Grupo Lázaro: Cómo los ciberdelincuentes norcoreanos roban criptomonedas
Un grupo de hackers ha robado más criptomonedas que nadie en la historia. Además, trabaja para un gobierno. El Grupo Lazarus es la organización estatal de ciberataques de Corea del Norte, y para ellos, robar criptomonedas no es un trabajo secundario. Es su actividad principal, una fuente de ingresos nacional con una nómina que lo respalda. En un buen año, según sus estándares, el grupo extrae más de dos mil millones de dólares de exchanges, puentes y billeteras comunes. La mayor parte desaparece antes de que alguien presente una denuncia.
Esta guía explica quiénes son, los mayores robos relacionados con ellos, cómo se desarrolla un ataque, cómo se blanquea el dinero y cuánto ha desaparecido. El foco principal está en las criptomonedas. Ahí es donde se desarrolla esta historia.
¿Quién es realmente el Grupo Lázaro?
Olvídese de la imagen del hacker solitario con sudadera con capucha. El Grupo Lázaro se asemeja más a un departamento gubernamental con nómina. Las agencias occidentales lo vinculan con la Oficina General de Reconocimiento de Corea del Norte, el principal servicio de inteligencia exterior del país, y con las unidades a veces denominadas Oficina 121. Los investigadores de ciberseguridad lo consideran un único grupo de amenazas, aunque en la práctica se trata de un conjunto de equipos que gestionan las operaciones cibernéticas ofensivas del gobierno norcoreano. Quienes se encuentran tras los teclados reciben formación, un salario y tareas específicas, y su lista de objetivos la establece el Estado.
El grupo recibe diversos nombres según quien redacte el informe: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Los analistas lo dividen en subgrupos con diferentes funciones. BlueNoroff busca obtener dinero de bancos y empresas de criptomonedas, Andariel se centra en el espionaje y la desestabilización, y el grupo más amplio, Lazarus, se encarga de los ataques más notorios. Ha estado activo de alguna forma desde aproximadamente 2009, lo que lo convierte en uno de los grupos de ciberdelincuentes más antiguos y con mayor motivación económica del mundo.
Lo que distingue a Lazarus de la mayoría de los hackers estatales es su motivación. Rusia y China se dedican principalmente al espionaje. Corea del Norte roba para financiarse. En septiembre de 2019, el Departamento del Tesoro de Estados Unidos sancionó formalmente a Lazarus y a dos grupos relacionados, BlueNoroff y Andariel, calificándolos como brazos del Estado norcoreano. Una empresa de seguridad definió al grupo con precisión: un sindicato criminal con bandera.
De Sony a WannaCry: Los primeros años
Antes de las criptomonedas, Lazarus se labró su reputación a base de caos. En 2014, atacó a Sony Pictures Entertainment, que había contratado a Guardians of Peace, borró sistemas, filtró películas inéditas y difundió años de correos electrónicos internos. ¿El motivo aparente? Una comedia que se burlaba del líder norcoreano. Escandalosa, política y destructiva. Aún no rentable.
El dinero llegó después. En 2016, el grupo estuvo a punto de perpetrar uno de los mayores robos bancarios jamás intentados, enviando mensajes SWIFT fraudulentos para sustraer 951 millones de dólares de la cuenta del Banco de Bangladesh en la Reserva Federal de Nueva York. Un error tipográfico y un golpe de suerte frustraron la mayor parte del plan. Aun así, se lograron robar unos 81 millones de dólares. Ese ciberataque demostró que Lazarus podía robar instituciones financieras desde un teclado y convirtió el cibercrimen estatal en una verdadera fuente de ganancias.
Luego llegó WannaCry en 2017, un gusano de ransomware que paralizó cientos de miles de máquinas en aproximadamente 150 países y, de paso, dejó fuera de servicio hospitales del Reino Unido. Fue un ataque chapucero que apenas generó ganancias. Pero demostró su alcance. Así que, para cuando las criptomonedas se consolidaron, Lazarus ya tenía una década de experiencia moviendo dinero al que no tenía derecho.
¿Por qué los hackers norcoreanos atacan las criptomonedas?
Para un régimen aislado del sistema bancario global, las criptomonedas resultan casi demasiado convenientes. Las sanciones pueden congelar una cuenta bancaria y bloquear una transferencia SWIFT, pero nadie puede impedir que una billetera reciba fondos. Las criptomonedas cruzan fronteras en minutos, se liquidan de forma irreversible y pueden ser manipuladas mediante herramientas diseñadas para eliminar el rastro digital.
Así que Corea del Norte cambió de estrategia. ¿Para qué arriesgarse a un robo bancario que se puede revertir con una simple llamada telefónica cuando explotar un puente genera diez veces más ganancias y es imposible recuperar los fondos? La economía favorece claramente al atacante. Una transferencia SWIFT fallida se congela y se devuelve; un robo exitoso a través de un puente es definitivo en el momento en que se confirma el bloqueo. No hay contraparte a la que llamar, ni contracargo, ni tribunal con jurisdicción sobre la billetera. Los investigadores y la ONU estiman ahora que los fondos de criptomonedas robadas representan una gran parte de los ingresos en divisas del país y una porción significativa de su programa de armamento, aunque esos porcentajes exactos provienen de evaluaciones de inteligencia, no de información pública.
