Egidio
Dossier · 2026

Redes criminales documentadas: el caso Lazarus

No todas las estafas son artesanales — algunas las ejecutan grupos estructurados, documentados de manera nominal por agencias federales y empresas de seguridad. Este es un caso particularmente bien monitoreado.

Quién documenta a este grupo

El grupo conocido como Lazarus (del cual un subgrupo está identificado como "TraderTraitor") es monitoreado conjuntamente por varias agencias estadounidenses y empresas de seguridad, con comunicados públicos nombrados y fechados — no rumores.

Abril de 2022
Aviso conjunto del FBI, la CISA (agencia de ciberseguridad de Estados Unidos) y el Departamento del Tesoro de Estados Unidos, que atribuye las actividades de TraderTraitor al grupo Lazarus.
2023
El Departamento de Justicia de Estados Unidos anuncia el decomiso de más de 15 millones de dólares en criptoactivos robados por el grupo en cuatro plataformas de intercambio.
Mayo de 2024
Robo de 308 millones de dólares en la plataforma de intercambio DMM Bitcoin — atribuido a TraderTraitor por el FBI y la policía nacional japonesa (NPA).
Fin de 2024
Robo de 1,500 millones de dólares en la plataforma Bybit — atribución pública del FBI a los actores norcoreanos de TraderTraitor.
2025
Microsoft y Google Threat Intelligence / Mandiant documentan un componente distinto: operadores que se hacen pasar por falsos desarrolladores o trabajadores independientes remotos, infiltrándose en empresas reales para robar criptoactivos o propiedad intelectual.
1,500 mdd
Robo atribuido al grupo en la plataforma Bybit, a fines de 2024.
FBI, atribución pública, fines de 2024. Consultado el 14/07/2026.
308 mdd
Robo en la plataforma DMM Bitcoin, mayo de 2024.
FBI y policía nacional japonesa (NPA), mayo de 2024. Consultado el 14/07/2026.

El método: infiltrarse, no solo hackear

Lo que distingue a este componente del grupo es que no se limita a atacar desde afuera: operadores logran ser contratados como empleados o prestadores reales —CV falsos, identidad falsa, entrevistas aprobadas con éxito— para obtener acceso legítimo a los sistemas de la empresa. Una vez dentro, pueden desviar fondos, robar propiedad intelectual o instalar herramientas maliciosas.

Por qué este caso importa, aunque no tenga relación directa con tu bandeja de entrada

La mayoría de las estafas que recibe una persona común no tienen relación directa con este grupo en particular. Pero este caso ilustra qué tan estructurado se ha vuelto el fraude organizado: ya no son individuos aislados, sino redes con métodos documentados, que después se difunden hacia estafas más comunes — falsos reclutadores, ingeniería social, perfiles falsos.

🔒 Venga la amenaza de un grupo organizado o de un estafador aislado, el principio para protegerse es el mismo: identificar el patrón, no solo el mensaje aislado. Eso es exactamente lo que hace Medusa, el motor de Egidio. Ve cómo funciona.

Preguntas frecuentes

¿Quién documenta las actividades del grupo Lazarus?

Organismos públicos y privados claramente identificados: el FBI, la CISA y el Departamento del Tesoro de Estados Unidos (aviso conjunto), el Departamento de Justicia de Estados Unidos (decomisos), así como Microsoft y Google Threat Intelligence / Mandiant para el componente de infiltración de empresas.

¿Cómo se infiltra este grupo en empresas reales?

Haciéndose pasar por desarrolladores o trabajadores independientes remotos, con perfiles e identidades falsas, para obtener acceso legítimo a los sistemas de la empresa que los contrata.

¿Cuál es la relación con las estafas que recibe una persona común?

Ninguna relación directa para la mayoría de las víctimas de phishing o fraude clásico — pero este caso ilustra qué tan estructurada se ha vuelto la industria del fraude organizado, con técnicas (ingeniería social, perfiles falsos) que después se filtran hacia estafas más comunes.

Para profundizar