Ciberataques a exchanges de criptomonedas: El caso de Upbit y Corea del Norte

Puntos clave

• Los hackers de Corea del Norte han atacado repetidamente a los exchange de criptomonedas de Corea del Sur, incluyendo robos significativos en Upbit.
• Los ataques son parte de una lucha geopolítica más amplia, donde Corea del Norte utiliza criptomonedas robadas para financiar sus programas de misiles.
• Los exchange de criptomonedas de Corea del Sur enfrentan desafíos importantes para asegurar sus activos digitales contra grupos de hackers patrocinados por el estado como el Grupo Lazarus.
• A pesar de una mayor regulación, la amenaza persistente de adversarios cibernéticos requiere vigilancia continua e innovación en las medidas de seguridad.

WEEX Crypto News, 2025-11-27 09:13:21

Introducción

En los últimos años, el mercado de criptomonedas de Corea del Sur ha surgido como uno de los escenarios clave para la ciberguerra geopolítica, involucrando principalmente a hackers de Corea del Norte. Conocido por su alta actividad de inversores minoristas y primas de liquidez, acertadamente llamadas "kimchi premium", la industria cripto de Corea del Sur se ha convertido tanto en un objetivo lucrativo como en un punto vulnerable para adversarios cibernéticos respaldados por el estado. Este artículo profundiza en los ciberataques históricos y actuales, centrándose principalmente en el exchange más grande, Upbit, que ha sido victimizado varias veces por lo que se cree son esfuerzos de hackeo de Corea del Norte.

Una breve crónica de las brechas

El viaje de los exchange en Corea del Sur, particularmente Upbit, se asemeja a un ciclo de ataques y adaptaciones. El incidente más reciente, el 27 de noviembre de 2025, marcó otro capítulo en esta saga. Upbit informó una brecha significativa donde los atacantes explotaron su wallet crypto de Solana, resultando en una pérdida de aproximadamente 540 mil millones de wones coreanos, equivalente a 36.8 millones de USD. Esto no fue un incidente aislado, sino parte de un patrón más amplio de intrusiones cibernéticas sofisticadas, que llevaron a pérdidas acumuladas de más de 2 mil millones de USD a precios históricos.

La génesis de 2017

El año 2017 marcó el comienzo de una serie implacable de robos cibernéticos. Bithumb, un importante exchange de Corea del Sur, fue uno de los primeros objetivos principales. Los hackers se infiltraron en las computadoras de los empleados, extrayendo datos personales de aproximadamente 31,000 usuarios. Dicha información se utilizó para realizar ataques de phishing, resultando en pérdidas de alrededor de 32 millones de USD. Las fallas destacaron medidas de seguridad inadecuadas y una falta de higiene cibernética básica, lo que allanó el camino para ataques dirigidos posteriores.

Las incursiones en wallets de mediados de 2018

Avanzando hasta 2018, los exchange coreanos continuaron siendo imanes para el cibercrimen. Coinrail experimentó una brecha que resultó en una pérdida de 40 millones de USD, con hackers apuntando a los entonces populares tokens de ICO en lugar de criptomonedas más estables como Bitcoin o Ethereum. Este incidente fue un testimonio de la diversificación de las estrategias de hackeo, yendo más allá de los activos tradicionales para explotar la dinámica del mercado. Compare esto con la pérdida de Bithumb de alrededor de 31 millones de USD en tokens XRP el mismo mes, lo que sacudió la confianza del mercado y condujo a un mayor escrutinio regulatorio.

El robo a Upbit de 2019

Un momento decisivo fue el hackeo de Upbit en 2019, considerado el robo individual más grande de ese momento dentro de Corea del Sur. Alrededor de 342,000 ETH fueron robados en una maniobra estratégica mientras los criminales aprovechaban la reorganización de la wallet interna del exchange. Las investigaciones revelaron intrincadas técnicas de lavado que involucraban cadenas de pelado, dispersando hábilmente el ether robado a través de numerosas transacciones y naciones, complicando los esfuerzos de recuperación.

Amenazas y pérdidas continuas

Los ataques a exchange de tamaño mediano como GDAC en 2023, que vieron un robo de 13 millones de USD, subrayaron aún más las amenazas persistentes que enfrenta la industria. Para Upbit, la historia se repitió en la fecha exacta en 2025, con pérdidas que hicieron eco de su trauma pasado. Este patrón de brechas ha dejado claro que los marcos de cumplimiento y seguridad como la Ley de Información Financiera, implementados después de 2019, aunque necesarios, son insuficientes dadas las tácticas en evolución de los hackers respaldados por el estado.

La primacía del Grupo Lazarus

En el centro de muchos de estos ataques se encuentra el Grupo Lazarus, una notoria facción de hackers vinculada a la Oficina General de Reconocimiento de Corea del Norte. Lazarus ganó notoriedad por primera vez a través de ataques de alto perfil fuera del dominio cripto, como el hackeo de Sony Pictures en 2014 y el robo al Banco de Bangladesh en 2016. Desde que se centraron en las criptomonedas, sus operaciones han explotado la menor supervisión regulatoria y los estándares de seguridad variables de exchange como Upbit.

¿Por qué Corea del Sur?

