Egidio
Dossier · 2026

Redes criminales documentadas: el caso Lazarus

Algunos fraudes no son artesanales — los llevan a cabo grupos estructurados, documentados con nombre y apellido por agencias federales y empresas de seguridad. Este es un caso especialmente bien seguido.

Quién documenta este grupo

El grupo conocido como Lazarus (uno de cuyos subgrupos se identifica como "TraderTraitor") es objeto de un seguimiento conjunto por varias agencias estadounidenses y empresas de seguridad, con comunicados públicos con nombre propio y fecha — no rumores.

Abril de 2022
Aviso conjunto del FBI, la CISA (agencia de ciberseguridad estadounidense) y el Tesoro de Estados Unidos, atribuyendo las actividades de TraderTraitor al grupo Lazarus.
2023
El Departamento de Justicia de Estados Unidos anuncia la incautación de más de 15 millones de dólares en criptoactivos robados por el grupo en cuatro plataformas de intercambio.
Mayo de 2024
Robo de 308 millones de dólares en la plataforma de intercambio DMM Bitcoin — atribuido a TraderTraitor por el FBI y la policía nacional japonesa (NPA).
Finales de 2024
Robo de 1500 millones de dólares en la plataforma Bybit — atribución pública del FBI a los actores norcoreanos de TraderTraitor.
2025
Microsoft y Google Threat Intelligence / Mandiant documentan un apartado distinto: operadores que se hacen pasar por falsos desarrolladores o trabajadores independientes en remoto, infiltrándose en empresas reales para robar criptoactivos o propiedad intelectual.
1500 M$
Robo atribuido al grupo en la plataforma Bybit, a finales de 2024.
FBI, atribución pública, finales de 2024. Consultado el 14/07/2026.
308 M$
Robo en la plataforma DMM Bitcoin, mayo de 2024.
FBI y policía nacional japonesa (NPA), mayo de 2024. Consultado el 14/07/2026.

El método: infiltrarse, no solo piratear

Lo que distingue a este apartado del grupo es que no se limita a atacar desde fuera: operadores se hacen contratar como empleados o proveedores reales — currículum falso, identidad falsa, entrevistas superadas con éxito — para obtener acceso legítimo a los sistemas de la empresa. Una vez dentro, pueden desviar fondos, robar propiedad intelectual o instalar herramientas maliciosas.

Por qué importa este caso, aunque no tenga relación directa con tu correo

La mayoría de las estafas que recibe un particular no tienen ninguna relación directa con este grupo concreto. Pero este caso ilustra a qué escala se ha estructurado el fraude organizado: ya no son individuos aislados, sino redes con métodos documentados, que después se difunden hacia estafas más comunes — falsos reclutadores, ingeniería social, perfiles falsos.

🔒 Venga la amenaza de un grupo organizado o de un estafador aislado, el principio para protegerte sigue siendo el mismo: detectar el patrón, no solo el mensaje aislado. Es exactamente lo que hace Medusa, el motor de Egidio. Ver cómo funciona.

Preguntas frecuentes

¿Quién documenta las actividades del grupo Lazarus?

Organismos públicos y privados claramente identificados: el FBI, la CISA y el Tesoro estadounidense (aviso conjunto), el Departamento de Justicia de Estados Unidos (incautaciones), así como Microsoft y Google Threat Intelligence / Mandiant para el apartado de infiltración de empresas.

¿Cómo se infiltra este grupo en empresas reales?

Haciéndose pasar por desarrolladores o trabajadores independientes en remoto, con perfiles e identidades falsos, para obtener acceso legítimo a los sistemas de la empresa contratante.

¿Qué relación tiene esto con las estafas que recibe un particular?

Ninguna relación directa para la mayoría de las víctimas de captación comercial o phishing clásico — pero este caso ilustra hasta qué punto el fraude organizado se ha convertido en una industria estructurada, con técnicas (ingeniería social, perfiles falsos) que después se filtran hacia estafas más comunes.

Para saber más