Informe 2025 sobre la criptodelincuencia

Introducción

En 2024, el volumen de transacciones de^{criptomonedas1} superó los 10,6 billones de dólares, un 56 % más que en 2023. En la actualidad, el volumen ilícito parece haber descendido a 45.000 millones de dólares, un 24% menos que en 2023. Esto representa el 0,4% del volumen total de criptomonedas, un descenso desde el 0,9% en 2023, marcando una disminución del 51% año tras año. TRM ahora determina que el volumen ilícito representó aproximadamente el 0,9% del volumen total de cripto en 2023.

Las principales categorías de actividad ilícita en la cadena de bloques siguen siendo las mismas que en 2023: Sanciones (33% del volumen ilícito), ^Bloqueos2 (29% del volumen ilícito) y Estafas y fraudes (24% del volumen ilícito).

TRM espera que las cifras globales de volumen ilícito se revisen al alza

Estas cifras globales representan las estimaciones actuales del TRM sobre el volumen ilícito, basadas en la información más reciente de que disponemos. Sin embargo, debido a las complejidades inherentes a la detección y atribución de transacciones ilícitas -y a los retrasos en la notificación-, esperamos que las cifras globales de volumen ilícito aumenten con el tiempo a medida que surjan nuevos datos.

En el momento de la publicación de este informe anual a principios de 2024, las estimaciones de TRM para el volumen ilícito eran de 34.800 millones de USD para 2023. Ahora, TRM estima que la cifra asciende a 58.700 millones de dólares, lo que supone una revisión al alza del 69%. Es importante señalar que incluso la cifra revisada puede no ser definitiva, ya que es probable que la atribución se amplíe en los próximos años. En consonancia con la expansión de la atribución a lo largo del tiempo, el volumen ilícito para 2022 se ha revisado al alza, pasando de los 49.600 millones de USD comunicados el año pasado a los 56.600 millones de USD basados en nuestra estimación actual, dos años después del final de 2022.

Dada la alta probabilidad de futuras revisiones al alza de los volúmenes ilícitos globales, los lectores deben considerar las cifras de este informe como una línea de base dinámica. Lo más probable es que la estimación final del volumen ilícito para 2024 supere con creces los 44.700 millones de dólares estadounidenses que aquí se recogen, y que incluso supere los 75.000 millones si se mantiene la revisión al alza de la cifra de 2023. Prevemos que las tendencias específicas de cada categoría y las evaluaciones de las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas seguirán siendo más coherentes y proporcionarán información fiable sobre la evolución de los patrones de riesgo.

‍

Metodología

Nuestra estimación del volumen total de criptomonedas ilícitas se basa en el valor en USD de los fondos robados en hackeos de ^{criptomonedas3}, combinado con el valor en USD de las transferencias a direcciones de blockchain en Bitcoin, Ethereum, TRON, Binance Smart Chain y Polygon que hemos vinculado a entidades en categorías ilícitas como esquemas de fraude, sanciones y mercados de la darknet. Consideramos que nuestra estimación es el mínimo, o el "suelo", del volumen de criptomoneda ilícita, y esperamos que las cifras aumenten con el tiempo al retrasarse la atribución y la notificación.

Quedan excluidas de nuestra estimación del volumen de criptomoneda ilícita:

{{2025-crypto-crime-report-methodology-dropdown-1}}

{{2025-crypto-crime-report-methodology-dropdown-2}}

{{2025-crypto-crime-report-methodology-dropdown-3}}

‍

¹ Volumen en Bitcoin, Ethereum, TRON, Binance Smart Chain y Polygon.

² Las direcciones bloqueadas son direcciones que aparecen en listas de bloqueo públicas de emisores de stablecoins, avisos y alertas de organismos policiales de confianza y VASPs bien establecidos u organizaciones impulsadas por la comunidad que sirven para informar a otras entidades sobre el riesgo asociado a las direcciones publicadas. Estas direcciones pueden contener fondos asociados a una serie de actividades ilícitas. Algunas direcciones, como los contratos de stablecoin, también se incluyen en listas de bloqueo para impedir que los usuarios les envíen fondos o que se les llame.

³ Valor en USD en el momento del pirateo.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">ILLICIT VOLUME</span>

TRON registró el mayor descenso del volumen ilícito en 2024

En 2024, el mayor porcentaje de actividad ilícita de criptomonedas se produjo en la blockchain TRON (58% del volumen ilícito), seguida de Ethereum (24% del volumen ilícito), Bitcoin (12% del volumen ilícito), Binance Smart Chain (3% del volumen ilícito) y Polygon (3% del volumen ilícito), lo que refleja la continua preferencia por blockchains que tienen bajas tarifas de transacción, smart contracts y stablecoins populares.

Sin embargo, de todas las blockchains analizadas, TRON experimentó el descenso más significativo del volumen ilícito, con una caída de 6.000 millones de USD y la reducción a la mitad de su proporción de volumen ilícito. En particular, el 49% del volumen ilícito de TRON estaba vinculado a entidades sancionadas, mientras que el 32% correspondía a fondos bloqueados, es decir, activos que han sido neutralizados y que ya no son accesibles para los actores de amenazas. Del subconjunto de fondos bloqueados en USDT en TRON, aproximadamente el 20% se ha reasignado a víctimas y cuentas gubernamentales.