Los mayores robos de criptomonedas del Grupo Lazarus
Las cifras dejaron de sonar a delito hace tiempo. Ahora parecen un presupuesto nacional. El mayor robo individual, el de Bybit, es mayor que los siguientes varios juntos y mayor que cualquier robo bancario no relacionado con criptomonedas en la historia.
| Robo | Fecha | Cantidad | Método |
|---|---|---|---|
| Bybit | Febrero de 2025 | ~$1.500 millones | Interfaz de firma multifirma manipulada |
| Puente Ronin (Axie) | Marzo de 2022 | ~$625 millones | Claves privadas de validador robadas |
| DMM Bitcoin | Mayo de 2024 | ~$308 millones | Reclutador falso, empleado comprometido |
| WazirX | Julio de 2024 | ~$235 millones | violación de la infraestructura de la billetera |
| Horizonte de armonía | Junio de 2022 | ~$100 millones | Llaves de puente comprometidas |
| Cartera atómica | Junio de 2023 | Más de 100 millones de dólares | Actualización de software maliciosa |
Si se observa con atención, se repiten los mismos puntos débiles. El robo de Ronin funcionó porque los atacantes obtuvieron el control de cinco de las nueve claves de validación que protegían el puente, suficientes para aprobar sus propios retiros, tras comprometer a un ingeniero sénior. El caso de Bybit fue más sutil: en lugar de vulnerar la billetera fría , los atacantes corrompieron la interfaz que veían los firmantes, de modo que el equipo aprobó una transferencia que parecía rutinaria pero que no lo era en absoluto. En ambos casos, la criptografía funcionó. Los humanos y el software que la rodeaba no.
Las cantidades varían según la fuente, ya que suelen estar vinculadas al precio del token en ese momento, y Lazarus tiende a robar activos volátiles como el ether. La cifra de Ronin oscila entre los 540 y los 625 millones de dólares, dependiendo de quién la calcule, y Bybit se cotiza entre 1400 y 1500 millones de dólares. El patrón subyacente es consistente: atacar puentes , exchanges de criptomonedas y software de monederos, los puntos críticos donde un solo fallo libera una fortuna.
Cómo se desarrolla el ataque informático del Grupo Lazarus
Aquí viene lo que sorprende a la gente. Estos robos sin precedentes rara vez comienzan con una hazaña extraordinaria e imparable. Empiezan con una persona engañada. La parte ingeniosa e irreversible llega después, cuando el dinero tiene que desaparecer.
La forma de entrar: empleos falsos y phishing
Lazarus es paciente y sociable. Su modus operandi, a menudo denominado Operación Trabajo Soñado, consiste en hacerse pasar por un reclutador en LinkedIn o en una comunidad de desarrolladores y ofrecer un puesto ideal en una empresa que suena legítima. En algún momento de la entrevista, aparece una "prueba de programación" o un PDF que, al abrirlo, instala malware. Se cree que el robo de Bitcoin de DMM comenzó precisamente de esta manera, con un falso reclutador que comprometió a un empleado de una empresa relacionada. El mismo método se ha utilizado contra desarrolladores de toda la industria mediante paquetes npm y repositorios de GitHub con trampas, disfrazados de muestras de trabajo legítimas. Ningún cortafuegos detiene a un ingeniero al que se le dice que el archivo es una asignación de trabajo, razón por la cual la ingeniería social, y no una vulnerabilidad infalible, abre la mayoría de estas puertas.
Falso personal de TI dentro del edificio
La nueva táctica es aún más audaz: en lugar de infiltrarse, Corea del Norte solicita el puesto. Miles de sus trabajadores informáticos se han hecho pasar por desarrolladores remotos, utilizando identidades estadounidenses robadas y granjas de portátiles gestionadas por facilitadores locales, de modo que el trabajador parece conectarse desde Texas en lugar de Pyongyang. Una vez contratados por empresas tecnológicas y de criptomonedas occidentales, transfieren sus salarios a Corea del Norte y, en ocasiones, instalan accesos para un robo posterior. El Departamento de Justicia de EE. UU. ha perseguido a ambos extremos de este esquema, incluyendo un caso en diciembre de 2024 que acusó a catorce norcoreanos y acciones en 2025 contra los facilitadores con sede en EE. UU. que alojaban los portátiles. Se trata de espionaje disfrazado de ingreso de nómina.
Cobro de comisiones: mezcladores y puentes
Robar las criptomonedas es solo la mitad del trabajo; la otra mitad, la más difícil, es gastarlas. Lazarus canaliza los fondos robados a través de mezcladores como Tornado Cash, sancionado por EE. UU. en 2022, y Sinbad, sancionado a finales de 2023. Luego, transfiere el dinero entre cadenas de bloques mediante puentes e intercambios entre activos para enturbiar el rastro antes de retirarlo en exchanges con controles débiles. El proceso es rápido y automatizado; tras el caso Bybit, los investigadores observaron cómo los fondos se dispersaban por cientos de billeteras en cuestión de horas. Se trata de lavado de dinero a escala industrial, y funciona con la suficiente frecuencia como para que el régimen siga practicándolo.
