China es el gran promotor de cibercrimen mundial, según referencian todos los informes. Pero hay un pequeño país asiático que no deja de ganar importancia en esta industria. Se trata de Corea del Norte, un estado asfixiado por los embargos comerciales que ha encontrado en las actividades delictivas online su principal fuente de entrada de divisas. Los analistas coinciden en que la estructura de los grupos de hackers supuestamente financiados por Pyongyang está creciendo en complejidad: se están creando grupos especializados en distintos tipos de ciberataques que se coordinan entre sí. También destacan que sus técnicas son cada vez más sofisticadas. Los incidentes vinculados a este país aumentaron un 130% en 2025 respecto al año anterior, según un reciente informe de CrowdStrike. Entre ellos se cuenta el robo de criptomonedas por valor de 1.460 millones de dólares al portal Bybit, considerado el mayor golpe cibernético de la historia.
Países como la mencionada China, Rusia, Irán, Israel o EE UU patrocinan extraoficialmente a equipos de hackers para que realicen sabotajes o consigan información de valor. Son útiles para realizar operaciones encubiertas, ya que es extremadamente difícil atribuir la autoría de los incidentes en la arena cibernética. El caso de Pyongyang es distinto: utiliza a su grupo de expertos informáticos, conocidos por el sobrenombre de Lazarus, no tanto en labores de inteligencia como para hacer dinero.
El Amado y Respetado Líder —una de las formas oficiales de referirse a Kim Jong-un— apostó hace años por el cibercrimen como una fuente de ingresos que le permita sobrevivir a las duras sanciones internacionales a las que está sometido su país. “A pesar de la mejora de las relaciones comerciales con Rusia, la República Popular Democrática de Corea [ese es el nombre oficial de Corea del Norte] necesita ingresos adicionales para financiar sus ambiciosos planes militares, que incluyen la construcción de nuevos destructores, la fabricación de submarinos de propulsión nuclear y el lanzamiento de nuevos satélites de reconocimiento”, señala el informe de CrowdStrike.
El grupo Lazarus ha protagonizado los mayores robos de criptomonedas de cuantos han salido a la luz: el segundo mayor golpe de la historia, que sustrajo 625 millones de dólares de una vez, fue obra suya. También son especialistas en infiltrar a trabajadores en empresas estadounidenses consideradas estratégicas, tanto para ganar dinero como para robarles secretos industriales. Recientemente han añadido una poderosa herramienta para mejorar la efectividad de sus ataques: la IA generativa.
‘Deepfakes’ para suplantar a trabajadores
Se tiene constancia de la infiltración masiva de trabajadores remotos norcoreanos en empresas occidentales para ganar dinero y robar secretos industriales al menos desde 2019, cuando la pandemia disparó la contratación de personal en remoto. Un reciente informe de Google Threat Intelligence Group, la división de ciberseguridad del gigante tecnológico, identifica la intrusión de estos agentes como empleados en empresas armamentísticas y aeroespaciales como una de las grandes amenazas que afronta la industria de la defensa.
La novedad es que están explotando la IA generativa para pulir esas infiltraciones. “Los agentes utilizan identidades falsas y deepfakes [vídeos hiperrealistas] generados por inteligencia artificial (IA) para eludir las entrevistas en vídeo, lo que en última instancia permite canalizar cientos de millones de dólares en ingresos hacia el régimen”, describe el informe de amenazas globales de 2026 de Cloudflare.
El trabajo en remoto está a la orden del día en multitud de puestos relacionados con la informática. Los norcoreanos, que tienen prohibido trabajar en EE UU, llevan al menos dos años haciéndose pasar por ciudadanos de ese país para lograr empleo allí, mayormente en tecnológicas o bancos. Para ello, recurren a las llamadas granjas de portátiles (laptop farms), o grupos de ordenadores comprados en EE UU e instalados en casas u oficinas de ese país que luego se operan en remoto desde el extranjero. Mediante este sistema, los hackers norcoreanos obtienen IPs (el identificador de los dispositivos) estadounidenses, pudiendo así salvar el escollo de la ubicación.
Una vez obtenida la máquina, hay que inventarse al supuesto trabajador. Para mejorar su legitimidad, “miles de operadores crean personalidades digitales con sus respectivos usuarios en LinkedIn o GitHub, alquilando a menudo las credenciales de ciudadanos estadounidenses cómplices”, dice el informe de Cloudflare. La última incorporación a su arsenal de herramientas para engañar a las empresas objetivo es “el uso de deepfakes para pasar entrevistas de trabajo”.
Un análisis de Crowdstrike concluye que la IA generativa permite a los hackers norcoreanos industrializar lo que antes era un trabajo manual: les ayuda a crear huellas digitales creíbles y a sostener interacciones consistentes en el tiempo. Además de los deepfakes en las entrevistas, crean currículums con IA y construyen identidades falsas. Los expertos de Cloudflare también han documentado “el uso de vídeos y audios falsificados para suplantar a ejecutivos de la empresa objetivo durante llamadas de Zoom dirigidas a los empleados” y conseguir “que descargaran cargas maliciosas”.
Una estructura en crecimiento
El laboratorio de CrowdStrike ha detectado dos nuevos grupos encuadrados en Lazarus, Pressure Chollima y Golden Chollima. “Estas divisiones se centran en las criptomonedas, mientras que otros grupos que ya existían, como Labyrinth Chollima, continúan basados en la recopilación de inteligencia de apoyo. La infraestructura y las herramientas compartidas sugieren en realidad coordinación en lugar de fragmentación”, explica Adam Meyers, responsable de operaciones contra ciberdelincuentes en CrowdStrike.
El equipo de Meyers distingue a siete facciones diferenciadas dentro de Lazarus, con objetivos y especializaciones bien definidas, pero que comparten hasta un repositorio de código al que recurren para preparar sus ataques. “La actividad de los grupos vinculados a Corea del Norte refleja aceleración y perfeccionamiento de sus tácticas, más que un cambio fundamental en las mismas. El uso de IA forma parte de esa evolución. Es un multiplicador de fuerza que aumenta la escala, el realismo y la eficiencia operativa”, añade el texano.
“El régimen norcoreano potencia activamente a los hackers de élite para incorporarlos a la Oficina 121 [una unidad del ejército de expertos informáticos]”, escribe la australiana Anna Fifield en su libro El gran sucesor (Capitán Swing, 2021), en el que se adentra en la poco conocida vida del nieto de Kim Il-sung. “Los estudiantes que muestran posibles aptitudes en este sentido, algunos de tan solo 11 años, son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang”, donde “a lo largo de cinco años se les enseña a hackear sistemas y a crear virus informáticos”. El esfuerzo está dando sus frutos.