Así se ha convertido Corea del Norte en el tercer país más rico del mundo (en bitcoin)

Con un simple clic y sin darse cuenta, Ben Zhou dio luz verde al mayor robo de la historia de las criptomonedas. El fundador de la plataforma de intercambio Bybit permitió que hackers anónimos se hicieran con fondos valorados en 1.500 millones de dólares en una sola transacción. Rápidamente, Corea del Norte se convirtió en el principal sospechoso. Y ahora, solo unas semanas después, Pyongyang se ha coronado como el tercer país más rico en bitcoin del mundo.

Los hackers norcoreanos se hicieron con 401.000 criptomonedas de ethereum. En Bybit, la segunda mayor plataforma de intercambios de cripto, pensaron que estaba transfiriendo estos fondos entre sus propias billeteras digitales, pero en realidad los estaba enviado a Corea del Norte. Una hora después del hackeo, el consejero delegado anunció el robo en redes sociales. “Si cualquier equipo puede ayudarnos a rastrear los fondos robados, lo apreciamos”, escribió Zhou en X tras asegurar que el resto de operaciones no estaban en peligro y que todas las retiradas de depósitos estaban garantizadas. Tan solo una semana después, el FBI confirmó que el régimen de Pyongyang estaba detrás del saqueo.

La artimaña se gestó aprovechando una debilidad en la seguridad de la plataforma cripto. Pese a que gestiona 20.000 millones de dólares en depósitos de 60 millones de clientes, Bybit ha utilizado durante años un software libre para las billeteras de sus clientes y periódicamente transfiere fondos almacenados de unas cuentas a otras manualmente. Para autorizar estas operaciones, Zhou y otros dos directivos tienen que aprobarlas, algo que hacen de manera rutinaria y que les permite contar con distintas capas de seguridad. Sin embargo, cuando llegó la noche del hackeo, el pasado 21 de febrero, ya hacía tiempo que los piratas informáticos a sueldo de Corea del Norte habían entrado en el sistema de Safe e implementado el código malicioso que les permitiría manipular la transacción, según la auditoría interna que Bybit ha publicado posteriormente. Así, cuando Ben Zhou pensó que estaba autorizando una operación más entre cuentas de la compañía, no sabía que en realidad estaba autorizando el mayor robo cripto de la historia.

No es la primera vez que hackers norcoreanos llevan a cabo una acción así, aunque su actividad criminal ha crecido exponencialmente. Si en 2023, robaron un total de 660 millones de dólares, la cifra ascendió en 2024 a un récord de 1.300 millones, según datos de la firma de análisis de blockchain Chainalysis. Solo con el desfalco de Bybit, este año ya se habría superado esa cifra.

Detrás de toda esta actividad delictiva está Lazarus Group, la unidad de cibercrimen que opera a la sombra del régimen de Pyongyang. Estos hackers “son notorios por sus métodos sofisticados y tenaces, utilizando a menudo malware avanzado, ingeniería social y el robo de criptomonedas para financiar operaciones con apoyo estatal y sortear sanciones internacionales”, detalla Chainalysis en su informe.

Precisamente, Estados Unidos ha acusado a Corea del Norte de utilizar los rendimientos económicos de estas actividades delictivas para financiar su escalada armamentística. Washington ha asegurado que la mitad de los fondos del exitoso programa de misiles supervisado por Kim Jong-Un provienen de ciberataques y con ellos también ha financiado su rearme nuclear.

El blanqueo del botín

La compañía ha ofrecido una recompensa del 10% de los fondos para aquellos que contribuyan a recuperar o congelar el botín robado. Sin embargo, su rastreo es extremadamente complicado. “Para oscurecer los orígenes de los fondos robados, estos cibercriminales utilizan herramientas financieras descentralizadas (DeFi), particularmente plataformas de intercambio descentralizadas (DEXs) y protocolos cross-chain como THORchain para convertir los activos en diferentes criptomonedas”, explica Ari Redbord, director global de la firma de análisis blockchain TRM Labs, a El Confidencial. “Posteriormente, emplean mezcladores de cripto, o mixers, como Wasabi y CryptoMixer para ofuscar aún más el rastro de las transacciones, complicando los esfuerzos para rastrearlos y recuperar los activos”, detalla Redbord, que previamente fue funcionario del Tesoro de Estados Unidos.

Blanquear tal cantidad de dinero no es una tarea sencilla, puesto que Pyongyang no puede recurrir a grandes plataformas cripto como Binance o Coinbase. Sin embargo, también ha ampliado la escala de estas operaciones y está siendo muy eficiente en este frente. TRM Labs estima que el 3 de marzo, Lazarus Group ya había movido todos los fondos a nuevas direcciones, en su mayoría a bitcoin, principalmente a través de THORchain, un servicio que permite intercambios sin intermediarios. De hecho, entre el 24 de febrero y el 2 de marzo, THORchain experimentó un incremento de actividad sin precedentes.

