Saltar al contenido principal

Su código está bien — Vienen por sus llaves: El giro de $2.2 mil millones hacia los ataques a la infraestructura cripto

· 11 min de lectura
Dora Noda
Dora Noda
Software Engineer

La línea de código más cara en la historia de las criptomonedas no fue un error. Fue un enlace de phishing.

En febrero de 2025, un desarrollador de Safe{Wallet} hizo clic en lo que parecía ser un mensaje rutinario. En cuestión de horas, operativos norcoreanos habían secuestrado tokens de sesión de AWS, eludido la autenticación multifactor y drenado $1.5 mil millones de Bybit — el robo individual más grande en la historia de las criptomonedas. No se explotó ninguna vulnerabilidad de contrato inteligente. Ninguna lógica on-chain falló. El código estaba bien. Los humanos no.

El Informe sobre Criptocrimen 2026 de TRM Labs confirma lo que aquel atraco presagiaba: la era del exploit de contratos inteligentes como la principal vía de amenaza cripto ha terminado. Los adversarios han "subido en la pila", abandonando la búsqueda de nuevas vulnerabilidades de código en favor de comprometer la infraestructura operativa — claves, billeteras, firmantes y planos de control en la nube — que rodea a protocolos que, de otro modo, serían seguros.

Los números cuentan una historia cruda

En 2025, actores ilícitos robaron $2.87 mil millones en casi 150 hackeos y exploits distintos. Pero la distribución de esas pérdidas revela el cambio real: $2.2 mil millones — el 76% del total de activos robados — provinieron de ataques a la infraestructura, no de exploits de contratos inteligentes. Los atacantes se dirigieron a claves privadas, comprometieron credenciales en la nube y explotaron capas de orquestación de billeteras en entidades centralizadas.

La paradoja es sorprendente:

  • Los incidentes se redujeron a la mitad: de 410 en 2024 a aproximadamente 200 en 2025
  • Las pérdidas aumentaron: de $2.01 mil millones a $2.94 mil millones
  • La pérdida promedio por evento se duplicó con creces: de aproximadamente $5 millones a casi $15 millones

Menos ataques, botines más grandes — el sello distintivo de una clase de adversarios maduros que han aprendido a concentrar su potencia de fuego en objetivos de alto valor.

Mientras tanto, el volumen total de cripto ilícito alcanzó un máximo histórico de $158 mil millones en 2025, un 145% más que el año anterior. Este aumento no fue impulsado por delincuentes de poca monta, sino por actores vinculados a estados y redes financieras sofisticadas, siendo la evasión de sanciones vinculada a Rusia el principal contribuyente.

Por qué los adversarios subieron en la pila

El cambio tiene sentido económico. La auditoría de contratos inteligentes ha madurado drásticamente. Entre 2020 y 2025, la industria invirtió miles de millones en la auditoría de código — firmas como CertiK, Trail of Bits y OpenZeppelin construyeron metodologías sistemáticas, las herramientas de verificación formal se convirtieron en el estándar y los programas de recompensas por errores (bug bounties) crearon incentivos económicos para el descubrimiento por parte de hackers de sombrero blanco.

¿El resultado? Encontrar una vulnerabilidad de contrato inteligente novedosa en un protocolo DeFi de primer nivel ahora requiere sustancialmente más esfuerzo y experiencia que hace tres años. Los frutos más fáciles de alcanzar ya han sido recogidos.

Pero la infraestructura operativa no ha recibido la misma atención. Las prácticas de gestión de claves varían enormemente en toda la industria. Las configuraciones de seguridad en la nube siguen siendo inconsistentes. Y los seres humanos — el eslabón más débil en cualquier cadena de seguridad — siguen siendo susceptibles a ataques de ingeniería social que ninguna cantidad de auditoría de código puede prevenir.

Para los adversarios de alto nivel, el cálculo es simple: ¿por qué pasar meses buscando un oscuro error de reentrada (reentrancy bug) cuando puedes hacer phishing a un desarrollador con acceso elevado a AWS y robar $1.5 mil millones en una sola tarde?

Corea del Norte: el adversario cripto más peligroso del mundo

Ninguna discusión sobre el cambio de objetivo hacia la infraestructura cripto está completa sin mencionar a Corea del Norte. El Lazarus Group y su subgrupo TraderTraitor representan al adversario cripto más sofisticado y con mejores recursos del planeta.

En 2025, los hackers norcoreanos robaron al menos $2.02 mil millones en criptomonedas — un aumento del 51% interanual y aproximadamente el 60% de todos los robos de cripto a nivel mundial. Esto no fue un hackeo oportunista. Fue un programa nacional.