Esta reducción del volumen ilícito refleja, en parte, el interés de TRON por erradicar a los actores ilícitos en su blockchain. En agosto de 2024, TRON, Tether y TRM anunciaron la creación de la Unidad de Delitos Financieros T3 (T3 FCU), una iniciativa pionera destinada a facilitar la colaboración público-privada para combatir la actividad ilícita asociada al uso de USDT en la blockchain de TRON. 

En los meses transcurridos desde su puesta en marcha, la iniciativa -en colaboración con las fuerzas del orden- ha facilitado la inmovilización de más de 130 millones de USD en ingresos ilícitos. 

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">SANCTIONED ENTITIES</span>

Las entidades sancionadas siguieron impulsando el volumen ilícito de criptomonedas 

Las entidades sancionadas impulsaron la mayor parte del volumen de criptomonedas ilícitas en 2024, aunque las entradas disminuyeron de 21.900 millones de USD en 2023 a 14.800 millones de USD, un descenso del 33%. 

Garantex, la mayor bolsa de criptomonedas de Rusia, y Nobitex, la mayor bolsa de criptomonedas de Irán, representaron más del 85% de los flujos de entrada a entidades y jurisdicciones sancionadas, aunque sus volúmenes globales también disminuyeron. Es probable que esto se deba a una serie de factores, incluido el uso potencial de servicios alternativos y la incertidumbre sobre el apoyo del régimen al uso de criptomonedas en jurisdicciones fuertemente sancionadas. A finales de 2024 se recibieron informes de Irán que indicaban que el régimen iraní se estaba preparando para regular la criptoeconomía con el fin de aumentar la transparencia, así como informes de que el Banco Central de Irán había cerrado el acceso a los portales de los intercambios de criptodivisas.

Aprovechar las sanciones para desbaratar la economía ilícita rusa, Hamás y Hezbolá

Un aspecto destacado del panorama de sanciones de 2024 fue la focalización por parte de Estados Unidos y sus socios globales de entidades y personas clave que apoyan la evasión de sanciones y el blanqueo de dinero a través de monedas virtuales como parte de la economía ilícita de Rusia. La OFAC emitió 13 designaciones de sanciones que incluían 86 direcciones de criptodivisas, muchas de ellas dirigidas a Rusia y a personas y entidades relacionadas con la cibernética, incluidos miembros del grupo de ransomware Trickbot, redes de blanqueo de capitales y bolsas de criptodivisas que facilitan actividades ilícitas. 

Las bolsas centralizadas y entre pares NetEx24, Bitpapa y Cryptex se encontraban entre las señaladas por facilitar transacciones millonarias a agentes ilícitos y sancionados. Los flujos de entrada a estas tres bolsas cayeron una media del 82% en los tres meses posteriores a la designación, en comparación con sus volúmenes anteriores a la designación. Personas como Elena Chirkinyan y Khadzi-Murat Dalgatovich Magomedov también fueron designadas a raíz de una importante investigación mundial dirigida por la Agencia Nacional contra la Delincuencia del Reino Unido (NCA) "Operación Destabilise", por su papel en operaciones de blanqueo de capitales y evasión de sanciones a través de diversos medios, incluida la criptomoneda.

Además de Rusia y las designaciones relacionadas con la cibernética, hubo una serie de designaciones relacionadas con la criptografía de entidades y personas relacionadas con Hamás y Hezbolá tras el atentado del 7 de octubre de 2023. Estas designaciones incluyeron a GazaNow (una entidad con sede en Gaza) y a su fundador Mustafa Ayash por recaudar fondos para Hamás tras el atentado del 7 de octubre, así como a Tawfiq Muhammad Sa'id al-Law (un operador de hawala sirio con sede en Líbano) por proporcionar a Hizbulá monederos digitales para recibir fondos de las ventas de productos básicos del IRGC-QF y realizar criptotransferencias en nombre de entidades sirias sancionadas.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">TERRORIST FINANCING</span>

Se amplía el uso de criptomonedas en la financiación del terrorismo

Aunque es muy probable que el efectivo, las instituciones financieras tradicionales, las empresas de servicios monetarios y las hawalas sigan constituyendo la mayor parte de la financiación del terrorismo, las pruebas del creciente uso de la criptomoneda por parte de los grupos terroristas son claras. Especialmente preocupante es el creciente papel de la criptomoneda para la filial de ISIS en Afganistán, la Provincia de Khurasan del Estado Islámico (ISKP), una de las amenazas terroristas transnacionales más importantes en la actualidad.

El ISIS siguió aumentando el uso de criptomonedas

En el último año, el ISKP ha estado vinculado a numerosos atentados, complots frustrados y detenciones en países como Rusia, Turquía, Irán, Alemania, Francia, Austria, Italia y Estados Unidos. En varios casos, la criptomoneda desempeñó un papel fundamental. 

• En marzo de 2024, ISKP llevó a cabo un atentado mortal en Moscú financiado en parte con criptomoneda. 
• En junio de 2024, un individuo alemán, que envió 1.700 dólares en criptomoneda a ISKP, fue arrestado tras solicitar trabajo como guardia de seguridad en un importante torneo de fútbol europeo, el tipo de evento que ISKP ha instado repetidamente a sus seguidores a atacar. 
• Ese mismo mes, las autoridades turcas anunciaron la detención de financiadores del ISIS que operaban en el país y la incautación de monederos de criptomoneda.
• En diciembre de 2024, un individuo residente en el Reino Unido fue condenado a prisión por enviar criptomonedas por valor de más de 16.000 GBP a ISKP.

