Se sospecha que el Grupo Lazarus ha robado 30 millones USD de Upbit

Fuente: CryptoValleyJournal Título original: Se sospecha que el Grupo Lazarus robó 30 millones USD de Upbit Enlace original: https://cryptovalleyjournal.com/hot-topics/news/lazarus-group-suspected-of-stealing-30-million-usd-from-upbit/ Se sospecha que el infame grupo de hackers Lazarus de Corea del Norte ha robado alrededor de 44.5 mil millones de won ( aproximadamente 30.4 millones de dólares ) de Upbit, que es con mucho el mayor intercambio de criptomonedas en Corea del Sur.

El intercambio reportó retiros inusuales de activos criptográficos basados en Solana y detuvo de inmediato todos los depósitos y retiros. Según la agencia de noticias surcoreana Yonhap, las autoridades se están preparando para una inspección in situ en Upbit, ya que el patrón del ataque se asemeja al de 2019 – cuando se robaron 342,000 ETH ( que hoy valen casi 1 mil millones de USD ) del intercambio. La policía surcoreana ya concluyó en 2024 que el Grupo Lazarus estuvo detrás de ese robo. Al menos 24 tokens basados en Solana fueron drenados de una billetera caliente comprometida. Los datos en cadena muestran que una billetera vinculada al ataque ya ha comenzado a intercambiar Solana por USDC y mover fondos a través de puentes hacia Ethereum.

Táctica probada: ingeniería social en lugar de explotación técnica

El método sospechoso de los atacantes sigue un patrón familiar: en lugar de atacar directamente los servidores, los hackers probablemente comprometieron cuentas de administrador o se hicieron pasar por administradores para autorizar transacciones. Este método de ingeniería social ha demostrado ser extremadamente rentable para el Grupo Lazarus.

El caso actual de Upbit se une a una larga serie de robos de criptomonedas de alto perfil. Solo en 2025, los piratas informáticos norcoreanos robaron más de 2 mil millones de dólares en criptomonedas, el total anual más alto jamás registrado. La mayor parte de eso provino del robo de 1.46 mil millones de dólares de la plataforma de intercambio en febrero de 2025. Ataques adicionales apuntaron a LND.fi, WOO X y Seedify.

Mirar más atrás revela la escala completa: se culpa al Grupo Lazarus por robos que suman entre 5 y 6 mil millones de dólares desde 2017 hasta 2025. Entre los casos más espectaculares se encuentran el hackeo de Ronin Bridge en marzo de 2022, que involucró 625 millones de dólares, y el ataque de 100 millones de dólares al Harmony Horizon Bridge en junio de 2022. En ambos casos, el FBI confirmó la participación del grupo de hackers norcoreano. Además, los perpetradores utilizaron sistemáticamente el mezclador Tornado Cash para el lavado de dinero, canalizando más de 555 millones de dólares de estos dos hacks a través del servicio.

Financiación estatal a través del cibercrimen: el modelo de negocio de Corea del Norte

Lo que distingue estos ataques de los delitos cibernéticos típicos es su dimensión geopolítica. El gobierno norcoreano se apoya en una amplia gama de actividades ilícitas, incluido el delito cibernético, para generar ingresos para sus programas de armas de destrucción masiva y misiles. Los hackers vinculados al estado tienen la tarea explícita de obtener divisas a través de medios ilegales.

Los números son alarmantes. Las criptomonedas robadas podrían representar hasta el 13 por ciento del PIB de Corea del Norte. Algunas estimaciones sugieren que más de la mitad del presupuesto para el desarrollo de misiles se financia a través del cibercrimen. Un informe del Equipo de Monitoreo de Sanciones Multilaterales de las Naciones Unidas, titulado “La violación y evasión de sanciones de la RPDC a través de actividades de trabajadores de ciber y tecnología de la información”, subraya que las actividades cibernéticas maliciosas de Corea del Norte representan una amenaza para la seguridad internacional.

En noviembre de 2025, el Departamento del Tesoro de EE. UU. respondió con sanciones contra ocho individuos y dos organizaciones involucradas en el blanqueo de los ingresos del cibercrimen norcoreano. Mientras tanto, las tácticas del Grupo Lazarus han evolucionado: mientras que los ataques anteriores a menudo explotaban vulnerabilidades técnicas dentro de la infraestructura cripto, la mayoría de los hackeos en 2025 se han llevado a cabo a través de ingeniería social. Este cambio complica significativamente la defensa, ya que los humanos siguen siendo el eslabón más débil en la cadena de seguridad.

