¡El FBI confisca 15,1 millones de moneda estable! Hackers de Corea del Norte infiltran 136 empresas estadounidenses y se revela el trasfondo.

El Departamento de Justicia de EE. UU. anunció la semana pasada que ha presentado una solicitud para confiscar Tether USDT por un valor de 15.1 millones de dólares, estas monedas estables fueron confiscadas de hackers norcoreanos relacionados con la organización APT38. Al mismo tiempo, cuatro ciudadanos estadounidenses y un nacional ucraniano se declararon culpables de ayudar a los empleados de TI norcoreanos a infiltrarse en 136 empresas en Estados Unidos, lo que generó más de 2.2 millones de dólares en ingresos para el régimen norcoreano.

FBI confiscó 15.1 millones de USD USDT moneda estable

(Fuente: Departamento de Justicia de EE. UU.)

El Departamento de Justicia de EE. UU. anunció el 14 de noviembre que ha presentado dos demandas civiles de confiscación, tratando de incautar 15.1 millones de dólares en monedas estables Tether USDT, que fueron robadas por hackers de Corea del Norte en 2023. Las criptomonedas incautadas provienen de la Amenaza Persistente Avanzada 38 (APT38), un grupo de hackers militares de Corea del Norte que llevó a cabo robos en cuatro plataformas de criptomonedas en el extranjero en 2023. El FBI confiscó estos fondos en marzo de 2025 y actualmente busca la aprobación del tribunal para confiscar estos activos y devolverlos a las víctimas.

Las monedas estables confiscadas en esta ocasión provienen de cuatro incidentes. El anuncio no especifica cuáles son esos cuatro, pero las pistas sugieren que podrían incluir: en noviembre de 2023, el intercambio Poloniex fue hackeado y perdió más de 100 millones de dólares; en julio de 2023, la empresa de criptomonedas CoinsPaid fue hackeada y perdió 37 millones de dólares; en el mismo mes, el procesador de pagos Alphapo perdió aproximadamente 60 millones de dólares; y un caso no especificado de “un robo de aproximadamente 138 millones de dólares de una bolsa de criptomonedas en Panamá en noviembre de 2023”. El Departamento de Justicia de EE. UU. aún no ha confirmado públicamente qué incidentes están cubiertos por esta acción de confiscación.

Los casos de monedas estables como herramientas de lavado de dinero destacan una vez más la urgencia de la regulación de los activos digitales. Monedas estables como USDT, debido a su característica de estar vinculadas al dólar 1:1, son extremadamente convenientes en las transferencias transfronterizas, pero también se han convertido en la herramienta preferida para el lavado de dinero por parte de organizaciones criminales. La agencia declaró: “El trabajo de rastrear, incautar y confiscar las criptomonedas robadas relacionadas sigue en curso, ya que los miembros de APT38 continúan lavando dinero a través de varios puentes de criptomonedas, mezcladores, intercambios y comerciantes extrabursátiles.”

Esta operación de incautación muestra que, a pesar de que las transacciones de moneda estable en la cadena de bloques tienen anonimato, la capacidad de rastreo de las agencias de aplicación de la ley está mejorando. A través de herramientas de análisis en la cadena y la cooperación con los intercambios, el FBI ha podido rastrear el flujo de las monedas estables robadas y finalmente congelar estos activos. Esto es una buena noticia para los usuarios legítimos de monedas estables, pero también recuerda que la presión regulatoria sobre las monedas estables en términos de lucha contra el lavado de dinero seguirá aumentando.

Ciudadanos estadounidenses se convierten en traidores para ayudar a la infiltración de Corea del Norte

El viernes, el Departamento de Justicia de EE. UU. también anunció que había obtenido la confesión de cuatro ciudadanos estadounidenses y un nacional ucraniano, quienes admitieron haber ayudado a trabajadores de TI de Corea del Norte a obtener empleo en empresas estadounidenses mediante fraude, a través de la provisión de identidades robadas y computadoras portátiles de empresas de custodia. Los cuatro ciudadanos estadounidenses—Audrick Fagner, de 24 años; Jason Salazar, de 30 años; Alexander Paul Travis, de 34 años; y Eric Entkreiser Prince, de 38 años—se declararon culpables de conspiración para cometer fraude telecomunicaciones.

Ellos proporcionan su información de identidad a los trabajadores norcoreanos y colocan las computadoras portátiles distribuidas por la empresa en sus propias casas, haciendo que estos trabajadores parezcan estar trabajando en Estados Unidos. Este modelo de operación es extremadamente encubierto, ya que el personal de TI de Corea del Norte trabaja realmente de forma remota en Pyongyang u otros lugares, pero a través de la identidad y la conexión de red de ciudadanos estadounidenses, se muestra como empleados locales en el sistema de la empresa. Este método no solo elude las restricciones legales para emplear extranjeros, sino que también invalida las verificaciones de antecedentes de la empresa.

El ciudadano ucraniano Oleksandr Didenko se declaró culpable el 10 de noviembre, admitiendo haber cometido conspiración para cometer fraude telefónico y robo de identidad grave, acusaciones por robar información de identidad de ciudadanos estadounidenses y venderla a trabajadores de TI de Corea del Norte. Didenko ayudó a los norcoreanos a conseguir trabajo en 40 empresas estadounidenses y acordó, como parte de un acuerdo de culpabilidad, renunciar a más de 1.4 millones de dólares en bienes. Este caso muestra que el plan de infiltración de TI de Corea del Norte ha formado una cadena de producción, con personal especializado encargado de todo, desde el robo de identidad, la gestión remota de dispositivos hasta la recepción de salarios.

