La acción
Hay fraudes que no se parecen a un atraco, sino a una nómina. El 12 de marzo de 2026, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos sancionó a seis personas y dos entidades por su papel en esquemas de trabajadores informáticos orquestados por el Gobierno de Corea del Norte que, según el comunicado, defraudan a empresas estadounidenses y generaron cerca de 800 millones de dólares en 2024 para los programas de armas de destrucción masiva y misiles balísticos del país. El secretario del Tesoro, Scott Bessent, afirmó que el régimen “ataca a las compañías estadounidenses mediante esquemas engañosos ejecutados por sus operativos de TI en el extranjero, que convierten en arma los datos sensibles y extorsionan a las empresas”.
Cómo funciona el esquema
El método descrito por las autoridades es discreto por diseño. Según el Tesoro, los equipos facilitados por la RPDC recurren a documentación fraudulenta, identidades robadas y personas inventadas para ocultar su origen y conseguir empleo en compañías legítimas de todo el mundo, incluidas las de Estados Unidos y países aliados. El Gobierno norcoreano se apropia después de la mayor parte de los salarios de esos trabajadores en el extranjero, que canaliza hacia el desarrollo de armas en violación de las sanciones estadounidenses y de Naciones Unidas. Más allá del salario, el Tesoro y Chainalysis describieron que algunos de estos trabajadores introducen programas maliciosos en las redes de sus empleadores para extraer información sensible y, en ocasiones, exigir pagos de extorsión.
La novedad operativa, advirtieron los analistas, es que el infiltrado ya no es un atacante externo. El análisis de Chainalysis que acompañó a la acción describió a operativos que escriben código, asisten a reuniones de equipo y entregan funciones mientras mapean los sistemas y recolectan accesos para una posible explotación futura.
La cadena del dinero
El expediente sigue la pista del dinero hasta la billetera. El Tesoro designó a Nguyen Quang Viet, director ejecutivo de la firma vietnamita Quangvietdnbg, por convertir cerca de 2,5 millones de dólares en criptomonedas para norcoreanos entre mediados de 2023 y mediados de 2025, incluidas ganancias ilícitas de trabajadores asociados a la empresa norcoreana Amnokgang. Amnokgang Technology Development Company, una entidad norcoreana que gestiona delegaciones de trabajadores en el exterior, fue designada bajo la Orden Ejecutiva 13810 por operar en el sector de la tecnología de la información del país. Otras dos personas fueron designadas bajo la Orden Ejecutiva 13382, sobre proliferación, por actuar como apoyos de un facilitador de adquisiciones nucleares norcoreano ya sancionado.
En total, la acción incluyó 21 direcciones de criptomonedas en las redes Ethereum, Tron y Bitcoin, un reparto multicadena que, según Chainalysis, busca oscurecer el movimiento de los fondos. OFAC actualizó además la ficha de Sim Hyon Sop, representante en China de un banco norcoreano ya sancionado, con once nuevas direcciones.No es solo un problema estadounidense
El mapa de la red es lo que vuelve esta historia relevante a este lado del Atlántico. El Tesoro situó los nodos de facilitación en la propia RPDC, Vietnam, Laos y España, y describió a un grupo de trabajadores informáticos norcoreanos que operaba como autónomos desde Boten, en Laos, al menos desde 2023. La presencia de un nodo en España y la descripción de empresas “de países aliados” entre las víctimas trasladan el riesgo a cualquier organización que contrate desarrolladores en remoto sin verificación reforzada. El esquema no explota una vulnerabilidad técnica exótica: explota la normalidad del teletrabajo global.
El patrón de fondo
La cifra de 2024 no es un episodio aislado, sino la última lectura de una tendencia. En un comunicado de noviembre de 2025, el Tesoro estimó que, en los tres años previos, los ciberdelincuentes afiliados a Corea del Norte habían robado más de 3.000 millones de dólares, principalmente en criptomonedas, mediante técnicas como programas maliciosos avanzados e ingeniería social. El robo de unos 1.500 millones de dólares a la plataforma Bybit en febrero de 2025, atribuido al grupo Lazarus, fue el episodio más sonoro de esa serie. Conviene leer estos números con cautela metodológica: son estimaciones de la propia autoridad y de firmas de analítica de cadena, no cantidades efectivamente recuperadas, y mezclan robos directos con ingresos por fraude laboral.
Qué pueden hacer las empresas
La parte accionable es conocida y, aun así, difícil. El Tesoro y Chainalysis recomendaron a las empresas de criptoactivos verificar a todas las contrapartes contra las listas de sanciones actualizadas, vigilar patrones compatibles con el fraude de trabajadores IT y reforzar la diligencia debida en el Sudeste Asiático, y remitieron a la alerta del FBI de enero de 2025 y al aviso conjunto de 2022 de los Departamentos de Estado, Tesoro y Justicia. Queda, sin embargo, una tensión sin resolver que el propio caso ilumina: los protocolos verdaderamente sin permisos no pueden bloquear direcciones, y la recuperación completa de los fondos sigue siendo esquiva aun cuando la trazabilidad mejora. La designación corta accesos y eleva el costo de operar; no devuelve, por sí sola, el dinero ya convertido.