En el vasto ecosistema de amenazas cibernéticas globales, ningún grupo ha demostrado ser tan versátil, audaz y persistente como el Grupo Lazarus. Vinculado al Reconnaissance General Bureau (RGB) de Corea del Norte, la principal agencia de inteligencia del régimen, este colectivo de hackers estatales ha ejecutado algunos de los robos financieros más grandes y audaces de la historia digital. Con un botín acumulado estimado que supera los 3.000 millones de dólares, Lazarus no solo financia las ambiciones nucleares y balísticas del régimen de Kim Jong-un, sino que representa un caso único en la historia de la ciberseguridad: un estado-nación que utiliza el cibercrimen como fuente principal de ingresos para su supervivencia económica.
Orígenes: De la Propaganda al Ciberespionaje
Los primeros indicios de actividad del Grupo Lazarus datan de 2009 con la Operación Troy, una serie de ataques de denegación de servicio distribuido (DDoS) contra sitios web gubernamentales de Corea del Sur y Estados Unidos. Estos ataques iniciales eran relativamente primitivos pero demostraron la intención del régimen norcoreano de utilizar el ciberespacio como extensión de su confrontación con el mundo occidental.
En 2013, la sofisticación del grupo dio un salto significativo con la Operación DarkSeoul, un ataque coordinado que afectó a tres grandes bancos surcoreanos (Shinhan, Nonghyup y Jeju) y tres cadenas televisivas nacionales (KBS, MBC y YTN). El ataque destruyó datos en más de 48.000 equipos y causó interrupciones significativas en las transacciones bancarias del país. DarkSeoul demostró que Lazarus había evolucionado de simples ataques DDoS a operaciones destructivas de considerable escala y coordinación.
El Ataque a Sony Pictures (2014): Ciberguerra Cultural
En noviembre de 2014, Lazarus ejecutó uno de los ciberataques más mediáticos de la historia. Operando bajo el seudónimo Guardians of Peace (GOP), el grupo penetró la red corporativa de Sony Pictures Entertainment en represalia por la producción de The Interview, una comedia satírica que retrataba el asesinato ficticio de Kim Jong-un. Los atacantes robaron terabytes de datos confidenciales, incluyendo correos electrónicos internos embarazosos, guiones de películas no estrenadas, información financiera detallada y datos personales de 47.000 empleados (incluyendo números de seguro social y registros médicos).
Las consecuencias internas fueron devastadoras: la copresidenta de Sony Pictures, Amy Pascal, fue despedida tras la filtración de correos electrónicos que contenían comentarios racistas sobre el presidente Obama. La película fue inicialmente retirada de los cines por amenazas de violencia, aunque posteriormente recibió un estreno limitado. El presidente Obama acusó públicamente a Corea del Norte del ataque, marcando la primera atribución pública de un ciberataque a un estado soberano en la historia de la política internacional estadounidense. Este precedente sentó las bases para futuras atribuciones públicas de ciberataques por parte de gobiernos occidentales.
El Atraco al Banco de Bangladesh (2016): El Golpe del Siglo
En febrero de 2016, Lazarus ejecutó lo que muchos consideran el robo bancario más audaz de la era digital. El grupo logró comprometer los sistemas del Banco Central de Bangladesh y envió 35 transferencias fraudulentas por un total de 951 millones de dólares a través del sistema de mensajería financiera SWIFT, la red que conecta a más de 11.000 instituciones financieras en todo el mundo.
De las 35 transferencias, cinco fueron procesadas exitosamente por un total de 101 millones de dólares. Las 30 transferencias restantes, que sumaban 850 millones de dólares, fueron bloqueadas por una coincidencia que parecería ficción: una de las transferencias tenía como destino una entidad con la palabra Jupiter en su nombre, que era también el nombre de un petrolero iraní bajo sanciones internacionales. El sistema de filtrado del Deutsche Bank, banco intermediario de la transacción, detectó la coincidencia y detuvo la transferencia para revisión manual, lo que desencadenó la alerta general.
De los 101 millones transferidos exitosamente, 81 millones fueron enviados a cuentas en Filipinas y lavados a través de la red de casinos de Manila, donde las leyes contra el lavado de dinero no se aplicaban a los establecimientos de juego. Solo 18 millones de dólares fueron eventualmente recuperados. Los restantes 20 millones transferidos a Sri Lanka fueron bloqueados porque un error tipográfico en la transferencia (se escribió fandation en lugar de foundation) alertó al banco receptor.
WannaCry (2017): Ransomware a Escala Planetaria
En mayo de 2017, Lazarus lanzó WannaCry, el ransomware que infectó 230.000 sistemas en 150 países explotando la vulnerabilidad EternalBlue filtrada de la NSA. Aunque WannaCry recaudó apenas 140.000 dólares en rescates (una cifra insignificante para un ataque de esa magnitud), demostró la capacidad de Lazarus de causar disrupciones a escala planetaria. El ataque paralizó hospitales británicos, fábricas de automóviles, telecomunicaciones y sistemas gubernamentales en todo el mundo.