En el último año, TRM ha identificado cientos de transacciones vinculadas a ISKP, de entre 100 y 15.000 dólares. Estas transacciones se han realizado a través de bolsas reguladas, bolsas de alto riesgo y operadores individuales de criptomonedas, algunos de los cuales podrían facilitar a sabiendas las actividades de ISKP. 

TRM también identificó vínculos en la cadena entre direcciones afiliadas al ISKP y campañas de recaudación de fondos en Siria para miembros del ISIS y familias retenidas en campamentos, que siguen siendo un importante motor del uso de criptomonedas por parte de simpatizantes del ISIS en todo el mundo. TRM trabaja con diligencia para identificar las direcciones que utilizan las distintas campañas de financiación del terrorismo, de modo que las fuerzas de seguridad puedan rastrear y desbaratar las campañas y sus actores.

Hamás, GazaNow y las Brigadas Muyahidines recibieron miles de dólares en donaciones de criptomoneda

En Gaza, donde el conflicto entre Israel y Hamás entró en su segundo año, las donaciones en criptomoneda siguieron llegando a direcciones asociadas con Hamás, GazaNow y las Brigadas Muyahidines.

Aunque Hamás había anunciado en la primavera de 2023 que había dejado de aceptar donaciones de criptomoneda -en gran parte debido al éxito de Israel y Estados Unidos en atacar su infraestructura de criptomoneda-, los datos de TRM indicaban que el grupo seguía recibiendo decenas de miles de dólares en donaciones de criptomoneda, aunque de forma más discreta. 

Además, la entidad vinculada a Hamás, GazaNow, seguía solicitando donaciones en criptomoneda, a pesar de estar en el punto de mira de Israel y sancionada por la OFAC y otras agencias de todo el mundo. GazaNow ha recaudado decenas de miles de dólares desde el ataque de Hamás del 7 de octubre de 2023. 

Otras campañas de recaudación de fondos que han obtenido decenas de miles de dólares incluyen una para las Brigadas Muyahidines, el ala militar del Movimiento Muyahidín Palestino, que fue sancionado por Estados Unidos en noviembre de 2018. 

Las stablecoins siguieron siendo la principal opción para las organizaciones de financiación del terrorismo 

Los cambios relacionados con la confianza de las organizaciones de financiación del terrorismo en las stablecoins, identificados por TRM a partir de 2022, persistieron en 2024. El análisis de TRM indica que, a pesar del creciente interés por Monero, las stablecoins siguen siendo la principal opción para las organizaciones de financiación del terrorismo. 

Mientras que ISKP, por ejemplo, promueve Monero en la revista producida por su unidad de medios de comunicación, TRM evalúa que ISKP utiliza predominantemente stablecoins para mover y almacenar fondos. Además, las campañas de recaudación de fondos seguidas por TRM siguen prefiriendo abrumadoramente las stablecoins, aunque queda por ver si el aumento de los precios de Bitcoin y otras criptodivisas tendrá un impacto a largo plazo en sus elecciones.   

En lo que respecta a Monero, en otoño de 2023, el brazo mediático oficial del ISKP lanzó su primera campaña de donaciones con Monero como moneda elegida. Anunciada por primera vez en la revista "Voice of Khurasan", producida por la unidad mediática del ISKP, al-Azaim, las peticiones de donaciones utilizando Monero se han convertido desde entonces en algo habitual. TRM ha identificado campañas de recaudación de fondos vinculadas a otras filiales de ISIS, incluidas las de India y Filipinas, que también han solicitado donaciones en Monero. Si bien estos hechos son preocupantes, la adopción generalizada de Monero sigue siendo poco probable a corto plazo, dados los desafíos técnicos y las restricciones asociadas a su uso, incluida la exclusión de la lista de monedas privadas por parte de las principales bolsas. 

Los actores de la amenaza mostraron una mayor seguridad operativa 

Los terroristas y sus partidarios empezaron a mostrar una creciente sofisticación en el uso de la criptomoneda, y las numerosas detenciones de individuos en 2024 fueron probablemente una de las causas de la mejora de las TTP. Esto incluye:

• Uso creciente de monederos y mezcladores no alojados. Los terroristas y sus partidarios han estado compartiendo consejos en línea sobre las mejores prácticas y los servicios o sitios web que ofrecen mayor protección.  
• Uso de credenciales falsas para eludir los controles de conocimiento del cliente (KYC) impuestos por las bolsas.
• Creciente interés por monedas de privacidad como Monero.

A medida que aumente la sofisticación del uso de criptomoneda por parte de los terroristas, se requerirá una vigilancia continua, inteligencia sobre amenazas y capacidades técnicas avanzadas para identificar su actividad en la blockchain.  

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">RANSOMWARE</span>

Las demandas de Ransomware alcanzan su máximo histórico

Ransomware ha seguido siendo una amenaza prolífica y creciente en 2024, con 5.635 ataques denunciados^{públicamente4}, superando los 5.223 de 2023. Las exigencias económicas de los autores ransomware ransomware también han alcanzado niveles sin precedentes, como demuestra el pago récord de 75 millones de dólares realizado al grupo de ransomware Dark Angels en marzo de 2024. Esta escalada en las peticiones de rescate pone de manifiesto la creciente audacia y sofisticación de los autores de amenazas, que utilizan herramientas y técnicas avanzadas para maximizar sus esfuerzos de extorsión.

