Corea del Norte robó el 76% de todo el valor de hackeos cripto en 2026: con solo dos ataques

Un programa de hacking respaldado por el Estado, construido dentro de un gobierno sancionado, ejecutó 12 minutos de código y se llevó 577 millones de dólares. Esto no es cibercriminalidad. Es una guerra financiera dirigida por el Estado, y la industria cripto es su principal campo de batalla.

📊 Q2 de 2026: el trimestre más hackeado en la historia de las criptomonedas

◆ Los piratas informáticos llevaron a cabo 83 incidentes en el Q2 de 2026: el trimestre con más exploits registrados en la historia de la industria cripto; las pérdidas totales del trimestre alcanzaron 755,3 millones de dólares (Economía Cripto)

◆ Para finales de mayo de 2026, las pérdidas totales por hacks de DeFi de lo que va de año superaron los 840 millones de dólares en más de 50 incidentes: un aumento del 70% interanual frente al mismo periodo de 2025 (altFINS)

◆ Abril de 2026 fue identificado como el peor mes único en la historia de DeFi: se registraron más de 30 ataques separados, que reportaron para los atacantes aproximadamente 635 millones de dólares en total; una de las cifras mensuales de pérdidas más altas desde principios de 2025 (Finextra)

◆ Tan reciente como el 24 de junio de 2026, SecondFi en el ecosistema Cardano fue explotado por un estimado de 19,4–20 millones de dólares, vinculado a una falla en su software propietario de generación de carteras; analistas de SlowMist estimaron hasta 129 millones de ADA comprometidos (Bitcoin Foundation)

🇰🇵 El Grupo Lazarus de Corea del Norte — Las cifras verificadas

◆ Los grupos de hacking de Corea del Norte representaron el 76% de todo el valor de hackeos cripto en 2026 hasta abril: no porque lanzaran una oleada de ataques, sino porque dos ataques que suman 577 millones de dólares opacaron todo lo demás; esos dos ataques representan apenas el 3% del conteo de incidentes de 2026 (TRM)

◆ Los actores vinculados a DPRK robaron 2,02 mil millones de dólares en 2025, un aumento interanual del 51%; el robo cripto atribuido acumulado de Corea del Norte ahora supera los 6,75 mil millones desde 2017 (Sanctions.io)

◆ Solo en las dos semanas anteriores de abril, el grupo drenó más de 500 millones de dólares provenientes de dos exploits; un investigador senior de seguridad blockchain en CertiK dijo que la industria cripto necesita empezar a ver a Lazarus del mismo modo que los bancos ven a actores cibernéticos vinculados al Estado: "como una amenaza constante y bien financiada, no solo como otro titular de noticias" (CoinDesk)

◆ El Grupo de Expertos de la ONU estimó que el robo de criptomonedas financia una proporción material de los programas de desarrollo de misiles balísticos y armas nucleares de Corea del Norte, documentado en informes del Consejo de Seguridad con un análisis específico de transacciones que vincula los fondos atribuidos con redes de adquisición de armas (Sanctions.io)

🌉 Ataque #1 — Drift Protocol: 285 Millones, 12 Minutos, 6 Meses de Planificación

◆ La brecha del Drift Protocol el 1 de abril de 2026 incluyó tres semanas de preparación previa al ataque y meses de ingeniería social para comprometer a los firmantes del protocolo; luego, el vaciado total de 285 millones de dólares se ejecutó en aproximadamente 12 minutos (TRM)

◆ El ataque de Drift no fue un exploit de código: fue una operación de ingeniería social de seis meses dirigida a las personas que controlaban las claves de administración; las filtraciones de claves privadas representaron la mayor parte de los fondos robados, y las auditorías de contratos inteligentes no ofrecen protección contra un desarrollador que es objetivo de un equipo respaldado por un Estado con meses de paciencia (Phemex)

◆ Los tokens robados se convirtieron a USDC mediante Jupiter, se transfirieron a Ethereum a través de un puente y se cambiaron por ETH; se distribuyeron en carteras nuevas antes de quedar en modo inactivo; el ETH robado no se ha movido desde el día del robo, en línea con la estrategia documentada de Corea del Norte de mantener las ganancias durante meses o años antes de ejecutar un desembolso estructurado (TRM)

🌉 Ataque #2 — KelpDAO: 292 Millones a través de una sola falla en un puente

◆ El 18 de abril de 2026, KelpDAO fue explotado por aproximadamente 290 millones de dólares después de que dos servidores blockchain alojados por LayerZero fueran comprometidos: se drenó un token vinculado a la red Ethereum mediante un mensaje entre cadenas falsificado; en su declaración, LayerZero dijo que "los indicadores preliminares sugieren atribución a un actor estatal altamente sofisticado, probablemente el Grupo Lazarus de DPRK" (UPI)

