El Grupo Lazarus, entidad cibercriminal con vínculos inequívocos al Estado norcoreano, ha consolidado su posición como la amenaza predominante en las finanzas descentralizadas (DeFi), siendo responsable de más del 70% de los exploits registrados en 2026. Este dato, revelado por la firma Arkham, subraya la naturaleza de una operación cuyo alcance trasciende el lucro, imbricándose directamente en la estrategia de supervivencia y desarrollo armamentístico de un régimen bajo estrictas sanciones internacionales. Los ataques del Grupo Lazarus tienen un doble objetivo: financiar el programa nuclear de Pionyang y construir una reserva de divisas, eludiendo los controles financieros globales.
Desde su incursión activa en las criptomonedas en 2017, la organización ha acumulado un botín que supera los 6.000 millones de dólares en activos digitales robados. Un hito fue el asalto a Bybit en febrero de 2025, el mayor robo en la historia de las criptomonedas, con una sustracción de 1.500 millones de dólares en Ether (ETH). La magnitud de estas operaciones fue tal que, en 2023, la Casa Blanca de Estados Unidos estimó que aproximadamente la mitad del programa misilístico norcoreano había sido financiado con fondos desviados por los ciberataques de esta organización estatal.
La sofisticación de Lazarus no se limita a la intrusión; su blanqueo de capitales es testimonio de astucia. Tras sustraer los activos, el modus operandi habitual implica la conversión a Bitcoin (BTC) vía protocolos de intercambio como THORChain. Esta preferencia por Bitcoin se sustenta en su modelo contable UTXO, que permite fragmentar y reagrupar fondos en miles de carteras, dificultando el rastreo. Para monetizar, el grupo ha recurrido a mesas OTC intermediadas por actores chinos, y a plataformas con laxos controles antilavado, como Garantex, que procesó volúmenes significativos de transacciones ilícitas.
Abril de 2026 ejemplificó la capacidad operativa de Lazarus con dos ataques de alto perfil: la pérdida de 577 millones de dólares. El primer incidente afectó a Drift Protocol, un exchange descentralizado (DEX) en Solana, donde agentes de Lazarus emplearon ingeniería social. Tras infiltración y ganar la confianza del Consejo de Seguridad, lograron preautorizar transacciones que fueron ejecutadas con la migración a una nueva configuración, drenando 285 millones. Posteriormente, el 18 de abril, el grupo explotó una vulnerabilidad en el puente de KelpDAO, sobre LayerZero, manipulando la verificación de mensajes para retirar 292 millones de dólares en tokens, generando además 200 millones en deuda incobrable en otros protocolos DeFi.
Más allá de exploits a gran escala, Lazarus ha diversificado sus tácticas hacia vectores de ataque discretos. Un ejemplo es el kit de malware ‘Mach-O Man’ para macOS, revelado en abril de 2026. Este software no explota vulnerabilidades técnicas del sistema, sino que se basa en ingeniería social, engañando a usuarios para que ejecuten comandos que les roban credenciales, claves privadas de carteras y cookies de sesión activas. La distribución se realiza mediante invitaciones falsas a reuniones por Telegram, redirigiendo a sitios que simulan plataformas legítimas, lo que demuestra una evolución hacia ataques que aprovechan la debilidad humana y el descuido informático.
En síntesis, el patrón operativo del Grupo Lazarus revela una estrategia multifacética que integra exploits técnicos avanzados, sofisticadas campañas de ingeniería social y una considerable presencia operativa. Su adaptación constante a las medidas de seguridad y la evolución de sus métodos de blanqueo consolidan a Lazarus como la amenaza más persistente y costosa para la seguridad del ecosistema global de criptoactivos. La respuesta a esta escalada requiere una colaboración internacional sin precedentes en ciberseguridad y una vigilancia constante sobre las redes financieras descentralizadas.
Si le ha parecido interesante este análisis, le invitamos a compartirlo y a dejar su opinión en los comentarios.