El panorama del ransomware y la criptodelincuencia es muy fluido, donde las normas actuales están sujetas a una rápida evolución. Una tendencia notable identificada por el equipo de inteligencia de amenazas de TRM en 2024 fue la disminución del uso de mezcladores de criptomonedas para blanquear los ingresos del ransomware . En su lugar, las amenazas aprovechan cada vez más los puentes entre cadenas para ocultar las transacciones y permitir conversiones de criptomoneda sin problemas antes de cobrar. Aunque el bitcoin sigue siendo la moneda principal para los pagos de ransomware , una parte sustancial de estos fondos se convierte a otras criptomonedas. El uso de puentes proporciona un medio más rápido y eficiente de convertir fondos ilícitos, al tiempo que crea una ilusión de mayor anonimato para los ciberdelincuentes.

Nuevos grupos de ransomware entraron en el campo, mientras que otros grupos existentes cambiaron de marca.

En 2024 aparecieron varios grupos nuevos de ransomware , como Brain Cipher, dAn0n, DragonForce, Fog, Funksec, RansomHub, Sarcoma y Trinity. Estos grupos no han tardado en ganar notoriedad por sus sofisticadas tácticas y el éxito de sus ataques en diversos sectores. Por ejemplo, Trinity se ha asociado a ataques contra infraestructuras críticas, como organizaciones sanitarias y gubernamentales, incluidos dos proveedores de atención sanitaria con sede en el Reino Unido y Estados Unidos.

Además de los nuevos participantes, varios grupos importantes de ransomware han cambiado de marca o de nombre para eludir el escrutinio de las fuerzas de seguridad. Algunos ejemplos notables son el resurgimiento de grupos como Lynx (alias INC), DennistheHitman (alias GlobeImposter) y Qilin (alias Agenda), que han adoptado métodos de extorsión innovadores para aumentar su eficacia. 

El modelo Ransomware(RaaS) sigue dominando el ecosistema, permitiendo a los actores menos cualificados llevar a cabo ataques de gran impacto. Los afiliados se han vuelto cada vez más adaptables, cambiando a menudo entre plataformas y grupos, como demuestra la actividad en la cadena.

Aunque el panorama del ransomware ha estado tradicionalmente muy asociado a los actores de habla rusa, especialmente a nivel de administrador, se ha diversificado a lo largo de los años. Los grupos incorporan ahora afiliados de todo el mundo con un amplio espectro de conocimientos lingüísticos. Por ejemplo, el ransomware DragonForce demuestra este cambio, con vínculos con el norte o centro de Asia, como sugieren las grabaciones de audio de sus actores asociados en su sitio TOR.

A pesar de este cambio, los grupos de ransomware de habla rusa siguen siendo muy activos, con algunos de los actores más sofisticados del panorama cibercriminal. Muchos de estos grupos están vinculados a ataques de gran repercusión y utilizan técnicas de cifrado avanzadas, tácticas de extorsión innovadoras y modelos RaaS para ampliar sus operaciones.

Los ataques más destacados de 2024 se dirigieron principalmente a los sectores de la tecnología, el comercio minorista y los servicios financieros.

Los sitios de filtración de datos han proliferado, sirviendo como plataformas para la vergüenza pública y la extorsión. Estos sitios se utilizan cada vez más en estrategias de extorsión de varios niveles, añadiendo presión a las víctimas para que paguen rescates mediante la publicación de los nombres de las víctimas y los datos de las empresas.

En 2024, los ataques Ransomware siguieron dirigiéndose a sectores críticos, causando trastornos generalizados, y los tres sectores más afectados fueron el tecnológico, el manufacturero y el de servicios profesionales. Las tendencias de cara a 2025 sugieren que los grupos de ransomware seguirán dirigiéndose a la sanidad y las infraestructuras críticas, las vulnerabilidades de la cadena de suministro y los proveedores de servicios en la nube para maximizar su eficacia e impacto.

ransomware

ransomware

ransomware

La colaboración internacional es fundamental para desarticular a los autores de ransomware

En 2024, los esfuerzos mundiales para combatir el ransomware incluyeron importantes colaboraciones internacionales como Operación Cronosque desbarató la infraestructura de LockBit, y la Operación Endgame, dirigida contra redes de ransomware en toda Europa. La Counter Ransomware Initiative (CRI) reunió a 68 naciones para mejorar las estrategias contra el ransomware, mientras que las sanciones se dirigieron a figuras clave de grupos como Evil Corp. El aumento de la colaboración entre entidades públicas y privadas ha sido decisivo para estos éxitos. El intercambio de inteligencia en tiempo real y las operaciones conjuntas han ampliado los recursos y han permitido la interrupción oportuna de los ataques en curso, poniendo de relieve la importancia de las asociaciones sólidas en la lucha contra el ransomware.

‍

⁴ Este análisis se basa en los datos de sitios de filtración de ransomware disponibles a 6 de enero de 2025, y excluye los incidentes no notificados.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">HACKS</span>

2.200 millones de dólares robados en hackeos relacionados con criptomonedas

En 2024, se robaron 2.200 millones de dólares en hackeos y exploits, un 17% más que en 2023, lo que eleva el total de tres años a más de 7.700 millones de dólares. El espacio de las criptomonedas sigue lidiando con amenazas cambiantes, y los protocolos financieros descentralizadosDeFi) siguen siendo los principales objetivos. El tamaño medio de los ataques fue de 14 millones de dólares, lo que refleja tanto la sofisticación como la escala de las brechas modernas. 