El ataque a Bybit ejemplificó su metodología evolucionada. Los operativos de TraderTraitor no buscaron errores en contratos inteligentes. Identificaron a un desarrollador específico en Safe{Wallet} con acceso elevado al sistema, ejecutaron una campaña de ingeniería social dirigida — que probablemente incluía ofertas de trabajo falsas u oportunidades de inversión — y convencieron al desarrollador para que descargara software malicioso. A partir de ahí, secuestraron los tokens de sesión de AWS, las credenciales temporales que otorgan acceso a la infraestructura en la nube de un empleador.

Al robar tokens de sesión activos en lugar de contraseñas, los atacantes eludieron el MFA por completo. Una vez dentro del entorno AWS de Safe{Wallet}, manipularon el proceso de firma de transacciones para redirigir $1.5 mil millones en Ethereum a billeteras que ellos controlaban.

Este patrón de ataque — ingeniería social para obtener acceso inicial, movimiento lateral a través de la infraestructura en la nube y manipulación de los mecanismos de firma — refleja el manual de estrategias de los grupos de amenazas persistentes avanzadas (APT) que atacan a las instituciones financieras tradicionales. La diferencia es que la seguridad operativa de las criptomonedas no se ha puesto al día con la amenaza.

El programa se extiende más allá del hackeo directo. Los operativos de la RPDC infiltran trabajadores de TI dentro de empresas de criptomonedas bajo identidades falsas, obteniendo acceso privilegiado desde adentro. Estos infiltrados mapean los sistemas internos, los controles de seguridad y las prácticas de gestión de claves — un reconocimiento que permite los compromisos de alto impacto que generan titulares.

Los $ 300 Millones de Enero: El Dominio del Phishing en 2026

Si 2025 demostró el cambio de enfoque hacia la infraestructura, principios de 2026 lo confirmó como la nueva normalidad. Según las firmas de seguridad CertiK y PeckShield, los ataques de phishing e ingeniería social drenaron más de $ 300 millones de los usuarios de criptomonedas solo en enero de 2026.

Un único ataque de suplantación de identidad de Trezor de $ 284 millones representó el 71 % de las pérdidas de enero, lo que ilustra cómo las campañas de ingeniería social pueden generar retornos masivos con una sofisticación técnica relativamente baja.

La IA está acelerando esta tendencia. Los actores de amenazas ahora aprovechan deepfakes generados por IA, mensajes de phishing personalizados y agentes de estafa automatizados para dirigirse a las víctimas a gran escala. Las pruebas de contratación de desarrolladores falsas —una técnica favorita de Lazarus Group— se han vuelto casi indistinguibles de los procesos de reclutamiento legítimos.

La implicación es aleccionadora: a medida que los contratos inteligentes se vuelven más seguros, la superficie de ataque se desplaza decisivamente hacia los humanos que gestionan, despliegan e interactúan con esos contratos.

La Paradoja de la Auditoría

El gasto en seguridad de la industria cripto revela una asignación peligrosa. Miles de millones fluyen hacia las auditorías de contratos inteligentes, y esas auditorías han mejorado demostrablemente la calidad del código. Pero los datos muestran que los ataques más costosos ya no son errores de contratos inteligentes; son fallos en la gestión de claves.

Considere esta estadística: el tiempo medio entre que un protocolo DeFi supera una auditoría y es explotado es de 47 días. Entre 2020 y 2025, se drenaron más de $ 4.2 mil millones de protocolos que habían superado las auditorías. Las auditorías no eran el problema; validaron correctamente el código. El problema era todo lo que rodeaba al código: cómo se almacenaban las claves, cómo se distribuía la autoridad de firma, cómo se configuraban los entornos en la nube y cómo se capacitaba a los empleados para reconocer la ingeniería social.

Las firmas de seguridad más vanguardistas han ampliado su alcance en consecuencia. Los marcos de auditoría modernos de 2026 ahora incluyen la revisión de la gestión de claves, la auditoría de configuración de gobernanza, el análisis de límites de confianza cross-chain, la configuración de monitoreo en tiempo de ejecución y la planificación de respuesta ante incidentes, una expansión dramática respecto al enfoque de revisión de código y análisis estático que definía el espacio hace solo dos años.

De la Defensa Perimetral al Zero Trust

La seguridad cripto está experimentando la misma transición arquitectónica que las finanzas tradicionales completaron en la última década: de la defensa perimetral al zero trust (confianza cero).

