Cuando pensamos en amenazas cibernéticas, solemos imaginar operaciones encubiertas de espionaje político o ataques a infraestructuras críticas. Pero hay un actor que ha cambiado las reglas del juego Corea del Norte. No se trata ya solo de filtrar información sensible, sino de vaciar cajas fuertes digitales, robar miles de millones en criptomonedas y colarse en empresas tecnológicas y de defensa occidentales fingiendo ser ingenieros remotos. Y todo ello, en medio de un escenario de sanciones internacionales que asfixian al régimen. La respuesta? Convertir el ciberataque en una industria de generación de ingresos.
El mayor robo de criptomonedas de la historia
En 2025, el portal de intercambio de criptomonedas Bybit sufrió una brecha sin precedentes 1.460 millones de dólares desaparecieron de sus reservas. Hasta la fecha, este sigue siendo el mayor golpe cibernético de la historia. Tras la investigación, las pistas apuntaron de nuevo hacia Lazarus, el grupo de hackers vinculado al régimen norcoreano. No fue un ataque aislado. Solo meses antes, el mismo colectivo había sustraído 625 millones de dólares de otra plataforma. La escala es tan descomunal que, según CrowdStrike, los incidentes vinculados a Corea del Norte aumentaron un 130% en 2025 respecto al año anterior.
Lo más revelador no es solo la cantidad, sino el propósito. A diferencia de otros grupos estatales, Lazarus no opera principalmente para espiar, sino para financiar al régimen. Las sanciones internacionales han limitado severamente el acceso de Corea del Norte a divisas extranjeras. En este contexto, el ciberrobo se ha convertido en una vía estratégica de ingresos.
El ejército invisible hackers desde la sombra
Más allá del robo directo, existe una estrategia más insidiosa la infiltración laboral. Desde al menos 2019, agentes norcoreanos han estado entrando en empresas occidentales como empleados remotos. Lo hacen en sectores clave defensa, tecnología, finanzas. Y lo logran usando identidades falsas, perfiles cuidadosamente construidos en LinkedIn y GitHub, y credenciales alquiladas a ciudadanos estadounidenses cómplices.
Para superar las barreras técnicas, montan "granjas de portátiles" en casas u oficinas dentro del territorio estadounidense, desde donde operan en remoto, asegurándose direcciones IP que no levanten sospechas. Pero la verdadera revolución llegó con la inteligencia artificial. Ahora, utilizan deepfakes hiperrealistas para pasar entrevistas de trabajo en videoconferencia, imitando rostros, voces y gestos con una precisión inquietante.
"Los agentes utilizan identidades falsas y deepfakes generados por inteligencia artificial para eludir las entrevistas en vídeo, lo que en última instancia permite canalizar cientos de millones de dólares en ingresos hacia el régimen" - informe de amenazas globales de 2026 de Cloudflare
Google Threat Intelligence Group ha alertado de que esta infiltración representa una de las mayores amenazas para la industria de defensa. Imagina a un supuesto ingeniero contratado por una empresa aeroespacial, resolviendo vulnerabilidades en sistemas críticos, mientras envía información o instala puertas traseras. Todo bajo una identidad falsa, con un currículum impecable y referencias simuladas.
Una fábrica de hackers desde la infancia
El sistema no es espontáneo. Es industrial. Desde muy joven, los estudiantes norcoreanos con habilidades técnicas son reclutados. Algunos, apenas con 11 años, son enviados a escuelas especiales. Luego, avanzan hacia la Universidad de Automatización de Pyongyang, donde, durante cinco años, se les entrena para hackear sistemas, crear virus y operar en entornos hostiles. Todo bajo la supervisión de la Oficina 121, una unidad militar dedicada a la guerra cibernética.
Según Anna Fifield, periodista y autora de *El gran sucesor*, el régimen potencia activamente a estos "hackers de élite", integrándolos en estructuras estatales que los movilizan según objetivos estratégicos. No son meros delincuentes son soldados digitales.
La inteligencia artificial como arma de escalada
Lo que antes requería meses de preparación ahora puede hacerse en semanas. CrowdStrike ha detectado cómo la IA generativa ha permitido a estos grupos "industrializar" tareas antes manuales generar currículums creíbles, mantener conversaciones coherentes en redes, crear perfiles sociales con historial falso. La IA es un multiplicador de fuerza aumenta la escala, el realismo y la eficiencia operativa.
La sofisticación ha llegado a tal punto que se han documentado casos en los que ejecutivos falsos, representados por deepfakes, han dirigido llamadas de Zoom a empleados reales, engañándolos para que descargaran software malicioso. La línea entre lo real y lo simulado se desdibuja.
Además, Lazarus ya no es un solo grupo. CrowdStrike ha identificado al menos siete facciones diferenciadas. Entre ellas, Pressure Chollima y Golden Chollima, especializadas en criptomonedas, y Labyrinth Chollima, enfocada en inteligencia. Comparten infraestructura, herramientas e incluso un repositorio de código. Esto no es fragmentación es coordinación.
"La actividad de los grupos vinculados a Corea del Norte refleja aceleración y perfeccionamiento de sus tácticas, más que un cambio fundamental en las mismas. El uso de IA forma parte de esa evolución. Es un multiplicador de fuerza que aumenta la escala, el realismo y la eficiencia operativa" - Adam Meyers, responsable de operaciones contra ciberdelincuentes en CrowdStrike
La ironía no es menor mientras el régimen de Kim Jong-un aísla a su población del mundo exterior, sus mejores mentes están conectadas a internet, trabajando en tiempo real para desestabilizar los sistemas financieros y tecnológicos del mismo Occidente que lo condena. Y lo hacen financiando planes militares ambiciosos nuevos destructores, submarinos nucleares, satélites de reconocimiento. Todo pagado, en parte, con criptomonedas robadas o sueldos obtenidos con identidades falsas.
Este no es el futuro del cibercrimen. Es su presente. Y lo más inquietante es que, mientras los gobiernos debaten sobre regulaciones de IA, Corea del Norte ya la está usando para sostener un régimen que, de otro modo, podría colapsar. La guerra cibernética ha dejado de ser una amenaza abstracta es una fuente de ingresos, una industria nacional, una estrategia de supervivencia. Y mientras tanto, miles de operadores anónimos, formados desde la infancia y equipados con las herramientas más avanzadas, siguen tecleando en la sombra.