Los ataques a la infraestructura (principalmente a claves privadas y frases semilla) representaron casi el 70% de los fondos robados en 2024. Estos ataques son habituales porque las claves privadas y las frases clave sirven como credenciales de acceso fundamentales para las criptocarteras y las plataformas. Los hackers se aprovechan de las malas prácticas de almacenamiento, realizan campañas de phishing y despliegan malware para acceder a estas credenciales confidenciales. Una vez robada la clave privada, el ladrón suele transferir los fondos a su propio monedero, a menudo ocultando el rastro mediante mezcladores, tumblers u otras técnicas de blanqueo de dinero para evitar ser detectado.

El aumento de la actividad de piratería informática en 2024 pone de relieve la evolución del panorama de amenazas en el espacio de las criptomonedas. Con un aumento interanual del 17 % en los fondos robados y el papel destacado de Corea del Norte en estos ataques, el sector se enfrenta a una presión cada vez mayor para aplicar medidas de seguridad más estrictas. La escala de las operaciones de Corea del Norte, combinada con su dependencia del robo de claves privadas y frases semilla, subraya la necesidad de innovación para proteger los activos digitales y mitigar las ciberamenazas patrocinadas por el Estado.

Corea del Norte robó casi 800 millones de dólares en criptomonedas

Corea del Norte representó aproximadamente el 35 % de todos los fondos robados en 2024, acercándose a casi 800 millones de USD en criptomoneda robada (incluyendo solo los ataques para los que TRM tiene una confianza moderada o superior). De media, los ataques norcoreanos fueron casi 5 veces mayores que los de otros actores, lo que subraya su énfasis en operaciones de gran impacto. Su principal método, el robo de claves privadas y frases semilla, pone de manifiesto la urgente necesidad de soluciones sólidas de gestión de claves. 

La presión de las fuerzas de seguridad estadounidenses e internacionales sobre el sector de las mezclas de criptomonedas provocó el cierre de servicios clave como Samourai Wallet y el coordinador original de Wasabi. En su lugar, Corea del Norte ha recurrido a servicios más pequeños como JoinMarket, Mixero y los nuevos coordinadores independientes del protocolo de Wasabi. 

Las fuerzas de seguridad siguen enfrentándose a grandes obstáculos para bloquear y recuperar los fondos robados. Corea del Norte, y los grupos de blanqueo con los que trabaja, han aumentado y diversificado el número de puentes y blockchains que utilizan para mover criptoactivos. Muchos de estos servicios están realmente descentralizados y son incapaces de congelar los fondos robados mientras transitan por sus protocolos. El movimiento de muchos de estos fondos desde las direcciones de robo hasta su disposición final con probables intermediarios, principalmente en la blockchain de TRON, a menudo se produce en cuestión de horas. La velocidad y eficacia de estas transferencias dificultan enormemente la congelación por parte de las fuerzas de seguridad; el análisis de los robos recientes realizado por TRM sugiere que las pérdidas por fricción debidas a la congelación u otras interdicciones por parte del gobierno siguen siendo pequeñas.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">SCAMS AND FRAUD</span>

El volumen de estafas y fraudes ha disminuido, pero sigue siendo una amenaza importante en la criptomoneda

En 2024, los fondos enviados al fraude ascendieron al menos a 10.700 millones de dólares, lo que representa un descenso del 40% con respecto a 2023. Este descenso continuó desde 2022, un año en el que los fondos enviados a esquemas Ponzi y esquemas de preparación financiera (comúnmente conocidos como estafaspig butchering") alcanzaron un máximo histórico de unos 16.800 millones USD. 

Al igual que con todos los tipos de criptodelincuencia analizados en este informe, la cobertura del fraude por parte de TRM en 2024 aumentará con el tiempo a medida que se descubran más casos. Las cifras de fraude parecen verse mucho más afectadas que las de otros delitos, probablemente debido al retraso en la denuncia del fraude por parte de las víctimas. En consecuencia, TRM estima que es probable que los volúmenes de fraude sigan disminuyendo en 2024, pero no tan bruscamente como muestran los datos actuales.

Menos estafas Ponzi y piramidales recibieron más de 100 millones de dólares

Aproximadamente el 45% del descenso del volumen de fraude en 2024 parece deberse a una disminución de los flujos destinados a aparentes esquemas piramidales y de Ponzi. Estas estafas recibieron un total de 4.300 millones de USD en fondos de las víctimas, lo que supone un descenso del 37% respecto a los flujos de 2023. Aunque esta tipología de fraude sigue siendo popular, y se siguen creando cientos cada mes (dirigidos a víctimas de diversas regiones como Estados Unidos, Argentina, Corea del Sur, Reino Unido, Italia, Chipre y Filipinas) , TRM no observó tantos grandes esquemas que recibieran más de 100 millones USD como en años anteriores (seis en 2024 frente a 14 en 2023), cuyos volúmenes estaban desproporcionadamente impulsados por un puñado de esquemas masivos.

Los sistemas piramidales y de Ponzi se basan en el boca a boca, el marketing y las redes sociales para hacerse populares y generar grandes pérdidas. Pueden alcanzar un nivel de viralidad similar al de otros tipos de actividad en las redes sociales a través de métodos tanto en línea como fuera de línea que pueden sobrealimentar una estafa y hacer que pase de recibir 5 millones de dólares a recibir cientos de millones de dólares.

Esto no parece haber ocurrido tan a menudo en 2024 como en años anteriores. Del mismo modo que es difícil determinar por qué determinadas publicaciones en las redes sociales "se hacen virales" y otras no, es difícil decir por qué ninguna estafa parece haberse "hecho tan viral" en 2024 como en años anteriores. Podría ser que la gente sea más consciente de estas estafas fraudulentas y no caiga tanto en ellas. O puede que la captación y comercialización de estas estafas se haya trasladado a la mensajería privada, lo que dificulta su localización y seguimiento.

