Los números clave
Las cifras presentadas por CrowdStrike son contundentes y dibujan un panorama preocupante. El grupo de hacking norcoreano conocido como "Famous Chollima" fue el artífice del 47% de todas las intrusiones categorizadas como "hands-on-keyboard" (operadas manualmente por humanos) que afectaron al sector tecnológico entre abril de 2025 y mayo de 2026. Esta cifra, que algunos informes han redondeado a "casi la mitad" o incluso 50%, subraya la prominencia de Corea del Norte en el panorama de amenazas cibernéticas. Las organizaciones tecnológicas con sede en Norteamérica fueron las más golpeadas, concentrando el 45% de todas las intrusiones en el sector.
Más allá del espionaje, la motivación económica es un motor clave para Pyongyang. En 2025, Corea del Norte se estima que robó aproximadamente 2.000 millones de dólares en criptomonedas, según revelaciones de Chainalysis y replicadas por DiarioBitcoin. Un grupo específico, PRESSURE CHOLLIMA, logró un robo récord de 1.460 millones de dólares utilizando software troyanizado. Las operaciones de trabajadores de TI norcoreanos, que a menudo ocultan su verdadera identidad, generan entre 250 y 600 millones de dólares anuales según la ONU, o entre 350 y 800 millones de dólares anuales según el Centro de Estudios Estratégicos e Internacionales (CSIS). Este flujo constante de ingresos es vital para el régimen, especialmente frente a las severas sanciones internacionales.
La actividad maliciosa no muestra signos de desaceleración; de hecho, ha experimentado una expansión significativa. Los actores vinculados a Corea del Norte impulsaron un aumento del 51% interanual en el robo de activos digitales en 2025. CrowdStrike también reporta un preocupante incremento del 89% en los ataques de adversarios habilitados por Inteligencia Artificial (IA) y un asombroso aumento del 266% en intrusiones en la nube por parte de actores estatales durante el mismo año. Esta escalada sugiere una creciente sofisticación en las herramientas y tácticas empleadas. La escala del impacto es vasta: se ha documentado que actores norcoreanos se hicieron pasar por "insiders" en más de 100 empresas tecnológicas, predominantemente en Estados Unidos. En un incidente particularmente revelador en abril de 2026, Google atribuyó al grupo UNC1069 (también vinculado a Corea del Norte) el compromiso del paquete axios, una librería de JavaScript ampliamente utilizada y presente en cerca del 80% de los entornos de servicios en la nube, lo que potencialmente expuso cientos de miles de secretos empresariales a una amenaza masiva a través de la cadena de suministro de software.
Analisis de la tendencia
El patrón que emerge de estos datos es claro: Corea del Norte ha adaptado y perfeccionado sus métodos de ciberataque para explotar las vulnerabilidades del entorno digital contemporáneo. La pandemia de COVID-19 aceleró la adopción masiva del trabajo remoto, creando un vasto nuevo "territorio" para la infiltración. Los hackers norcoreanos han sabido capitalizar esta transición, haciéndose pasar por profesionales de TI legítimos o reclutadores, lo que les permite ganar acceso a sistemas corporativos desde el interior, una de las amenazas más difíciles de detectar y mitigar.
La motivación principal detrás de estos ataques sigue siendo la financiación del régimen de Pyongyang y sus programas armamentísticos, incluyendo el desarrollo de armas de destrucción masiva, en un esfuerzo por eludir las sanciones económicas internacionales. Sin embargo, también se observa un componente significativo de espionaje industrial, buscando robar propiedad intelectual, secretos comerciales y tecnología avanzada que puedan beneficiar al estado norcoreano.
La adopción de tecnologías avanzadas, como la Inteligencia Artificial, por parte de estos adversarios es una tendencia alarmante. Adam Meyers, Jefe de Operaciones contra Adversarios en CrowdStrike, ha advertido que la IA está haciendo que los ataques sean exponencialmente más difíciles de detener. La capacidad de la IA para generar identidades convincentes (incluyendo el uso de deepfakes y suplantación facial en entrevistas de trabajo, según ha alertado el FBI) y automatizar el reconocimiento de objetivos reduce drásticamente el costo y el esfuerzo para los atacantes. Esto implica que las defensas tradicionales pueden no ser suficientes, y como señala Meyers, los defensores deben "enfrentar la IA con IA" para mantenerse a la vanguardia.
Eric Jardine, Jefe de Investigación en Chainalysis, añade que las cifras de robo de criptomonedas podrían ser estimaciones conservadoras, sugiriendo que "quizás solo estamos viendo la porción más visible de su actividad". Esta subestimación potencial subraya la necesidad crítica de una mayor colaboración público-privada y un intercambio de inteligencia más robusto para comprender y contrarrestar la verdadera magnitud de estas operaciones. La tendencia hacia ataques a la cadena de suministro, como el del paquete axios, demuestra una evolución estratégica hacia compromisos de mayor impacto y alcance masivo, afectando a múltiples organizaciones simultáneamente a través de una única vulnerabilidad en un componente ampliamente utilizado.
