Lazarus Group robó $577 millones en cripto en 18 días: por qué México debería estar preocupado

Abril 2026 va a quedar marcado en la historia del cripto como el mes en que Corea del Norte se robó casi $600 millones de dólares en 18 días, y nadie lo vio venir. El Lazarus Group, el grupo de hackers patrocinado por el estado norcoreano, ejecutó dos ataques que juntos suman $577 millones de dólares. Sin exploits mágicos, sin vulnerabilidades de día cero. Solo paciencia, ingeniería social y una confianza ciega de los protocolos en sus propias arquitecturas.

Si usas DeFi, haces staking, o alguna vez has movido tokens entre cadenas usando un bridge, este artículo es para ti. Y si eres mexicano, todavía más.

Abril 2026: el peor mes desde Bybit

Según datos de Spoted Crypto y CoinCentral, en los primeros 18 días de abril se registraron 12 exploits que sumaron $606 millones de dólares en pérdidas totales. El 95% de ese daño viene de solo dos ataques, ambos atribuidos al subgrupo norcoreano UNC4736, también conocido como TraderTraitor o AppleJeus, que forma parte del famoso Lazarus Group.

Para entender la magnitud: el hack de Bybit en febrero de 2025 robó alrededor de $1.5 mil millones, pero fue un solo evento. Aquí estamos hablando de dos golpes separados en menos de tres semanas, con metodologías completamente distintas. El TVL de DeFi colapsó de $99 mil millones a $85 mil millones en 48 horas. Aave acumuló hasta $195 millones en deuda mala de un día para el otro. Toda la ecosistema resintió el impacto.

El primer golpe: 6 meses infiltrando Drift Protocol

El 1 de abril de 2026, los fondos de Drift Protocol fueron vaciados en exactamente 12 minutos. $285 millones. Pero la operación real empezó en el otoño de 2025, seis meses antes.

The Hacker News documentó el ataque en detalle: los operativos del Lazarus Group se presentaron como representantes de una firma de trading cuantitativo. Crearon perfiles de LinkedIn, páginas web, historial de trading, referencias, todo generado con IA y deepfakes. No eran amateurs improvisando una estafa de tres pesos.

¿Cómo fue el proceso? Se fue construyendo paso a paso:

• Otoño 2025: primer contacto en conferencias de cripto, fuera de Corea del Norte usando intermediarios para hacer las reuniones cara a cara
• Diciembre 2025 - enero 2026: depositaron más de $1 millón real en el protocolo para construir credibilidad y un historial verificable
• Febrero - marzo 2026: continuaron las conversaciones de integración en múltiples eventos de la industria
• Semanas previas al ataque: distribuyeron dos vectores de infección a contributors del protocolo

El primer vector fue un repositorio de código que uno de los contributors clonó para “revisar”. El repo contenía un archivo tasks.json de VS Code configurado para ejecutar código malicioso automáticamente al abrir la carpeta. El segundo vector fue convencer a otro contributor de descargar una app de wallet desde TestFlight de Apple para “beta testing”. Las dos infecciones les dieron el acceso que necesitaban.

El 1 de abril de 2026, con acceso pre-posicionado a las firmas administrativas del Security Council, drenaron $285 millones en 12 minutos. Tiempo de ejecución: 12 minutos. Tiempo de preparación: 6 meses.

El segundo golpe: forjando mensajes de bridge en Kelp DAO

Diecisiete días después, el 18 de abril, golpearon de nuevo. Esta vez fue Kelp DAO, un protocolo de restaking que usa LayerZero para operaciones cross-chain. El robo: 116,500 rsETH equivalentes a $292 millones, el 18% del supply total del token.

Aquí no hubo ingeniería social. El ataque fue técnico, y más preocupante en algunos sentidos: los atacantes forjaron mensajes del sistema cross-chain de LayerZero para emitir instrucciones fraudulentas de mint. Como dijo un experto de seguridad citado por CoinDesk: “Una firma verificada en una mentira sigue siendo una mentira. Las firmas garantizan autoría, no verdad.”

El problema de fondo fue que Kelp DAO dependía de un único verificador para aprobar mensajes cross-chain, en lugar de múltiples verificadores independientes. LayerZero lo recomendaba en su documentación. Kelp no lo implementó. Los atacantes encontraron ese punto de falla, lo explotaron, y cuando el mercado notó que había 116,500 rsETH más circulando de la nada, ya era demasiado tarde.

México: más expuesto que el promedio de LATAM

Aquí es donde el tema nos toca de cerca. Según Chainalysis, México tiene más de $71 mil millones en volumen de transacciones cripto, siendo uno de los mercados más grandes de toda América Latina y entre los 20 principales del mundo. Millones de usuarios mexicanos usan exchanges, protocolos DeFi, y sí, exactamente los bridges que fueron atacados este mes.