La Era de los Criptoatracos: Reinventando el Robo Digital
Desde 2018, Lazarus pivotó estratégicamente hacia el robo de criptomonedas, reconociendo que los exchanges y protocolos DeFi ofrecían botines enormes con menor riesgo de rastreo y recuperación. El grupo desarrolló AppleJeus, un sofisticado malware que simulaba ser software legítimo de trading de criptomonedas, y creó empresas fachada con sitios web profesionales para distribuirlo.
En enero de 2018, Lazarus robó 530 millones de dólares del exchange japonés Coincheck, comprometiendo tokens NEM. Pero el golpe más espectacular llegó en marzo de 2022 con el robo de 620 millones de dólares del puente Ronin del videojuego Axie Infinity, desarrollado por Sky Mavis. Este se convirtió en el mayor robo de criptomonedas de la historia.
El ataque a Ronin fue un ejemplo magistral de ingeniería social sofisticada: todo comenzó con una oferta de trabajo falsa enviada a través de LinkedIn a un ingeniero sénior de Sky Mavis. El empleado, creyendo estar participando en un proceso de selección legítimo, descargó un documento que contenía malware. A partir de ese punto de entrada, Lazarus escaló privilegios hasta comprometer 5 de los 9 validadores del puente Ronin, obteniendo control suficiente para aprobar transferencias fraudulentas.
Arsenal Técnico: Herramientas y Métodos
Lazarus ha desarrollado un arsenal diverso de herramientas maliciosas, cada una diseñada para un propósito específico. BLINDINGCAN es un troyano de acceso remoto (RAT) que proporciona control total sobre el sistema comprometido. AppleJeus está especializado en el robo de criptomonedas mediante la suplantación de aplicaciones de trading. HOPLIGHT actúa como proxy para ocultar las comunicaciones entre los sistemas comprometidos y los servidores de comando y control. DTrack es un spyware avanzado utilizado para reconocimiento y exfiltración de datos.
El grupo demuestra competencia en exploits zero-day, ataques de cadena de suministro, ingeniería social avanzada y evasión de detección. Su capacidad para adaptar tácticas según el objetivo lo distingue de otros grupos APT: pueden ejecutar ataques destructivos (como WannaCry), robos financieros sofisticados (como Bangladesh) o campañas de ingeniería social prolongadas (como Ronin) con igual eficacia.
Buscados por el FBI: Los Rostros Detrás del Grupo
Park Jin Hyok fue el primer operativo de Lazarus en ser acusado formalmente, en septiembre de 2018, por su participación en los ataques a Sony Pictures, el Banco de Bangladesh y WannaCry. Según la acusación, Park trabajaba para Chosun Expo Joint Venture, una empresa fachada norcoreana que operaba desde China.
En febrero de 2021, el Departamento de Justicia amplió los cargos contra Jon Chang Hyok y Kim Il, dos operativos adicionales acusados de robos que superaban los 1.300 millones de dólares. La investigación reveló que los operativos de Lazarus trabajan desde ubicaciones en China, Rusia, India, Malasia y Bielorrusia, lejos del aislamiento digital de Corea del Norte.
Además de los hackers, Corea del Norte despliega miles de trabajadores de TI fraudulentos que se hacen pasar por desarrolladores freelance de otros países para conseguir empleos remotos en empresas occidentales. Estos trabajadores generan hasta 600 millones de dólares anuales para el régimen, mientras simultáneamente buscan oportunidades para infiltrar las redes de sus empleadores.
Financiando el Programa Nuclear
Según el Panel de Expertos de la ONU sobre Corea del Norte, el botín total acumulado por las operaciones cibernéticas del régimen se estima entre 2.000 y 3.000 millones de dólares. Estos fondos financian directamente el desarrollo de misiles balísticos intercontinentales (ICBM) y el programa de ojivas nucleares de Corea del Norte, permitiendo al régimen evadir las sanciones económicas internacionales que deberían estrangular su capacidad militar.
La relación directa entre el cibercrimen y la proliferación nuclear convierte a Lazarus en una amenaza que trasciende la ciberseguridad convencional. Cada robo exitoso de criptomonedas contribuye potencialmente al desarrollo de armas de destrucción masiva, una conexión que las agencias de inteligencia occidentales consideran una de las mayores amenazas a la seguridad internacional.
Lazarus en 2026: Evolución Continua
Lazarus ha expandido sus operaciones hacia protocolos DeFi y puentes cross-chain, que manejan miles de millones de dólares en activos digitales con equipos de seguridad reducidos. El grupo continúa creando perfiles falsos en LinkedIn y GitHub para realizar campañas de ingeniería social dirigidas a empleados de empresas de criptomonedas y tecnología.
Disuadir a un estado bajo las máximas sanciones internacionales posibles es prácticamente imposible cuando ese estado no tiene nada más que perder. Mientras universidades norcoreanas como la Universidad Kim Il-sung y el Instituto de Tecnología Kim Chaek continúen formando programadores de élite dedicados a operaciones cibernéticas ofensivas, el Grupo Lazarus seguirá evolucionando y representando una amenaza global sin precedentes en la intersección del cibercrimen, el espionaje y la geopolítica.
Sobre el Autor
Daniel Ortiz Castillo – Pentester certificado OSCP y consultor de seguridad ofensiva
Última actualización: 2026 | Contenido verificado por expertos en ciberseguridad