Varios factores hacen de Corea del Sur un objetivo irresistible para tales ataques:

• Tensión geopolítica: Los ataques a los exchange de Corea del Sur sirven para un doble propósito para Corea del Norte: recaudar fondos y crear inestabilidad en un estado enemigo.
• Kimchi Premium: Este fenómeno, impulsado por el entusiasmo local por las criptomonedas, conduce a importantes pools de liquidez en wallets calientes, presentando un entorno rico en objetivos tentadores para los hackers.
• Ventaja cultural y lingüística: Compartiendo lazos lingüísticos y culturales, los operativos de Corea del Norte pueden realizar ataques de ingeniería social de manera más efectiva, aumentando sus posibilidades de éxito.

El canal de financiación oscuro de las criptomonedas

Las ramificaciones de estos robos cibernéticos se extienden más allá de la pérdida financiera. Según informes internacionales, incluidos los de las Naciones Unidas, las criptomonedas robadas han sido fundamentales para financiar los desarrollos de misiles de Corea del Norte. Las estimaciones sugieren que casi el 50% de la financiación de estos programas proviene de estas operaciones cibernéticas ilícitas, un marcado aumento respecto a las estimaciones anteriores de un tercio.

Lavando el botín

Después del robo, los procesos de lavado son meticulosos y prolongados. Técnicas como las cadenas de pelado y mezcladores como Tornado Cash ayudan a ofuscar la fuente de los fondos. Los exchange supuestamente operados por Corea del Norte luego transforman los activos, vendiéndolos con descuento para convertirlos en monedas menos rastreables, a menudo moviéndose a través de redes clandestinas en China y Rusia.

Un problema global

Si bien el foco ha estado en Corea debido a incidentes repetidos, esto es solo un subconjunto de un problema global. Los ciberataques patrocinados por el estado a plataformas cripto no se limitan a Corea del Norte. Entidades vinculadas a Rusia han sido acusadas de actos similares, y grupos iraníes han atacado firmas cripto israelíes. Casos como la brecha de Bybit de 2025 subrayan el alcance expansivo de estas amenazas.

Vulnerabilidades sistémicas

Los nodos centralizados, como los exchange y los puentes cross-chain, subrayan las vulnerabilidades sistémicas dentro del ecosistema cripto. Si bien los blockchain en sí mismos pueden ser seguros, los activos deben transitar invariablemente por puertas de enlace centralizadas, que son propensas a ciberataques sofisticados.

Conclusión

La narrativa de los exchange de Corea del Sur como Upbit refleja la intrincada danza entre los mercados cripto en auge y los adversarios decididos respaldados por el estado. La historia es una de gato y ratón, donde los exchange se esfuerzan por reforzar las defensas contra los hackers que solo necesitan tener éxito una vez. La batalla es simbólica de los desafíos más amplios que enfrenta el ámbito de los activos digitales, donde la innovación debe seguir constantemente el ritmo de las amenazas sofisticadas.

Mejora de las estrategias de defensa

Para los exchange de criptomonedas en todo el mundo, esta lucha continua requiere la adopción de medidas de seguridad avanzadas. Esto incluye aprovechar estructuras de wallet multifirma, mejorar la capacitación de los empleados para mitigar los riesgos de phishing y fomentar colaboraciones transfronterizas para un intercambio de inteligencia de amenazas más sólido.

Preguntas frecuentes

¿Qué es el "kimchi premium"?

El "kimchi premium" se refiere a la diferencia de precio de las criptomonedas entre los exchange de Corea del Sur y los globales. A menudo surge debido a una mayor demanda local y obstáculos para acceder a los mercados internacionales, creando pools de liquidez que atraen a los hackers.

¿Quién es el Grupo Lazarus?

El Grupo Lazarus es una organización de hackers patrocinada por el estado vinculada a la Oficina General de Reconocimiento de Corea del Norte. Son conocidos por sus robos cibernéticos, que apuntan tanto a las finanzas tradicionales como a las criptomonedas para financiar proyectos nacionales.

¿Cómo intentan los exchange de criptomonedas prevenir hackeos?

Los exchange emplean múltiples capas de seguridad, como wallets frías para la mayoría de los fondos, autenticación de dos factores para cuentas de usuario, auditorías de seguridad periódicas y protocolos de cifrado avanzados para proteger contra el acceso no autorizado.

¿Cómo utiliza Corea del Norte los fondos cripto robados?

Las criptomonedas robadas se canalizan hacia los proyectos de alta prioridad de Corea del Norte, incluidos los programas de misiles y nucleares, ya que ofrecen una fuente de financiación semi-anónima que elude las sanciones internacionales y la supervisión bancaria.

¿Qué pueden hacer los inversores individuales en criptomonedas para protegerse?

Los individuos deben usar wallets seguras, habilitar la autenticación de dos factores, evitar almacenar grandes cantidades en los exchange, administrar cuidadosamente sus contraseñas y mantenerse informados sobre posibles amenazas de phishing para proteger sus activos cripto.

Al comprender y navegar estas dinámicas complejas, las partes interesadas pueden contribuir a un ecosistema cripto más seguro, a pesar de las amenazas persistentes y en evolución.