La dominancia de Upbit y la cuestión de la seguridad en los intercambios

El ataque golpea en el punto más vulnerable del ecosistema cripto de Corea del Sur. Según el regulador financiero surcoreano FSS, Upbit controla el 71.6 por ciento del volumen de comercio cripto nacional, procesando 833 billones de won (642 mil millones de dólares) en transacciones cripto solo en los primeros seis meses de 2025. Algunas fuentes incluso citan una participación de mercado de más del 80 por ciento. Más de 2 mil millones de dólares cambian de manos en la plataforma cada día.

El siguiente competidor más grande, Bithumb, alcanza solo el 25.8 por ciento de cuota de mercado. Los intercambios más pequeños como Coinone, Korbit y GOPAX contribuyen juntos con menos del 5 por ciento del volumen de mercado. Esta extrema concentración hace de Upbit un objetivo altamente atractivo para los hackers respaldados por el estado y plantea preguntas fundamentales sobre la arquitectura de seguridad de los intercambios centralizados.

Upbit respondió de inmediato: el operador Dunamu anunció que todos los usuarios afectados serían completamente compensados y se detuvieron temporalmente las transacciones. Pero el incidente muestra cuán frágiles pueden ser incluso las plataformas líderes en el mercado. Solo dos días antes del hackeo, el gigante tecnológico surcoreano Naver anunció planes para adquirir Upbit por 10.3 mil millones de dólares, la adquisición más grande en la historia de Corea del Sur. Es probable que el hackeo retrase la transacción y intensifique los procedimientos de debida diligencia.

La impotencia regulatoria ante ataques patrocinados por el estado

El caso de Upbit destaca un dilema fundamental. Incluso si los intercambios cumplen con estrictos requisitos regulatorios, siguen siendo vulnerables a atacantes altamente profesionales y financiados por el estado. El arsenal cibernético de Corea del Norte se ha construido a lo largo de los años y posee recursos muy por encima de los de los actores criminales ordinarios. La aplicación de la ley transfronteriza llega a sus límites al confrontar a estos operativos respaldados por el estado. Mientras que las autoridades occidentales pueden imponer sanciones y desmantelar redes de lavado, el régimen en Pyongyang mismo permanece intocable. Los fondos robados fluyen a través de complejos servicios de mezclado e intercambios descentralizados antes de ser convertidos en monedas fiduciarias o utilizados para compras de armas.

Para los inversores y la industria, esto tiene implicaciones concretas. Mantener grandes saldos de criptomonedas en intercambios centralizados conlleva un riesgo que ninguna cantidad de regulación puede eliminar por completo. Las soluciones de custodia institucional con billeteras de múltiples firmas, módulos de seguridad de hardware y sistemas de almacenamiento en frío distribuidos geográficamente se están convirtiendo en el estándar para los participantes profesionales del mercado.

Próximos pasos para Upbit

Las autoridades surcoreanas han anunciado una inspección in situ en Upbit en los próximos días. El enfoque estará en cómo los atacantes obtuvieron acceso a las cuentas de administrador y si se violaron los protocolos de seguridad internos. Si se puede probar negligencia o una arquitectura de seguridad inadecuada, Upbit enfrenta sanciones significativas.

Para la adquisición planificada por Naver, el hackeo es un revés. Algunos analistas esperan que la transacción sea revalorizada, con Naver potencialmente presionando por un precio de compra más bajo. Si la adquisición falla por completo, podría transformar fundamentalmente el panorama fintech de Corea del Sur y dar a los intercambios más pequeños la oportunidad de recuperar participación de mercado. A nivel internacional, el caso probablemente aumentará la presión sobre los servicios de mezclado y las monedas de privacidad. Estados Unidos y la UE ya han anunciado planes para endurecer la regulación de las herramientas de lavado de dinero.

El hackeo de Upbit es más que solo otra entrada en la larga lista de robos de criptomonedas. Muestra que el cibercrimen patrocinado por el estado se ha convertido en una amenaza seria para la industria, y que ni la regulación ni la tecnología por sí solas pueden proporcionar una solución. La respuesta radica en una combinación de estándares de seguridad robustos, cooperación internacional en la aplicación de la ley y un replanteamiento fundamental de la custodia de activos digitales.