El Departamento de Justicia de EE. UU. ha declarado que estos planes han afectado a más de 136 empresas estadounidenses, generando más de 2.2 millones de dólares en ingresos para el régimen de Corea del Norte y exponiendo la identidad de más de 18 ciudadanos estadounidenses. Aunque 2.2 millones de dólares no son una suma enorme en relación con la economía en general, el riesgo estratégico que conlleva esta infiltración supera con creces las pérdidas económicas. El personal de TI de Corea del Norte podría acceder a tecnología sensible, datos de clientes e incluso información relacionada con la defensa.

Técnicas clave del plan de infiltración de TI de Corea del Norte

Robo de identidad: robar o comprar información de identificación de ciudadanos estadounidenses

Custodia remota: ciudadanos estadounidenses custodian en casa los portátiles proporcionados por la empresa

Ubicación falsa: Hacer que los trabajadores norcoreanos parezcan estar en EE. UU. a través de una dirección IP de EE. UU.

Transferencia de salarios: A través de una compleja red financiera, los salarios se transfieren de vuelta a Corea del Norte.

Revelación de la cadena de crimen de criptomonedas de Corea del Norte

Corea del Norte depende cada vez más de robos de criptomonedas y programas de trabajadores de TI remotos para obtener ingresos, lo que viola las sanciones internacionales. El FBI, el Departamento del Tesoro y el Departamento de Estado de EE. UU. advirtieron en un informe consultivo publicado en 2022 que los trabajadores de TI de Corea del Norte pueden ganar hasta 300,000 dólares al año, y han canalizado cientos de millones de dólares a programas operados por el Ministerio de Defensa de Corea del Norte. Esta fuente de ingresos es crucial para un régimen norcoreano que enfrenta severas sanciones internacionales.

Según el análisis de Elliptic, solo en 2025, los hackers norcoreanos robaron más de 2 mil millones de dólares en criptomonedas, convirtiendo al régimen en una de las operaciones de robo de criptomonedas más desenfrenadas del mundo. Esta cifra supera con creces a las organizaciones de crimen cibernético tradicionales, lo que demuestra que Corea del Norte ha considerado el robo de criptomonedas como un recurso estratégico a nivel nacional. Grupos de hackers como APT38 cuentan con el apoyo militar, poseen capacidades técnicas altamente especializadas y una inversión continua de fondos.

Las monedas estables juegan un papel clave en estas actividades delictivas. En comparación con la volatilidad de precios de Bitcoin y Ethereum, la característica de las monedas estables de estar vinculadas al USD las hace más adecuadas como herramientas para transferir y almacenar fondos robados. Los hackers suelen convertir primero las criptomonedas robadas en monedas estables y luego lavan el dinero a través de mezcladores y puentes entre cadenas. Este método permite mantener la estabilidad del valor y aprovechar el anonimato de la blockchain para evadir el rastreo.

Sin embargo, los emisores de monedas estables están fortaleciendo la cooperación con las autoridades de aplicación de la ley. Tether ha asistido en múltiples ocasiones en la congelación de USDT relacionados con actividades criminales, y esta vez la FBI pudo incautar 15.1 millones de dólares en USDT, lo que también muestra que los mecanismos de colaboración entre las autoridades de aplicación de la ley y los emisores de monedas estables están madurando cada vez más. Para los usuarios legítimos, esto es un arma de doble filo: por un lado, mejora la seguridad y la conformidad de las monedas estables, y por otro lado, también significa que las transacciones de monedas estables no son completamente inrastreadas.

La cadena de delitos de criptomonedas de Corea del Norte ya está altamente desarrollada, incluyendo múltiples eslabones como ataques de hackers, lavado de dinero, robo de identidad y penetración remota en IT. Organizaciones como APT38 son responsables de atacar intercambios de criptomonedas y protocolos DeFi, robando fondos que luego son convertidos en efectivo o en otros activos difíciles de rastrear a través de redes de lavado de dinero especializadas. Los trabajadores remotos de IT proporcionan una fuente constante de ingresos y pueden ofrecer inteligencia interna para las acciones de los hackers.

Regulación de monedas estables y medidas de prevención empresarial

Este caso plantea advertencias para la industria de las monedas estables y las empresas empleadoras. Para los emisores de monedas estables, la presión para cumplir con las regulaciones de lavado de dinero y sanciones continuará en aumento. La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. (OFAC) ha incluido en la lista negra varias direcciones de criptomonedas relacionadas con Corea del Norte, y los emisores de monedas estables deben monitorear estas direcciones en tiempo real y congelar los fondos relacionados.

Para las empresas, prevenir la infiltración de personal de TI de Corea del Norte se ha convertido en un nuevo desafío de seguridad. Las verificaciones de antecedentes tradicionales pueden no identificar a los trabajadores remotos que utilizan identidades robadas. Las empresas necesitan fortalecer los procesos de autenticación, incluyendo entrevistas por video, autenticación de múltiples factores y monitoreo conductual continuo. Para los puestos que manejan información sensible, puede ser necesario requerir que los empleados trabajen en la oficina o pasen por revisiones de seguridad más estrictas.

La reciente acción del Departamento de Justicia de EE. UU. muestra que las fuerzas del orden están combatiendo las actividades delictivas relacionadas con las criptomonedas de Corea del Norte en múltiples niveles. Además de rastrear y recuperar monedas estables robadas, también están desmantelando la infraestructura que apoya estas actividades, incluyendo redes de robo de identidad y servicios de hospedaje remoto. Las penas que enfrenten los cinco acusados que se declararon culpables enviarán una fuerte advertencia a otros posibles colaboradores.