6,75 mil millones$ robados desde 2017.
53 proyectos Web3 infiltrados.
Algunos desde 2020.
No es un hackeo de protocolo.
Son desarrolladores contratados legalmente
que han construido desde adentro
antes de vaciarlo todo.
Aquí está el playbook exacto que he documentado paso a paso.
📌 Paso 1: Crear una identidad falsa perfecta
Los operadores norcoreanos se presentan como desarrolladores experimentados basados en Europa del Este o en el Sudeste Asiático. Crean identidades falsas con documentos falsificados, historiales laborales fabricados, perfiles de GitHub ficticios, fotos generadas por IA y voces clonadas convincentes para las entrevistas a distancia.
No es un perfil de LinkedIn descuidado.
Son meses de preparación.
Identidades que pasan las verificaciones estándar.
Según ZachXBT: "Si tú o tu equipo caen en esta trampa en 2026, probablemente son descuidados."
📌 Paso 2: Infiltrarse a través de los canales de contratación normales
Estos individuos se han integrado en las principales wallets, exchanges descentralizados e infraestructuras blockchain críticas como simples freelancers o desarrolladores remotos a través de los procesos de contratación normales, sin ningún hackeo.
Sin phishing. Sin malware inicial.
Una simple candidatura. Una entrevista. Un contrato.
La investigadora de seguridad Taylor Monahan reveló que operadores norcoreanos han trabajado en más de 40 plataformas DeFi. Su presencia se remonta al verano DeFi de 2020. Los "7 años de experiencia en blockchain" mencionados en sus CV no son una exageración: realmente han ayudado a diseñar y construir los protocolos que están atacando hoy.
Ellos construyeron el protocolo.
Conocen cada vulnerabilidad.
Esperan el momento adecuado.
📌 Paso 3: Hacer que te paguen en stablecoins
Una vez contratados, los trabajadores norcoreanos piden que se les pague en stablecoins, por su valor estable y su popularidad con los traders OTC que facilitan la conversión a moneda fiduciaria. Estas wallets reciben pagos regulares de montos consistentes, alrededor de 5,000$ al mes como características de un salario.
Es la señal más detectable.
Un desarrollador freelance que insiste en el pago en stablecoins
hacia una wallet específica → señal de alarma inmediata.
📌 Paso 4: Lanzar el ataque en el momento óptimo
En 2025 y 2026, los operadores norcoreanos desarrollaron un enfoque en dos etapas: primero embarcarse como desarrolladores legítimos, y luego pivotar hacia la suplantación de identidad de reclutadores para empresas Web3 y AI prominentes, orquestando falsos procesos de contratación diseñados para recopilar identificadores, instalar malware o acceder a sistemas internos.
Corea del Norte robó 2,02 mil millones$ en cripto en 2025, un aumento del 51% en un año con un 74% menos de ataques conocidos. Realizan robos más grandes con menos incidentes, apoyándose en trabajadores infiltrados para un acceso privilegiado.
Menos ataques. Más dinero.
La infiltración es más efectiva que el hackeo frontal.
📌 Paso 5: Blanquear a través de la blockchain
Una vez que se les paga sus salarios, los trabajadores transfieren a través de diversas técnicas de blanqueo: chain-hopping, intercambio de tokens a través de exchanges descentralizados y protocolos de bridge para complicar el rastreo de los fondos. Luego, los fondos se convierten a través de cuentas ficticias en exchanges o traders OTC con un ciclo de blanqueo de 45 días.
La red generó cerca de 800 millones$ en 2024 para financiar el programa de armamento norcoreano a través de esquemas operando en Vietnam, Laos y España.
📌 Lo que cambia para ti como usuario de Web3
No reclutas desarrolladores.
Pero utilizas protocolos.
La Fundación Ethereum financió un programa de 6 meses como ETH Rangers que identificó alrededor de 100 trabajadores norcoreanos sospechosos operando en proyectos Web3, congeló 5.8 millones$ de fondos robados e identificó 785 vulnerabilidades en los proyectos infiltrados.
Lo que te protege concretamente:
✅ Verifica la auditoría de seguridad de cada protocolo antes de depositar fondos
✅ Prefiere los protocolos con equipos KYC públicamente verificables
✅ Desconfía de los nuevos proyectos DeFi con equipos anónimos que ofrecen APRs poco realistas
✅ Usa hardware wallets para tus holdings importantes
✅ Nunca hagas clic en un enlace de entrevista técnica no solicitado, los "technical screens" que piden conectar una wallet o ejecutar código son vectores de ataque documentados
📌 La lección que este caso confirma
En Web3, a menudo hablamos de la seguridad de los protocolos.
De contratos inteligentes auditados.
De multisigs.
Pero la vulnerabilidad más explotada en 2026
no está en el código.
Está en los humanos que lo crean.
Este descubrimiento desencadena un cambio importante en la forma en que las empresas blockchain reclutan, llevando a auditorías internas rigurosas, verificaciones de identidad reforzadas y un mayor intercambio de información entre proyectos.
Web3 no puede permanecer anónimo indefinidamente.
Este caso es la prueba más brutal.
💬 ¿Sabías que los protocolos que usas podrían haber sido construidos por agentes norcoreanos?
¿Cuál es tu reflejo de seguridad número 1 en DeFi?
Dímelo en los comentarios.