En el modelo perimetral, la seguridad se centra en construir muros fuertes: auditorías rigurosas de contratos inteligentes, verificación formal y recompensas por errores (bug bounties). Todo lo que está dentro del perímetro es implícitamente confiable. Este modelo falla catastróficamente cuando un atacante elude el perímetro a través de la ingeniería social, como demostró el hackeo de Bybit.

La arquitectura zero trust asume que cada solicitud de acceso podría ser maliciosa, independientemente de su origen. Los principales protocolos DeFi como Aave y Lido han comenzado a integrar billeteras multifirma y marcos zero trust para combatir el phishing y los compromisos de cuentas.

Las implicaciones prácticas para las organizaciones cripto incluyen:

  • Computación multipartita (MPC) para la gestión de claves: Eliminación de puntos únicos de falla en la autoridad de firma.
  • Módulos de seguridad de hardware (HSMs): Aislamiento de las operaciones criptográficas de los entornos informáticos de propósito general.
  • Monitoreo continuo en tiempo de ejecución: Detección de patrones de transacciones anómalas en tiempo real en lugar de depender de auditorías posteriores al despliegue.
  • Cultura consciente de la seguridad: Capacitar a cada empleado —no solo a los ingenieros— para reconocer intentos de ingeniería social.
  • Protocolos de respuesta ante incidentes: Prepararse para las brechas como algo inevitable en lugar de tratarlas como imposibles.

Qué significa esto para el TVL de más de $ 100 mil millones de DeFi

Con más de $ 100 mil millones bloqueados en protocolos DeFi, lo que está en juego en el cambio de enfoque hacia la infraestructura es existencial. Los actores estatales como el Lazarus Group de Corea del Norte ahora tratan la infraestructura de blockchain como objetivos de inteligencia, no simplemente financieros. El código fuente robado y los planos de infraestructura de ataques anteriores permiten explotaciones futuras potencialmente catastróficas.

La respuesta de la industria determinará si DeFi puede mantener las entradas de capital institucional. Los inversores institucionales evalúan el riesgo operativo de manera diferente a los usuarios minoristas. Un protocolo con un código de contrato inteligente impecable pero con prácticas de gestión de claves débiles representa, para un asignador sofisticado, un perfil de riesgo inaceptable.

La buena noticia es que existen soluciones. El monitoreo en tiempo de ejecución, la firma basada en MPC, la arquitectura zero trust y la detección de amenazas impulsada por IA son tecnologías maduras. El desafío es la adopción, particularmente entre los protocolos de nivel medio y las entidades centralizadas que carecen de los recursos de las plataformas DeFi de primer nivel.

El Camino por Delante

El informe de 2026 de TRM Labs dibuja un panorama de una clase de adversarios que está evolucionando más rápido que las defensas de la industria. El código está mejorando. La infraestructura que lo rodea no está manteniendo el ritmo.

Tres desarrollos darán forma a la seguridad cripto en los próximos años:

  1. Presión regulatoria: A medida que los marcos de cumplimiento como MiCA de la UE y la Ley GENIUS de EE. UU. exigen estándares de seguridad operativa, los protocolos se verán obligados a invertir en el fortalecimiento de la infraestructura junto con la calidad del código.

  2. Defensa impulsada por IA: Las mismas capacidades de IA que permiten campañas de phishing sofisticadas pueden potenciar la detección de anomalías, el análisis de comportamiento y la respuesta automatizada ante incidentes. La carrera armamentista entre el ataque y la defensa impulsados por IA definirá el próximo capítulo de la seguridad cripto.

  3. Mercados de seguros y riesgos: A medida que el seguro cripto madure, los aseguradores integrarán las prácticas de seguridad operativa en las primas, creando incentivos financieros para una mejor gestión de claves, controles de acceso y capacidades de respuesta ante incidentes.

El mensaje central del informe de TRM Labs es claro: el perímetro de seguridad de las criptomonedas se ha ampliado. La calidad del código es necesaria pero no suficiente. La próxima generación de seguridad cripto debe proteger no solo los contratos inteligentes, sino todo el stack operativo que los rodea, desde la infraestructura en la nube hasta la psicología humana.

Los adversarios ya se han movido hacia arriba en el stack. Es hora de que las defensas de la industria los sigan.

Construir sobre una infraestructura blockchain segura importa más que nunca. BlockEden.xyz proporciona servicios de RPC y API de nivel empresarial en más de 20 cadenas con confiabilidad y monitoreo integrados: el tipo de base de infraestructura que permite a los equipos concentrarse en construir en lugar de preocuparse por el riesgo operativo. Explore nuestro marketplace de API para comenzar.

Share on Twitter