Los casos de fraude autodeclarados siguen siendo elevados

Aunque el volumen global de fraudes disminuyó, TRM siguió observando la aparición de miles de nuevas estafas de inversión y sitios web de suplantación de identidad cada mes, y recibió miles de informes de Chainabuse, la mayor plataforma pública de información sobre actividades ilícitas con criptomonedas.

El volumen de entradas a las direcciones notificadas en Chainabuse pareció mantenerse estable en 2024, y en volúmenes relativamente altos en comparación con años anteriores.

Por último, la actividad fraudulenta denunciada en Chainabuse coincide con los datos internos de TRM, que muestran que bitcoin es el método de pago más común solicitado por los estafadores, aunque su predominio ha disminuido con el tiempo. 

El grooming financiero, o estafa del "pig butchering", recibió más de 2.500 millones de dólares en 2024

Las estafas financieras de grooming, también conocidas como "pig butchering", experimentaron un descenso significativo en 2024. Las direcciones asociadas a esta tipología de fraude recibieron al menos unos 2.500 millones de dólares estadounidenses, lo que supone un posible descenso del 58% con respecto a 2023. Es muy probable que este total sea una cifra inferior a la real, ya que muchas víctimas no denuncian sus pérdidas, y aún menos informan públicamente de sus experiencias.

TRM atribuye esta reducción, en parte, a la intensificación de los esfuerzos policiales en todo el mundo. Por ejemplo, el número de congelaciones de USDT (históricamente la criptomoneda elegida por los groomers financieros) aumentó sustancialmente a finales de 2023 y continuó en 2024.

El análisis del TRM también reveló que en 2024 había menos entidades de preparación financiera de gran volumen activas que en 2023. Es probable que este descenso se deba a una combinación de las medidas coercitivas antes mencionadas, junto con una mayor concienciación, retrasos en las denuncias y cambios en las tácticas de los defraudadores.

{{2025-crypto-crime-report-pig-butchering-dropdown-1}}

{{2025-crypto-crime-report-pig-butchering-dropdown-2}}

{{2025-crypto-crime-report-pig-butchering-dropdown-3}}

Desgraciadamente, la conexión denunciada públicamente entre el grooming financiero y la estafa forzada parece seguir viva. Las direcciones conocidas por utilizarse para el pago de rescates que facilitan el rescate de víctimas de estafas forzadas siguieron recibiendo varios millones de dólares de entradas en 2024.

Los actores de amenazas se apoyan cada vez más en la IA para estafar a las víctimas

TRM vio cómo los estafadores utilizaban la IA de múltiples formas en 2024, y está muy preocupada por su uso futuro. Los groomers financieros y otros estafadores utilizan grandes modelos lingüísticos (LLM) para:

• Crear más fácilmente personas adaptadas a la zona en la que reside su víctima objetivo y mantener conversaciones más realistas.
• Crear falsificaciones de voz y vídeo en directo de personas famosas (o de familiares o directores ejecutivos de las víctimas) para engañar a las víctimas para que inviertan dinero, paguen una factura o realicen un pago como rehenes.
• Enviar una mayor cantidad (y mejor calidad) de mensajes de phishing
• Crear imágenes pornográficas de personas para extorsionarlas
• Crear personas falsas para eludir los requisitos de Conozca a su Cliente (KYC)

{{2025-crypto-crime-report-ai-crime-blog-callout-1}}

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">ILLICIT DRUGS</span>

La venta de drogas ilícitas siguió creciendo y expandiéndose fuera del mercado de la darknet.

Las ventas en línea de drogas ilícitas habilitadas por criptocurrency experimentaron un crecimiento interanual de más del 19% entre 2023 y 2024, acercándose a los 2.400 millones de dólares.

En 2024 se lanzaron un 42% menos de nuevos mercados de la darknet (DNM) de un año a otro, y la proporción de DNM solo Monero lanzados aumentó de poco más de un tercio en 2023 a casi la mitad en 2024.

La venta de drogas sigue trasladándose a las plataformas de chat y redes sociales encriptadas en Occidente

En el último año, el tráfico de drogas ilícitas en línea ha seguido descentralizándose, alejándose de los mercados de la darknet y acercándose a las plataformas de chat y redes sociales cifradas. Esta tendencia, que ya prevalecía en las comunidades occidentales, también se observa cada vez más en el ecosistema ruso.  

Hoy en día, los vendedores optan por establecer tiendas de vendedores y realizar transacciones directas a través de una amplia gama de aplicaciones de comunicación cifrada y correo electrónico. Estas plataformas permiten a los vendedores llegar a clientes con menos conocimientos tecnológicos y, al mismo tiempo, mitigar las turbulencias del mercado provocadas por las estafas de salida del mercado de la red oscura o los desmantelamientos por parte de las fuerzas de seguridad. En este sentido, el uso de aplicaciones de comunicación cifrada como Telegram y Signal ha reducido las barreras de acceso para que los compradores de drogas adquieran productos en línea, al tiempo que ha reducido las comisiones que los vendedores pagan a los mercados de la darknet por las ventas. Esta migración se ve reforzada por el hecho de que la mayoría de los nuevos DNM occidentales lanzados en 2024 se han caracterizado por unas características de diseño deficientes o por problemas de seguridad.