¿Cuánto dinero ha robado el Grupo Lázaro?
Si analizamos las cifras con perspectiva, resulta difícil comprenderlas. Según Chainalysis , hackers vinculados a Corea del Norte robaron aproximadamente 2020 millones de dólares en criptomonedas durante 2025, un aumento del 51 % con respecto al año anterior, elevando el total histórico a más de 6750 millones de dólares. En 2025, el país representó aproximadamente el 76 % del valor total robado de los servicios de criptomonedas a nivel mundial. Un solo país, tres cuartas partes del daño.
| Período | Robado (cripto) | Fuente |
|---|---|---|
| 2024 (confirmado por los gobiernos) | ~$659 millones | Declaración conjunta de EE. UU., Japón y Corea del Sur |
| 2024 (atribución completa) | ~$1.19 mil millones | Análisis en cadena / Mandiant |
| 2025 | ~$2.02 mil millones | Análisis en cadena |
| De todos los tiempos (límite inferior) | ~$6.75 mil millones | Análisis en cadena |
Las cifras de 2024 difieren porque miden cosas distintas: los gobiernos confirmaron un puñado de robos específicos, mientras que las empresas de análisis atribuyeron más mediante el rastreo en cadena. En cualquier caso, la tendencia apunta al alza. Un panel de expertos de la ONU contabilizó aproximadamente 58 presuntos ataques de criptomonedas norcoreanos por un valor de unos 3.000 millones de dólares entre 2017 y 2023, incluso antes de que se establecieran los récords de 2024 y 2025. El mismo organismo ha informado de que este dinero ayuda a financiar el programa de armas de Corea del Norte, una afirmación basada en la inteligencia de los Estados miembros en lugar de en cuentas auditadas, pero que presenta cada brecha de seguridad en plataformas de intercambio como algo más cercano a un evento geopolítico.
Sanciones, acusaciones y la respuesta
¿Qué se puede hacer al respecto? Identificarlos, sancionarlos, acusarlos formalmente. Arrestarlos, casi nunca, porque están en Pyongyang.
El rastro documental ya es extenso. El Tesoro incluyó a Lazarus en su lista negra en 2019 y luego persiguió a los intermediarios en los que se apoya, Tornado Cash y Sinbad. Los fiscales también se sumaron a la persecución, acusando a hackers identificados desde 2021 y, más recientemente, a quienes gestionan la red de falsos trabajadores informáticos. Buena suerte con la ejecución de las órdenes judiciales.
Recuperar el dinero es aún más difícil. Tras el robo de Ronin, los investigadores recuperaron una parte de los fondos con la ayuda del FBI y Chainalysis. Una parte. El resto se había esfumado. Y las sanciones suelen limitarse a trasladar el problema: si se incluye a Tornado Cash en la lista negra, el dinero va a parar a Sinbad; si se sanciona a Sinbad, el grupo busca al siguiente objetivo. Cada medida hace que cobrar el dinero sea más caro y complicado. Nada detiene el robo en su origen. No se puede extraditar a un gobierno.
¿Se puede detener al Grupo Lázaro?
Sinceramente, no solo con sanciones. La defensa que importa se produce antes de la brecha de seguridad y recae en las plataformas de intercambio y los usuarios, no en los fiscales. Esto implica aprobaciones reforzadas por hardware para grandes transferencias, tratar a un reclutador no solicitado como una amenaza en lugar de una oportunidad, y negarse a permitir que un solo portátil comprometido firme una transacción que implique la pérdida de fondos. También significa verificar lo que se firma realmente en lugar de confiar en una pantalla, la misma vulnerabilidad que le costó a Bybit más de mil millones de dólares. La asimetría es brutal: los defensores deben acertar siempre, mientras que Lazarus solo necesita un ingeniero para abrir un archivo. El objetivo realista no es eliminar al grupo, sino hacer que cada robo sea más lento, de menor magnitud y más difícil de blanquear, de modo que la próxima oportunidad de robar mil millones de dólares simplemente no exista.
Por qué Lazarus Group es importante para las criptomonedas.
Lazarus tomó las características de las que las criptomonedas se enorgullecen más —su ausencia de fronteras y su carácter irreversible— y las convirtió en una herramienta de financiación estatal. Esta es la incómoda lección: el mismo diseño que libera el dinero de los bancos también lo libera de la recuperación. La seguridad de las criptomonedas ya no es solo una preocupación personal sobre las claves propias; se ha convertido en una cuestión de seguridad nacional para varios países a la vez. Cada puente no auditado y cada plataforma de intercambio con controles laxos representa un posible gasto en el presupuesto de misiles. La pregunta que merece reflexión es cómo un sistema financiero abierto y sin permisos se defiende de un adversario paciente y bien financiado que trata el robo a gran escala como una cuestión de política exterior.
