El informe detalla cómo los fondos robados se mueven en múltiples etapas, con preferencia por servicios en Asia-Pacífico y estrategias de fragmentación en cadena
El más reciente Informe sobre Criptocrimen de Chainalysis arroja nueva luz sobre uno de los aspectos más opacos del ecosistema cripto: los mecanismos de lavado de dinero utilizados por actores vinculados a la República Popular Democrática de Corea (RPDC). La afluencia masiva de fondos robados a comienzos de 2025 permitió a los analistas observar con un nivel de detalle sin precedentes cómo estos grupos mueven y ocultan criptomonedas a gran escala.
A diferencia de otros ciberdelincuentes, los actores norcoreanos estructuran el movimiento de fondos robados en transferencias más pequeñas, con más del 60 % del volumen en operaciones inferiores a los USD 500.000. En contraste, otros grupos criminales suelen mover más del 60 % de sus fondos en tramos que superan el millón de dólares. Esta fragmentación evidencia un alto grado de sofisticación operativa orientada a evadir controles y dificultar el rastreo en cadena.
Preferencias claras en los canales de lavado
Chainalysis identifica preferencias marcadas en los servicios utilizados por la RPDC, que difieren significativamente del comportamiento de otros actores de amenazas. Entre los principales destacan los servicios de garantía y movimiento de dinero en idioma chino, con incrementos que van desde el 355 % hasta más del 1.000 %, consolidándose como el rasgo más distintivo de su estrategia.
A esto se suma una fuerte dependencia de puentes entre cadenas, servicios de mezcla y plataformas especializadas como Huione, lo que les permite fragmentar activos, moverlos entre blockchains y ocultar el origen de los fondos. En contraste, los hackers norcoreanos evitan de forma sistemática protocolos de préstamo DeFi, exchanges P2P, DEX y plataformas sin KYC, canales que sí son ampliamente utilizados por otros grupos criminales.
Según el informe, estos patrones sugieren que la RPDC opera bajo restricciones y objetivos distintos, apoyándose en redes profesionales de lavado de dinero y operadores OTC ubicados principalmente en Asia-Pacífico, en línea con el uso histórico de infraestructuras con base en China para acceder al sistema financiero internacional.
Un lavado en tres olas claramente definidas
El análisis en cadena de Chainalysis revela que, tras grandes hackeos atribuidos a la RPDC entre 2022 y 2025, el lavado de fondos sigue una cronología estructurada que se extiende por aproximadamente 45 días, dividida en tres fases principales.
En la primera ola, que ocurre entre los días 0 y 5 tras el ataque, los fondos se mueven rápidamente hacia protocolos DeFi y servicios de mezcla, con incrementos de hasta el 370 %, buscando crear distancia inmediata respecto al origen del robo. Esta etapa responde a una lógica de “primer movimiento” para reducir el riesgo de rastreo temprano.
La segunda ola, entre los días 6 y 10, marca el inicio de la integración. Aquí aparecen exchanges con KYC limitado, plataformas centralizadas y nuevos niveles de mezcla, mientras los puentes entre cadenas ayudan a fragmentar y ocultar aún más los activos. Es un período crítico en el que los fondos comienzan a acercarse a posibles vías de salida.
Finalmente, la tercera ola, que se extiende entre los días 20 y 45, muestra una clara orientación hacia la conversión final. Exchanges sin KYC, servicios de garantía, plataformas instantáneas y servicios en idioma chino actúan como puntos clave para transformar los fondos en otros activos o en dinero fiduciario, incluso mezclándose con flujos legítimos en exchanges centralizados.
Una ventana clave para reguladores y equipos de cumplimiento
Chainalysis subraya que la consistencia de este patrón a lo largo de varios años revela limitaciones operativas estructurales de los actores vinculados a la RPDC, así como dependencias claras de ciertos facilitadores. Esta ventana temporal de 45 días representa una oportunidad crítica para reguladores, exchanges y fuerzas del orden para detectar, bloquear e interrumpir operaciones de lavado a gran escala.
Aunque el informe reconoce posibles puntos ciegos —como ventas OTC fuera de cadena o transferencias directas de claves privadas—, el análisis confirma que el lavado de criptomonedas patrocinado por Estados sigue siendo uno de los mayores desafíos sistémicos para la industria cripto global.