◆ El atacante explotó el contrato puente del protocolo y creó tokens no respaldados; luego los usó para pedir prestados activos reales. Cyvers lo describió como "exactamente así es como este tipo de exploit explota tan rápido" y confirmó que se convirtió en un evento de contagio entre protocolos que afectó al menos a 9 protocolos simultáneamente; Aave V3, SparkLend, Fluid, Compound y Euler pasaron a congelar la exposición (CryptoPotato)

◆ Después de que el Arbitrum Security Council congelara aproximadamente 75 millones de dólares de los fondos robados, aproximadamente 175 millones de dólares en ETH se movieron a través de THORChain y se convirtieron a Bitcoin; la misma ruta de lavado utilizada en el robo de Bybit de 2025. THORChain procesó la gran mayoría de los fondos de ambos incidentes, convirtiendo cientos de millones de dólares en ETH robado a Bitcoin sin intervención del operador (TRM)

◆ Solo en los dos días posteriores a la brecha de KelpDAO se borraron más de 13 mil millones de dólares del total de TVL de DeFi (UPI)

🦠 El nuevo vector de ataque que nadie vio venir — "Mach-O Man"

◆ El Grupo Lazarus ahora está ejecutando una campaña enfocada en macOS llamada "Mach-O Man", dirigida a ejecutivos de empresas fintech y cripto mediante comunicaciones comerciales rutinarias: usando una técnica de ingeniería social llamada ClickFix, en la que se atrae a las víctimas a reuniones en línea falsas y se les indica que peguen un comando en la terminal de su Mac, lo que otorga a los atacantes acceso a sistemas corporativos y financieros (CoinDesk)

◆ Mach-O Man es un kit modular de malware que a menudo se borra antes de que las víctimas se den cuenta de que han sido comprometidas: "La mayoría de las víctimas de este hack no se dará cuenta de que su seguridad fue vulnerada hasta que el daño ya esté hecho, momento en el cual el malware ya se habrá borrado", según el investigador senior de seguridad blockchain de CertiK (CoinDesk)

◆ El 12 de marzo de 2026, la OFAC designó nuevos objetivos de sanciones vinculados al programa de trabajadores de TI de Corea del Norte, que ha evolucionado de agentes que solicitaban trabajos remotos en firmas cripto a orquestar procesos de contratación falsos: haciéndose pasar por reclutadores de destacadas compañías de Web3 y de IA para obtener credenciales, código fuente y acceso a VPN (Sanctions.io)

⚠️ Por qué los puentes entre cadenas siguen siendo el objetivo de mayor valor

◆ Las vulnerabilidades en puentes entre cadenas representaron 351 millones de dólares, casi la mitad, de las pérdidas totales del 2T de 2026; el exploit del puente LayerZero por sí solo facilitó la brecha de KelpDAO (Blockchain News)

◆ Los puentes mantienen grandes reservas de activos bloqueados y dependen de sistemas de mensajería entre cadenas que son difíciles de verificar; cuando un puente se rompe, un atacante puede drenar toda la reserva que respalda los tokens envueltos en múltiples cadenas en una sola transacción, lo que convierte a los puentes en los objetivos de mayor valor en DeFi; el problema es arquitectónico, no solo de implementación (1inch)

◆ Mitchell Amador, CEO de la plataforma de bug bounty Immunefi, advirtió que los avances en inteligencia artificial están exacerbando estas tendencias: describiendo el auge del hacking habilitado por IA como una "apocalipsis de vulnerabilidades", con atacantes que aprovechan el aprendizaje automático para explotar debilidades a escala sin precedentes (Crypto Economy)

🔍 La realidad incómoda

Las cuentas comprometidas ahora representan más del 50% de todos los ataques DeFi por número de incidentes, superando por primera vez como principal fuente de pérdidas a los exploits tradicionales de contratos inteligentes; por valor en dólares, el sesgo es aún más pronunciado (altFINS)

El patrón se mantiene en cada gran incidente de 2026: el código ya no es el eslabón más débil. Son los humanos quienes controlan las llaves. Una campaña de ingeniería social de seis meses dirigida a un solo desarrollador basta para drenar un protocolo que mantiene cientos de millones. Ninguna auditoría lo detecta. Ninguna actualización de contrato inteligente lo impide. El modelo de seguridad de la industria fue creado para una amenaza equivocada.

Con Corea del Norte ejecutando lo que equivale a una operación cibernética financiada por el Estado que robó 6.75 mil millones en cripto desde 2017 para financiar programas de armas: ¿deberían las plataformas globales de cripto estar legalmente obligadas a implementar estándares de ciberseguridad de nivel gubernamental, o eso contradice fundamentalmente lo que se supone que es la finanza descentralizada?

#CryptoSecurity #DeFiHacks #BlockchainSecurity #LazarusGroup #Web3