TE PUEDE INTERESAR

La mano de Corea del Norte en el caos global: de la basura sobre Seúl al fracaso en Ucrania

Giulio Maria Piantadosi Ernesto Torrico Leo Erhardt

La rapidez en estos movimientos “sugiere que Corea del Norte ha expandido su infraestructura de blanqueo de dinero o que las redes financieras clandestinas, particularmente en China, han incrementado su capacidad para absorber y procesar fondos ilícitos”, señala la firma de análisis de blockchain en un informe, en el que también indica que la operación ha entrado en una segunda fase en la que una parte del botín se ha depositado en mixers, las herramientas que permiten esconder el origen de las cripto, y está por ver “si pueden continuar absorbiendo la cantidad de dinero en juego”. El régimen de Kim Jong-Un necesita criptos no sospechosas para convertirlas posteriormente en monedas gubernamentales como los dólares o renminbi chinos con las que opera internacionalmente de forma oficial.

Pese a los avances, la única certeza que tiene Manuel Villegas, analista del banco suizo Julius Baer, es que "les tomará tiempo" blanquear todos esos fondos. "No lo van a poder hacer de la noche a la mañana. Van a tener que ir haciéndolo de a poco", explica en conversación con El Confidencial. Aunque sí que conseguirán avances porque "lamentablemente pasa en cripto, como pasa con cualquier otro dinero, con moneda fiduciaria, como pasa con el oro", apunta. "El que quiera hacer mal, encontrará la forma de hacerlo". Aunque advierte que "nadie va a querer tocar esos tokens. Nadie, ninguna institución, ningún inversor de largo plazo, ningún inversor que viva en un país desarrollado al que las autoridades le puedan llegar a tocar eso". Por ello, afrontan "un dilema del prisionero", apunta.

En cualquier caso y pese a las dificultades, desde TRM Labs señalan que “la escala y velocidad de estas operaciones presentan nuevos retos para los investigadores, puesto que los mecanismos tradicionales antiblanqueo encuentran dificultades para seguir el ritmo con el gran volumen de transacciones ilegales”.

TE PUEDE INTERESAR

La 'coctelera' cripto que EEUU persigue y puede marcar el futuro del sector

Mario Escribano

Aun así, los mercados cripto no temen que estas actividades ilegales puedan llevar a un mayor escrutinio de los reguladores. "¿Qué pueden hacer los reguladores con el tema cripto, ahorcar más a los pocos exchangers que ya hay, crear una competencia mucho más imperfecta?", cuestiona Manuel Villegas. Los inversores tampoco reaccionaron con grandes aspavientos al hackeo norcoreano cuando salió a la luz. "Bybit manejó la crisis de una forma que merece un galardón", destaca el analista de Julius Baer como una de las causas principales. "Pocas empresas tienen la capacidad de conseguir millones de dólares en cuestión de segundos para manejar las entradas y salidas dentro del exchage", agrega el analista sobre la rápida reacción de la compañía para responder ante los depósitos de sus clientes.

Más allá de estas consideraciones, Villegas sí que advierte que "los inversores tienen que considerar la importancia que tiene la ciberseguridad en los mercados financieros", no solo en las criptomonedas. Este tipo de acciones delictivas ha ido "creciendo incrementalmente en el resto de clases de activos con la inteligencia artificial" y "van a continuar", advierte.

Criptos ilegales para financiar armas

Con todas estas operaciones, Corea del Norte se ha convertido en el tercer gobierno con más bitcoin del mundo, según datos de Arkham Intelligence recogidos por bitcoin.com. Estas cifras indican que Pyongyang ha acumulado en torno a los 13.500 bitcoin, lo que en dólares equivale a más de 1.000 millones. De esta manera supera incluso a El Salvador, cuyo gobierno hasta hace dos meses consideraba moneda de curso legal esta cripto, y solo queda por detrás de Estados Unidos y Reino Unido.

TE PUEDE INTERESAR

Cientos de millones que desaparecen en horas: el gran agujero negro de las criptomonedas

Mario Escribano

“Pero a diferencia de Estados Unidos, que ha dicho que planea amasar una reserva estratégica de bitcoin apoyada en los fondos ilegales incautados, los bitcoin de Corea del Norte se han amasado por completo a base de robos y otras actividades criminales”, destaca Ari Redbord, que durante su tiempo en el Tesoro de Estados Unidos fue asesor sénior del subsecretario para Terrorismo e Inteligencia Financiera.

“Corea del Norte, que no tiene una economía notable, es un Estado basado en el blanqueo de dinero que utiliza fondos robados para sostener al régimen e impulsar la proliferación de armas y otras actividades desestabilizadoras”, agrega. “Por ello, a pesar de las enormes sanciones económicas, Corea del Norte ha conseguido amasar un arca de guerra a través de actividad criminal que plantea retos continuos para la seguridad global”.