En febrero de 2025, el mundo de las criptomonedas fue sacudido por un masivo ataque cibernético perpetrado contra Bybit, una de las plataformas de intercambio de activos digitales más relevantes a nivel global. Este hackeo, atribuido al infame Grupo Lazarus, vinculado a Corea del Norte, implicó el robo de aproximadamente 1.4 mil millones de dólares en criptomonedas, posicionándose como uno de los ataques más grandes y sofisticados de la historia reciente del sector. Sin embargo, lo más preocupante no es solo la magnitud del robo, sino que casi el 30% de estos fondos sustraídos se han vuelto completamente inrastreables, lo que dificulta enormemente las tareas de recuperación y aporta un nivel sin precedentes de invisibilidad a estas operaciones ilícitas en el ecosistema cripto. El Grupo Lazarus ha demostrado con esta acción una capacidad técnica avanzada y una estrategia diseñada para evadir la legislación internacional y las tecnologías forenses utilizadas por los expertos en seguridad de criptomonedas.
Según declaraciones oficiales del CEO de Bybit, Ben Zhou, alrededor del 68.57% de los fondos robados aún permanecen rastreables en diversas redes blockchain, mientras que aproximadamente el 3.84% ha sido congelado por las autoridades tras las investigaciones pertinentes. Ese margen del 27.59% que ha “desaparecido” simboliza un nuevo nivel de complejidad en la forma en que los hackers están operando y blanqueando activos digitales, utilizando una combinación sofisticada de herramientas tecnológicas y plataformas descentralizadas.
Las criptomonedas robadas inicialmente consistían mayormente en Ethereum (ETH), que equivalía a cerca de 500,000 ETH. Lo notable es que los atacantes convirtieron aproximadamente el 84.45% de estos activos digitales en Bitcoin (BTC) para distribuirlos posteriormente en más de 35,000 carteras diferentes. Esta dispersión masiva tiene como objetivo principal reducir el rastro y las probabilidades de detección. Un dato relevante es que estas carteras recibían en promedio solo 0.
28 BTC, una cantidad relativamente pequeña diseñada para evitar levantar sospechas en los sistemas de monitoreo y análisis de transacciones financieras. Este movimiento estratégico de lavado de dinero involucró el uso de una variedad de plataformas y protocolos para efectuar swaps cruzados entre distintas cadenas de bloques. Entre ellas, destacaron Thorchain, eXch, Lombard, LiFi, Stargate y SunSwap. Estas herramientas permiten mover fondos entre diferentes blockchains, enriqueciendo la complejidad de las transacciones y dificultando el seguimiento por parte de las autoridades y los especialistas en ciberseguridad. Parte del proceso de anonimización también incluyó el uso de mezcladores de criptomonedas, conocidos como mixers, que son servicios basados en la tecnología blockchain que dificultan el rastreo de la fuente o destino original de los fondos.
En este caso, los hackers utilizaron destacados mixers tales como Wasabi, Railgun, Tornado Cash y CryptoMixer, todos habilitando operaciones seguras y privadas con la finalidad de disolver el origen ilícito del dinero robado. Esta práctica, aunque legal en muchos contextos, cuando es empleada por criminales permite la ocultación y distribución anónima de activos, obstaculizando la persecución de los responsables. El informe de Bybit también reflejó que aunque casi el 30% de los fondos están inrastreables, otro porcentaje se mantiene bajo vigilancia o incluso congelado gracias a los esfuerzos conjuntos de plataformas, expertos en blockchain y agencias internacionales de seguridad. Bybit ha impulsado una iniciativa denominada Lazarus Bounty, destinada a motivar a expertos en análisis forense de criptomonedas para detectar y reportar movimientos sospechosos vinculados al botín robado. En los dos meses siguientes al ataque, esta iniciativa ha recibido más de 5,400 reportes, de los cuales cerca de 70 se consideran válidos y útiles para continuar la trazabilidad y posible recuperación de activos.
Pero el reto permanece gigantesco, ya que Ben Zhou subrayó que se necesitan más especialistas capaces de descifrar las complejidades de los mixers y de los swaps entre cadenas para desentrañar las redes de lavado de activos digitales. La magnitud y sofisticación con que opera el Grupo Lazarus exigen una colaboración internacional sistemática y una inversión constante en tecnologías de seguimiento de transacciones, inteligencia artificial y análisis predictivo para anticipar y prevenir ataques similares en el futuro. Este incidente pone una vez más sobre la mesa el debate sobre la seguridad y regulación del ecosistema de las criptomonedas. Si bien la descentralización y la inviolabilidad de la blockchain son aspectos valorados positivamente por inversionistas y usuarios, también representan un desafío en términos de gobernanza y control cuando son utilizadas para actividades ilegales. La integridad de estas plataformas depende en gran medida de la capacidad técnica y la cooperación entre actores privados y públicos para garantizar que no se conviertan en un refugio para capitales ilícitos.
También es importante destacar que el modus operandi del Grupo Lazarus no es nuevo, dado que llevan años operando sofisticadas campañas de ciberataques contra entidades financieras y tecnológicas. No obstante, la magnitud y dispersión del hackeo a Bybit representa una evolución significativa en cuanto a la escala y la complejidad técnica, lo que obliga a repensar estrategias y fortalecer los sistemas de seguridad existentes. Otro aspecto relevante es la creciente transformación del dinero robado en pequeñas fracciones, distribuido en miles de carteras, lo que dificulta cualquier intento por parte de las fuerzas de seguridad para congelar activos a gran escala. Este patrón obliga a un nivel de análisis minucioso para detectar movimientos anómalos en cantidades bajas pero frecuentes, incrementando la carga de trabajo y los costos asociados a la recuperación. Además, el ataque y la posterior dispersión de fondos coincide con la utilización creciente de exchanges descentralizados y plataformas peer-to-peer, lo que incrementa la dificultad de rastreo y regulación.
Estas plataformas, aunque legítimas y con usos legítimos, pueden ser aprovechadas por actores malintencionados para ocultar la procedencia y destino final de las criptomonedas robadas. Por último, el caso Bybit destaca la urgente necesidad de un marco regulatorio coordinado a nivel global que aborde tanto la protección de activos digitales en plataformas de intercambio como la prevención y persecución del lavado de dinero en la era digital. Las autoridades deben trabajar en conjunto con las empresas del sector para desarrollar herramientas más eficientes, protocolos claros y sanciones efectivas que desalienten este tipo de delitos. En conclusión, el hackeo a Bybit cometido por el Grupo Lazarus revela los importantes retos que enfrentan las plataformas de criptomonedas para mantener la seguridad y transparencia en un ecosistema donde la tecnología evoluciona a gran velocidad. La pérdida de casi el 30% de una suma millonaria en fondos irrecuperables pone en evidencia la sofisticación de los métodos utilizados por los hackers y la necesidad de intensificar esfuerzos colaborativos para proteger el futuro del mercado cripto.
Este episodio es un llamado de atención para inversionistas, reguladores y desarrolladores a estar alerta y trabajar juntos en soluciones innovadoras que garanticen la integridad, confianza y seguridad en el uso de activos digitales.
