Corea del Norte detrás del 76% del valor de los hackeos de criptomonedas en 2026, según TRM Labs

La firma de inteligencia blockchain TRM Labs ha informado que los hackers vinculados a Corea del Norte fueron responsables de aproximadamente el 76% de todo el valor de criptomonedas robado en 2026, una cifra que la firma dice que se alcanzó con solo dos ataques importantes. El hallazgo subraya cómo un puñado de operaciones grandes y bien planificadas pueden dominar un año entero de pérdidas, incluso mientras cientos de incidentes más pequeños continúan afectando a protocolos y usuarios en todo el mercado.

El contexto de esa cifra principal es aleccionador. Las estimaciones apuntan a aproximadamente $2.1 mil millones en pérdidas totales de criptomonedas en muchos incidentes en 2026, y los grupos vinculados a la República Popular Democrática de Corea (RPDC) han atacado repetidamente grandes protocolos. Se sospechaba que el exploit de Drift Protocol, que drenó alrededor de $285 millones, estaba vinculado a la RPDC. Cuando ataques de esa escala tienen éxito, por sí solos, remodelan las estadísticas anuales.

Lo que encontró TRM Labs

Según TRM Labs, los actores vinculados a Corea del Norte fueron responsables de aproximadamente el 76% del valor robado en criptomonedas durante 2026. El detalle sorprendente es la eficiencia: esa proporción provino de solo dos ataques importantes, en lugar de un goteo constante de robos más pequeños. En otras palabras, un número minúsculo de brechas causó la abrumadora mayoría del daño financiero.

Este patrón no es nuevo para las firmas que rastrean la actividad ilícita en la cadena, pero la concentración en 2026 destaca. Nos dice que la amenaza más peligrosa para los grandes protocolos no es necesariamente el volumen de intentos, sino la sofisticación y los recursos detrás de los pocos ataques que realmente tienen éxito. Un año puede ser relativamente tranquilo en términos de incidentes que acaparan titulares y aun así registrar pérdidas enormes si incluso una o dos operaciones tienen éxito contra objetivos de alto valor.

Para los analistas, la conclusión es que la atribución y la prevención deben centrarse en la cola superior de la distribución. Detener la próxima brecha de nueve cifras importa mucho más para las cifras anuales que bloquear mil intentos de phishing de bajo valor, aunque ambos merecen atención.

Por qué unos pocos ataques pueden dominar el año

Puede parecer extraño que dos incidentes puedan superar todo lo demás combinado. Las matemáticas son más simples de lo que parecen. Las pérdidas de criptomonedas están muy sesgadas: la mayoría de los exploits roban cantidades modestas, pero un pequeño conjunto de brechas golpea tesorerías, puentes o grandes protocolos que mantienen enormes sumas en un solo lugar. Cuando uno de esos falla, la pérdida se mide en cientos de millones en lugar de miles.

Debido a que la distribución es tan desigual, el total anual se decide esencialmente por los eventos más grandes. Una brecha de $285 millones, como la sospechada en Drift Protocol, puede superar miles de pequeñas estafas de phishing juntas. Por eso los analistas se centran tanto en los incidentes más grandes cuando evalúan el estado de la seguridad de las criptomonedas.

El hacking vinculado a estados es una amenaza distinta

Existe una diferencia importante entre los exploits oportunistas y las operaciones vinculadas a estados. Los atacantes oportunistas tienden a escanear ampliamente en busca de objetivos fáciles, explotar un error conocido y tomar lo que puedan antes de que se cierre la ventana. A menudo están limitados por el tiempo, la habilidad y los recursos.

Los grupos vinculados a estados, como el Grupo Lazarus asociado con Corea del Norte, operan de manera diferente. Tienen buenos recursos, son pacientes y pueden invertir en un largo reconocimiento, herramientas personalizadas y campañas de ingeniería social dirigidas a empleados o sistemas específicos. Pueden pasar semanas o meses estudiando un objetivo antes de actuar. Esa combinación de financiación y persistencia los convierte en una categoría de amenaza separada, y ayuda a explicar por qué los ataques atribuidos a ellos son tan grandes.

Cómo se mueven los fondos robados

Una vez que se toman los fondos, el siguiente desafío para estos grupos es lavarlos. Los actores vinculados a estados suelen mover los activos robados a través de múltiples cadenas, utilizando mezcladores y patrones de salto complejos diseñados para ocultar el rastro. El objetivo es romper el vínculo entre el robo original y el punto final de retiro de efectivo.

Este movimiento entre cadenas es exactamente lo que las firmas de inteligencia blockchain como TRM Labs trabajan para desentrañar. Al rastrear transacciones a través de puentes, intercambios y servicios de ofuscación, los investigadores a veces pueden reconstruir el camino de los fondos robados y atribuir un ataque a un grupo particular, incluso cuando los atacantes se esfuerzan por permanecer ocultos. Los patrones de lavado repetidos y reconocibles son a menudo parte de cómo los analistas conectan una nueva brecha a un grupo establecido en lugar de a un atacante único.

La etapa de lavado también importa porque es donde algunos fondos pueden ocasionalmente ser congelados o recuperados. Cuantos más saltos y cadenas estén involucrados, más difícil se vuelve, por lo que la velocidad y la coordinación entre intercambios, firmas de análisis y protocolos pueden marcar una diferencia significativa después de un gran robo.

Qué significa esto para protocolos y usuarios

La concentración de pérdidas en unos pocos ataques grandes conlleva una lección clara para los desarrolladores. Las auditorías importan, pero son solo una capa. Muchas de las mayores brechas implican debilidades operativas, como claves comprometidas, ingeniería social o acceso interno, en lugar de una sola línea de código pasada por alto. Una seguridad operativa sólida, controles de acceso cuidadosos y un monitoreo continuo son tan importantes como la propia revisión del código.

Para los usuarios cotidianos, la conclusión es precaución en lugar de alarma. Tratar las claves de la billetera con cuidado, ser escéptico ante mensajes y enlaces inesperados, y comprender que incluso los protocolos conocidos pueden ser atacados son todos hábitos razonables. Herramientas que ayudan a los usuarios a investigar tokens y la actividad en cadena, incluidas plataformas como DEXTools, pueden respaldar decisiones más informadas, aunque ninguna herramienta elimina el riesgo por completo. Nada de esto es asesoramiento financiero, y no hay atajos para una seguridad perfecta.

Qué observar

La cifra de TRM Labs es una instantánea de un año definido por un pequeño número de eventos desproporcionados. Las preguntas a futuro son si los protocolos pueden endurecer las capas operativas y humanas que explotan estos ataques, y si los investigadores pueden seguir el ritmo a medida que las técnicas de lavado se vuelven más complejas. Con aproximadamente $2.1 mil millones en pérdidas totales ya atribuidas en los incidentes de 2026, es poco probable que la presión sobre los defensores y los analistas en cadena disminuya pronto.

Por ahora, el mensaje principal es sencillo. El sector cripto se enfrenta a un adversario bien financiado y vinculado a un estado que no necesita muchos éxitos para causar daños graves. Observar cómo responden los protocolos más grandes y con qué rapidez la industria refuerza su cultura de seguridad, dirá mucho sobre cómo se desarrollará 2027.