La reducción de la calidad y del número de usuarios de los DNM occidentales contrasta con el ecosistema ruso, donde la feroz competencia y los elevados beneficios están impulsando la innovación. Los administradores del mercado de la darknet rusa están experimentando con desarrollos que incluyen la resolución de disputas facilitada por inteligencia artificial, una mayor integración con aplicaciones de comunicación cifrada, programas de incentivos, reducción de daños, personalización de la UX y agresivas campañas de marketing en espacios digitales y físicos.

Los mercados de la red oscura en ruso siguen impulsando el volumen global de ventas de drogas ilícitas

A pesar de los numerosos retos a los que se han enfrentado los mercados de la darknet a lo largo de 2024, estas plataformas han experimentado, no obstante, un ligero aumento de los ingresos en comparación con 2023, generando más de 1.700 millones de dólares. 

Manteniendo la tendencia observada en 2023, los mercados de la darknet en ruso siguen siendo responsables de la gran mayoría de los ingresos generados, contribuyendo en más de un 97% al volumen total de ventas de drogas ilícitas (más de un 1% que en 2023) en bitcoin y TRON.

La menor amenaza de acción por parte de las fuerzas de seguridad rusas, junto con el modelo de entrega basado en la entrega a domicilio (más información aquí), la atención prestada a las drogas sintéticas (como la alfa-PVP y la mefedrona, que pueden producirse localmente) y la amplia disponibilidad y bajo precio de los precursores químicos de las drogas, normalmente importados de China, han permitido que prosperen los mercados de la darknet en ruso. 

Sólo cuatro DNM en ruso abandonaron el ecosistema de aproximadamente 20 empresas en 2024. La salida de líderes del mercado como Solaris Market -que cesó sus operaciones en otoño de 2024- es un hecho poco frecuente. Y aunque desde la caída de Hydra Market en abril de 2022 no ha habido más retiros de DNM en ruso por parte de las fuerzas de seguridad, los administradores de estas plataformas también evitan las estafas de salida (típicas del ecosistema occidental de DNM), prefiriendo en su lugar cesar voluntariamente las operaciones y permitir que todos los usuarios retiren sus fondos de la plica del mercado.

Los mercados occidentales de la darknet se enfrentan a una acción policial constante y a estafas de salida.

A diferencia de los DNM rusos, los mercados occidentales de la darknet siguieron sufriendo a lo largo de 2024 como consecuencia de la acción continuada de las fuerzas de seguridad, unida a varias estafas de salida de gran repercusión. 

Esto ha reducido la confianza de los usuarios y ha frenado el crecimiento del ecosistema, creando un clima de desconfianza que recuerda a las secuelas de Op. Onymous (el desmantelamiento por parte de las fuerzas de seguridad del mercado de la darknet Silk Road 2.0 junto con una serie de DNM más pequeños en 2014) y Op. Bayonet/GraveSac (el desmantelamiento coordinado de los mercados de la darknet AlphaBay y Hansa Market por parte de las fuerzas de seguridad estadounidenses y europeas en 2017), que dejó tambaleándose al ecosistema occidental de DNM.

Tras la desaparición de Bohemia Market (un prolífico DNM occidental) y Cannabia Market (su mercado hermano) en una presunta estafa de salida en enero de 2024 (que más tarde las autoridades holandesas revelaron que estaba siendo investigada), la comunidad fue testigo de la estafa de salida de Incognito Market en marzo de 2024. Este incidente también marcó el intento nunca antes visto de su administrador, Pharoah (detenido en mayo de 2024 y revelado como Rui-Siang Lin, taiwanés de 23 años), de extorsionar a los usuarios del mercado. 

Esta crisis se vio agravada por la incautación de Nemesis Market por las fuerzas de seguridad alemanas en marzo de 2024, así como por las salidas de otros actores importantes y de confianza, como Cypher Market (que desapareció en abril de 2024) y GoFish Market (septiembre de 2024), que incluso había sido incluido en la Superlista de mercados de confianza de la comunidad. 

No obstante, el ecosistema occidental de DNM experimentó algunas innovaciones a pesar de las recientes medidas coercitivas. Entre las más notables se encuentra la primera fusión y adquisición entre dos mercados de la darknet, en la que el SuperMarket, en apuros, fue absorbido por el DrugHub, ahora supercotizado, en una operación que duró aproximadamente un mes. En 2024 también se creó el primer mercado occidental de la darknet exclusivo para Telegram, Si Market, que ahora alberga a más de 40 vendedores especializados en la venta de psicodélicos, cannabis y productos relacionados con el cannabis.

El uso de criptomonedas en la venta de medicamentos en tiendas se disparó en 2024

El uso de criptomonedas en la venta de medicamentos en tiendas experimentó un aumento significativo el año pasado. TRM Labs es el único proveedor de Inteligencia en Blockchain con una categoría especializada exclusiva para vendedores de drogas individuales - y este año, vimos que los volúmenes entrantes enviados a tiendas de vendedores ilícitos se duplicaron con creces. En 2023, estas direcciones recibieron más de 289 millones de dólares. En 2024, esta cifra se disparó a más de 600 millones de dólares. Este espectacular aumento puede reflejar la descentralización del tráfico de drogas de los mercados tradicionales de la darknet, a medida que los vendedores se vuelven más expertos en operar a través de múltiples plataformas tanto en la clearnet como en la darknet, incluidos los sitios web de comercio electrónico y las plataformas de redes sociales.

