulnerabilidades en hot wallets
| Ataque a Upbit | Fecha | Monto Estimado (USD) | Metodología de Ataque |
| Ataque Actual | Noviembre de 2025 | $30.4 millones | Acceso administrativo y técnicas de hopping/mixing en red Solana. |
| Precedente Mayor | 2019 | $396 millones | Explotación de vulnerabilidades en hot wallets (carteras conectadas a internet). |
II. Adquisición de Daños y Respuesta del Sector 🛡️
El ciberataque coincidió con el anuncio de la adquisición de Dunamu por parte de la tecnológica Naver Financial. Algunos expertos sugieren que esta coincidencia podría ser un intento deliberado de notoriedad por parte de los responsables del ciberataque. La reacción del mercado fue inmediata: las acciones de Naver cayeron un 4,55% tras el incidente.
Dunamu confirmó que asumirá la totalidad de las pérdidas con fondos propios y anunció la suspensión temporal de ciertas transacciones como medida de prevención. “Estamos realizando una revisión exhaustiva de la estabilidad y seguridad de todo el sistema de depósito y retiro de activos digitales… Los servicios se reanudarán de forma secuencial tan pronto como se garantice la seguridad,” añadió el comunicado de la operadora.
⭐ Te Puede Interesar
El financiamiento de programas militares mediante criptoactivos sustraídos es un tema de alta sensibilidad geopolítica que se asemeja a las discusiones sobre las capacidades de disuasión tecnológica de las naciones.
Especulación Hipersónica: ¿Está Venezuela en la Vanguardia de Armas de Velocidad Mach 5+? Análisis de una Capacidad No Confirmada
III. El Financiamiento Nuclear y el Ejército Cibernético 💰
El impacto de este robo trasciende la pérdida financiera de la plataforma. Naciones Unidas y distintas agencias gubernamentales han señalado que los robos de criptoactivos realizados por hackers vinculados a Corea del Norte son una fuente de financiamiento ilícito y crucial para los programas de desarrollo nuclear y de misiles del régimen.
Los hackers asociados al régimen norcoreano han mantenido durante años una actividad intensa y altamente lucrativa en el robo de criptoactivos. Se estima que, en lo que va de 2025, estos grupos ya han sustraído criptoactivos por un valor que supera los 2.000 millones de dólares, marcando un nuevo récord
Corea del Norte ha dedicado recursos masivos a la capacitación de miles de jóvenes para que formen parte de su ejército cibernético (KNCA), lo que resulta en una capacidad de ataque sostenida y altamente organizada. Según Elliptic, a grupos norcoreanos se les atribuyen más de 30 robos importantes durante 2025, con una estimación acumulada de fondos sustraídos que supera los 6.000 millones de dólares a lo largo de los años.
La tecnología blockchain ha facilitado el rastreo de estos activos en algunos casos, permitiendo vincular a los actores norcoreanos con otros incidentes notables de 2025, incluyendo el robo de 1.460 millones de dólares en la plataforma Bybit en febrero, así como ataques a servicios como LND.fi, WOO X y Seedify.