Contexto regional
Aunque los ataques de Corea del Norte se enfocan principalmente en Norteamérica, Europa y Asia, el impacto y la amenaza para América Latina no son insignificantes, sino que están evolucionando y haciéndose más directos. Brasil, por ejemplo, ha sido identificado como uno de los mercados con los volúmenes más altos de actividad dirigida a empresas tecnológicas, lo que lo convierte en un punto caliente dentro de la región.
Históricamente, América Latina no ha sido ajena a las operaciones cibernéticas norcoreanas. Ya en 2018, un informe advertía que hackers norcoreanos estaban "hackeando a América Latina", con ataques documentados contra instituciones financieras. Se registraron intentos de robar más de 110 millones de dólares a un banco estatal de México y más de 10 millones de dólares al Banco de Chile. Estos incidentes pasados demuestran un interés previo en la región como fuente de ingresos ilícitos.
Más recientemente, en marzo de 2026, las autoridades estadounidenses sancionaron a Louis Celestino Herrera, un individuo de nacionalidad dominicana y española, acusado de desarrollar contratos de servicios informáticos para un grupo de técnicos de TI norcoreanos. Este caso es particularmente relevante, ya que demuestra una implicación directa de individuos en la región en estas redes globales de ciberactividad norcoreana, ya sea de forma consciente o involuntaria. Subraya cómo personas o empresas en Latinoamérica pueden ser cooptadas o utilizadas como intermediarios, incluso si no son el objetivo final del ataque.
Si bien no se ha encontrado información específica sobre regulaciones regionales en América Latina directamente relacionadas con los ciberataques de Corea del Norte en las búsquedas recientes, la evolución de la estrategia de ciberdelincuencia norcoreana hacia objetivos económicos internacionales debido a las sanciones globales hace que la región sea cada vez más relevante como parte de su ecosistema de operaciones. Las empresas y profesionales de la tecnología en América Latina deben entender que, aunque no sean el foco primario, son parte del ecosistema digital global y, por tanto, vulnerables a las mismas técnicas y amenazas, tanto directa como indirectamente. La conciencia y la implementación de mejores prácticas de ciberseguridad son, por lo tanto, imperativas.
Perspectiva a futuro
La trayectoria de los ciberataques de Corea del Norte sugiere que esta tendencia no solo continuará, sino que se intensificará y diversificará. Mientras el régimen de Pyongyang siga enfrentando sanciones económicas internacionales, su dependencia del ciberdelito como fuente de ingresos ilícitos y de espionaje para la adquisición de tecnología crítica solo aumentará.
La creciente adopción de Inteligencia Artificial por parte de los adversarios norcoreanos es un factor que definirá el futuro de la ciberseguridad. Los ataques serán más difíciles de detectar, más personalizados y más eficientes en evadir las defensas tradicionales. Esto obliga a las organizaciones a invertir no solo en herramientas de detección basadas en IA, sino también en programas de capacitación robustos para su personal, enfocados en la identificación de tácticas de ingeniería social cada vez más sofisticadas. Como destacó Adam Meyers, la respuesta debe ser "enfrentar la IA con IA", desarrollando capacidades defensivas que puedan igualar y superar las ofensivas impulsadas por esta tecnología.
La seguridad de la cadena de suministro se establecerá como una prioridad crítica. Incidentes como el compromiso del paquete axios demuestran que una sola vulnerabilidad en un componente de software ampliamente utilizado puede tener repercusiones masivas. Las empresas deberán implementar auditorías rigurosas de sus dependencias de software, verificar la autenticidad de los proveedores y monitorear proactivamente la integridad de sus entornos de desarrollo.
Además, la colaboración internacional y el intercambio de inteligencia entre gobiernos, agencias de aplicación de la ley y el sector privado serán más importantes que nunca. La naturaleza transnacional de estos ataques exige una respuesta coordinada para rastrear, interrumpir y sancionar a los actores norcoreanos. La continua negativa de Corea del Norte a las acusaciones de EE. UU., calificándolas de "invención" y prometiendo "todas las medidas necesarias" para defender sus intereses en el ciberespacio, sugiere un escenario de confrontación prolongada en el ámbito digital. Los profesionales de la tecnología deben mantenerse informados sobre las últimas tácticas de estos adversarios y priorizar la resiliencia en sus arquitecturas y operaciones de seguridad para protegerse contra un panorama de amenazas en constante evolución.