La detención del fundador de Telegram provoca migraciones de plataformas para vendedores de medicamentos

La detención del fundador de Telegram, Pavel Durov, en agosto de 2024 desencadenó un cambio notable en la dinámica operativa de los vendedores de medicamentos de la plataforma. 

Históricamente, Telegram ha sido una plataforma favorecida para la venta de drogas, debido a su seguridad y a la percepción pública de que no coopera con las fuerzas del orden, así como a los estrictos controles de acceso a grupos y canales. Sin embargo, la detención de Durov ha aumentado el temor a que Telegram facilite ahora datos de sus usuarios a las fuerzas de seguridad. En consecuencia, muchos usuarios están migrando a plataformas alternativas, como Signal, Session y WhatsApp. Se espera que este éxodo continúe a medida que Telegram aplique medidas más estrictas para reducir las actividades delictivas en su red y ofrezca nuevas oportunidades de interceptación.

Los fabricantes chinos de precursores de drogas se adaptan a la intensificación de los esfuerzos policiales

Los volúmenes de entrada de criptomonedas a los fabricantes chinos de precursores de drogas han experimentado un descenso significativo, de 27,6 millones de USD en 2023 a 17,0 millones de USD en 2024. Este descenso puede deberse en parte a las enérgicas medidas adoptadas por el Gobierno chino tras la cumbre Biden-Xi de noviembre de 2023. La cumbre tuvo como resultado la prohibición por parte del Partido Comunista Chino (PCC ) de una serie de precursores del fentanilo y el cierre de algunos proveedores, seguido de una nueva prohibición de varios nitazenos y análogos en julio de 2024. Como resultado, los fabricantes de precursores de drogas han comenzado a cambiar a nuevos análogos y sustancias, al tiempo que adoptan métodos alternativos a la criptomoneda para ocultar sus huellas financieras.

TRM ha observado que estos fabricantes han adaptado sus prácticas en respuesta a la intensificación de los esfuerzos de aplicación de la ley. En concreto, estos fabricantes son cada vez más cautelosos a la hora de compartir direcciones de criptomonedas en comunicaciones directas con los compradores. Este cambio se debe a la eficacia demostrada del análisis de blockchain para rastrear transacciones ilícitas y ayudar en las investigaciones.

{{premium-content_chapter-divider}}

De cara al futuro

La evolución del panorama de la criptodelincuencia en 2024 pone de manifiesto una compleja interacción entre el avance de las medidas de seguridad y la creciente capacidad de adaptación de los actores ilícitos. Aunque los esfuerzos por frenar las actividades ilegales han dado resultados prometedores, los actores de las amenazas siguen innovando y explotando las vulnerabilidades de las finanzas descentralizadas, la infraestructura de cadenas de bloques y las tecnologías emergentes.

Un tema clave a lo largo del año ha sido la resistencia y adaptabilidad de las redes ilícitas. Las entidades sancionadas, las organizaciones terroristas y los grupos de ransomware han cambiado de táctica en respuesta a la represión mundial, adoptando nuevas tecnologías y métodos para ocultar sus actividades. Esta adaptabilidad subraya la necesidad de una evolución constante de las estrategias de aplicación de la ley y de la cooperación internacional.

El creciente uso de criptomonedas por parte de organizaciones terroristas y agentes estatales ilustra la naturaleza de doble filo de las innovaciones tecnológicas, que ofrecen tanto oportunidades como riesgos. Los autores Ransomware y los estafadores están aprovechando los avances tecnológicos, como los puentes entre cadenas y la inteligencia artificial, para eludir la detección y ampliar sus operaciones.

Y la fragmentación de los mercados ilícitos, especialmente en la venta de drogas, señala un cambio hacia la descentralización, con empresas delictivas que se alejan de los mercados tradicionales de la darknet y se dirigen hacia plataformas más ágiles y resistentes. Este cambio presenta tanto nuevos retos como oportunidades para la disrupción.

En última instancia, la lucha contra la criptodelincuencia requiere un enfoque proactivo y colaborativo. Los organismos reguladores, las fuerzas de seguridad y los socios del sector privado deben seguir adaptándose, innovando y cooperando para superar a los cada vez más sofisticados actores de amenazas. Un elemento central de este esfuerzo es el uso de herramientas avanzadas de Inteligencia en Blockchain , que proporcionan información crítica para rastrear transacciones ilícitas, identificar a los actores de la amenaza y apoyar las acciones de aplicación de la ley. Los avances logrados en la desarticulación de las redes ilícitas demuestran el impacto de la acción colectiva, pero la vigilancia y la adaptabilidad constantes -potenciadas por la avanzada Analítica de blockchain serán esenciales para proteger el ecosistema de las criptomonedas en los próximos años.

{{premium-content_chapter-divider}}

Acerca de TRM Labs

TRM Labs proporciona soluciones Analítica de blockchain para ayudar a las fuerzas del orden y a las agencias de seguridad nacional, instituciones financieras y empresas de criptomoneda a detectar, investigar y desbaratar fraudes y delitos financieros relacionados con la criptomoneda. La plataforma de Inteligencia en Blockchain de TRM incluye soluciones para rastrear el origen y destino de los fondos, identificar actividades ilícitas, construir casos y elaborar una imagen operativa de las amenazas. TRM cuenta con la confianza de los principales organismos y empresas de todo el mundo que confían en TRM para hacer posible un ecosistema criptográfico más seguro. TRM tiene su sede en San Francisco, California, y está contratando personal en ingeniería, productos, ventas y ciencia de datos. Para obtener más información, visite www.trmlabs.com.