Además, México es el segundo receptor de remesas más grande del mundo, con ~$61 mil millones anuales, y plataformas como Bitso han procesado miles de millones en remesas cripto desde Estados Unidos. Eso significa una base masiva de usuarios que interactúa con protocolos cross-chain de manera cotidiana, muchas veces sin entender los riesgos subyacentes.

A todo esto súmale que México está en un momento de transición regulatoria. El entorno que describe Mexico Business News es de “sana distancia” por parte del regulador, pero 2026 está poniendo a prueba esa postura. Los usuarios van varios pasos adelante de la regulación, y cuando algo sale mal a esta escala, la protección es casi nula.

Esto también tiene relación con el contexto más amplio de cómo la inestabilidad geopolítica afecta el ecosistema tech en la región, algo que ya analizamos en cómo la guerra en Irán podría encarecer tu próxima GPU, laptop o celular en México: el mundo tech y financiero están cada vez más interconectados con conflictos geopolíticos.

Qué protocolos y prácticas evitar ahorita

No es pánico: es información. Estos son los focos de riesgo que los mismos incidentes de abril señalan:

• Bridges con verificador único: si un protocolo de bridge no usa múltiples verificadores independientes para sus mensajes cross-chain, tiene el mismo punto de falla que Kelp DAO. LayerZero publicó recomendaciones post-ataque, pero muchos protocolos aún no las implementan
• Protocolos con governance concentrada: si el Security Council o los firmantes administrativos de un protocolo pueden ser comprometidos por una sola persona que descargó algo de TestFlight, el TVL entero está en riesgo
• Protocolos sin auditoría reciente: la seguridad no es un estado, es un proceso. Cualquier protocolo que no haya sido auditado en los últimos 6-12 meses está corriendo un riesgo inaceptable en el entorno actual

Plataformas como Aave, Curve, y los bridges más auditados como Across Protocol llevan historial más sólido, aunque ninguno es infalible. El punto es entender qué estás usando y qué tan robusto es su modelo de seguridad.

Checklist de seguridad para el usuario mexicano

Cosas concretas que puedes hacer hoy:

1. Nunca descargues apps de beta testing de alguien que no conoces en persona, aunque seas developer o contributor. TestFlight es legítimo, las apps que llegan por Telegram no lo son necesariamente
2. Si clonas repos de GitHub para revisar código de terceros, hazlo en una máquina virtual o sandbox. Nunca en tu máquina principal con acceso a wallets
3. Usa hardware wallets para cualquier cantidad significativa. Ledger o Trezor. Si tu cripto vive solo en hot wallets de exchanges o apps móviles, estás un exploit de distancia de perderla
4. Revisa los permisos que has dado a contratos inteligentes en sitios como revoke.cash. Si hace meses diste permiso ilimitado a algún protocolo que ya no usas, revócalo
5. Diversifica entre protocolos, no pongas todo en un solo pool por buenos que sean los APYs. La concentración de riesgo es exactamente lo que Lazarus busca explotar
6. Sigue cuentas de seguridad en tiempo real: ZachXBT y CertiK en Twitter/X son los primeros en alertar de exploits activos, muchas veces antes que los propios protocolos

Y si estás en el mundillo de cripto de manera profesional o como contributor, el ataque de Drift debería ser una campanada de alerta. Los hackers ya no buscan vulnerabilidades en código: buscan vulnerabilidades en personas. La ingeniería social de estado es una chimba de sofisticada y no va a parar.

La realidad incómoda

Corea del Norte lleva años financiando su programa de armas con cripto robado. TRM Labs estima que el 76% de todo el valor robado en cripto durante 2026 proviene de actores norcoreanos, con solo dos ataques. Eso no es un bug del ecosistema: es una característica de tener sistemas de alto valor con gobernanza descentralizada pero implementación centralizada.

La adopción cripto en México no va a frenar, y tampoco debería. Pero sí tiene que madurar en términos de cultura de seguridad. Los memes de “WAGMI” están chidos, pero no protegen a nadie de un developer norcoreano con seis meses de paciencia y un repo malicioso.

Y hablando de IA y seguridad, esto también conecta con lo que hemos visto en cómo la IA ya afecta a las empresas en México desde un ángulo regulatorio y de riesgos: el riesgo no siempre es técnico, muchas veces es operativo y humano.

¿Ya revisaste los permisos de tus contratos en revoke.cash? Pregunto en serio.

Fuentes

• Lazarus Group Stole $578M in 18 Days, Spoted Crypto
• $285 Million Drift Hack Traced to Six-Month DPRK Social Engineering Operation, The Hacker News
• LayerZero blames Kelp’s setup for $290 million exploit, CoinDesk
• North Korea Stole 76% of All Crypto Hack Value in 2026, TRM Labs
• 2025 Latin America Crypto Adoption, Chainalysis
• North Korea’s crypto heist playbook is expanding, CoinDesk
• Inside the KelpDAO Bridge Exploit, Chainalysis