TL;DR

  • Hackers norcoreanos están detrás del 76% de todas las pérdidas de criptomonedas por fraude y ataques en lo que va de 2026, según TRM Labs
  • Desde 2017, actores norcoreanos han robado un total de seis mil millones de dólares en criptomonedas
  • El Protocolo Drift fue vaciado de 285 millones de dólares el 1 de abril de 2026, no a través de una vulnerabilidad de contrato inteligente, sino mediante ingeniería social de meses de duración
  • El ataque revela que las auditorías técnicas por sí solas no son suficientes: las rutinas de seguridad humanas y operativas son una vulnerabilidad crítica

Corea del Norte domina la ciberdelincuencia de criptomonedas en 2026

Los grupos de hackers norcoreanos patrocinados por el estado son, en 2026, la mayor amenaza indiscutible para la industria de las criptomonedas. Según la empresa de seguridad TRM Labs, estos actores representan un 76 por ciento de todas las pérdidas registradas relacionadas con ataques y fraudes de criptomonedas en lo que va de año. En total, los actores norcoreanos han robado activos equivalentes a seis mil millones de dólares en activos digitales desde 2017, informa CoinDesk.

Las cifras son sorprendentes y surgieron en relación con una revisión en profundidad del ataque al exchange descentralizado Drift Protocol, un ataque que en abril de 2026 costó a los usuarios más de 285 millones de dólares.

76%
Cuota de Corea del Norte en las pérdidas de criptomonedas en 2026
$6 mil millones
Robados desde 2017
$285 millones
Ataque a Drift en abril de 2026
Hackers norcoreanos están detrás del 76% de las pérdidas de criptomonedas de este año

El ataque a Drift: Un «juego largo» de varios meses

Drift Protocol es un exchange descentralizado de futuros perpetuos construido sobre la blockchain de Solana. Antes del ataque, el protocolo había pasado varias auditorías de seguridad independientes. Trail of Bits realizó una revisión exhaustiva a finales de 2022 sin descubrir vulnerabilidades graves en los contratos inteligentes, y en febrero de 2026, el protocolo recibió un estado de aprobación de ClawSecure con una puntuación de 85 sobre 100.

Sin embargo, Drift fue vaciado de aproximadamente 285 millones de dólares el 1 de abril de 2026.

La razón no fue una vulnerabilidad técnica clásica en el código, sino humana. Según la investigación de TRM Labs, los atacantes pasaron meses construyendo confianza con individuos del equipo de Drift, probablemente a través de contacto directo. Luego explotaron el llamado mecanismo de «durable nonce» de Solana para manipular las aprobaciones multifirma, y finalmente obtuvieron el control administrativo sobre el protocolo.

Los atacantes no utilizaron una vulnerabilidad de código, sino que explotaron a las personas. Meses de construcción de confianza fueron el arma de ataque en sí.
Hackers norcoreanos están detrás del 76% de las pérdidas de criptomonedas de este año

La ingeniería social como vector de ataque

El ataque a Drift representa un desarrollo preocupante: la amenaza ha pasado de exploits puramente técnicos a sofisticados ataques de ingeniería social. Anteriormente, este tipo de ataques requerían que los hackers encontraran fallos en el código de los contratos inteligentes. Ahora, las personas detrás de los protocolos son el punto de entrada.

En el caso de Drift, se dice que los atacantes construyeron relaciones físicas o digitales con personal clave durante un período prolongado, en lo que TRM Labs describe como un ataque coordinado a la seguridad operativa. Ni la auditoría de Trail of Bits de 2022 ni la aprobación de ClawSecure de febrero de 2026 fueron diseñadas para detectar tales vectores de ataque; ambas se centran principalmente en la vulnerabilidad del código.

Un sello de aprobación técnico no es garantía: Drift fue atacado donde las herramientas de auditoría no llegan – en las personas.

¿Qué sigue para Drift?

Después del ataque, Drift Protocol anunció que planea un relanzamiento después de nuevas auditorías realizadas por las firmas de seguridad OtterSec y Asymmetric. Actualmente no está claro si estas auditorías también abordarán la seguridad operativa y la gestión de claves, o si se centrarán principalmente en el código de los contratos inteligentes.

La industria debe pensar de manera más amplia sobre la seguridad

El ataque a Drift es una señal de alarma para toda la industria. Cuando los actores norcoreanos, según TRM Labs, se mueven más rápido y son más sofisticados que nunca, no basta con realizar auditorías de código y llamarlo seguridad. La gestión de claves, la arquitectura de gobernanza y las rutinas para identificar la ingeniería social deben incorporarse al trabajo de seguridad.

Para una industria que ofrece cada vez más servicios financieros a un público amplio, las consecuencias de ignorar esto son graves, no solo para los protocolos individuales, sino para la confianza en las finanzas descentralizadas en su conjunto.