Publicado el 2 diciembre, 2025 por Mariana Flores
El jueves 27 de noviembre de 2025, Upbit —la mayor plataforma de intercambio de criptomonedas de Corea del Sur— sufrió un ciberataque de gran magnitud: aproximadamente 44.5 mil millones de wones surcoreanos (unos $30 millones de dólares) en activos basados en la red Solana fueron transferidos a una dirección no autorizada desde una de sus “hot wallets”.
Ante la anomalía, la plataforma detuvo de inmediato depósitos y retiros, aisló los fondos restantes en “cold wallets” y notificó las autoridades competentes.
Vulnerabilidad interna detectada tras el hack.
Durante la investigación del incidente, los ingenieros de Upbit identificaron una grave falla en su software interno de gestión de wallets. En concreto, un error en la generación de firmas criptográficas podría haber permitido a un atacante —analizando transacciones públicas— inferir llaves privadas, comprometiendo así la seguridad de las carteras.
Aunque Upbit reconoció esta vulnerabilidad, la empresa no ha confirmado aún que haya sido la causa directa del hack. La brecha fue detectada durante una auditoría posterior, no antes.
Compensación total y pérdidas asumidas por Upbit.
Pese al impacto, Upbit anunció que reembolsará la totalidad de los activos perdidos pertenecientes a sus usuarios —unos 38.6 mil millones de wones— utilizando sus reservas.
El costo neto para la empresa se estima en 5.9 mil millones de wones (aproximadamente $4 millones), correspondientes a activos propios absorbidos como pérdida corporativa.
Además, ya se han congelado unos 2.3 mil millones de wones (alrededor de $1.5 millones) mediante rastreo en la blockchain, en colaboración con autoridades y otras plataformas, como parte del proceso de recuperación de fondos.
Sospechas sobre los responsables: ¿un actor estatal?
Autoridades surcoreanas, citadas por medios locales, señalaron al Lazarus Group —un colectivo de hackers vinculado a Corea del Norte— como principal sospechoso del ataque, debido a la similitud del modus operandi con ataques previos atribuidos a ellos.
Se cree que los atacantes podrían haber accedido a la infraestructura crítica de Upbit, posiblemente mediante suplantación de credenciales administrativas o comprometiendo cuentas internas, lo que permitiría autorización para retiradas no legítimas.
¿Qué sigue para Upbit? Auditorías y refuerzo de seguridad.
Tras el incidente, Upbit ha iniciado una auditoría exhaustiva de toda su infraestructura de depósito, retiro y almacenamiento de criptoactivos —no sólo en Solana, sino en todos los protocolos de soporte— para evitar una falla similar en el futuro.
La empresa ha comunicado que retomará depósitos y retiros de forma escalonada apenas garantice la seguridad total de sus sistemas.
Además, Upbit ha prometido mayor transparencia hacia sus usuarios y reforzar sus protocolos internos de control de acceso, almacenamiento en frío (“cold storage”) y auditorías de seguridad.
Qué puede aprender la industria cripto de este incidente.
- Las “hot wallets” siguen siendo el eslabón más vulnerable incluso para exchanges grandes. Una falla de software interno —no un bug en la blockchain— pudo ser suficiente para comprometer millones.
- La respuesta rápida (detención de operaciones, traslado a cold wallets, reembolso a usuarios) ayudó a contener el daño reputacional y financiero, pero no elimina la necesidad de revisiones continuas de seguridad.
- La atribución a grupos con recursos estatales —como Lazarus Group— vuelve a poner sobre la mesa la relevancia de la geopolítica en el ecosistema cripto: los exchanges grandes no están exentos de convertirse en blanco de operaciones sofisticadas.
- La confianza del usuario se juega en la transparencia y en la capacidad del exchange para proteger sus activos, más allá del hype corporativo o los planes de expansión.
Fuente: Bitcoin.com
