Hacken Q1 2026: $482 millones robados y el trimestre que rompió la religión 'Audit-First' de las criptomonedas

Una persona perdió $ 282 millones en una sola llamada telefónica. No se explotó ningún contrato inteligente. No se tocó ninguna línea de Solidity. Un falso representante de soporte técnico guio a un poseedor de criptomonedas a través de un flujo de "recuperación" de una billetera de hardware el 10 de enero de 2026, y se llevó más Bitcoin y Litecoin de lo que la mayoría de los protocolos DeFi tienen en valor total bloqueado. Ese único incidente — más grande que Drift, más grande que Kelp DAO por sí solo — representa más de la mitad de cada dólar que Web3 perdió en el primer trimestre de 2026.

El Informe de Seguridad y Cumplimiento de Blockchain del Q1 2026 de Hacken sitúa el trimestre completo en $482,6 millones en fondos robados a través de 44 incidentes. El phishing y la ingeniería social por sí solos se llevaron$ 306 millones — el 63,4 % de los daños trimestrales. Los exploits de contratos inteligentes contribuyeron con solo $86,2 millones. Los fallos en el control de acceso — claves comprometidas, credenciales en la nube, tomas de control de firmas múltiples (multisig) — añadieron otros$ 71,9 millones. El cálculo es contundente: por cada dólar robado por código defectuoso el trimestre pasado, los atacantes extrajeron aproximadamente tres y medio a través de las personas, los procesos y las credenciales que rodean al código.

Para una industria que ha pasado cinco años tratando "auditado" como sinónimo de "seguro", las cifras del primer trimestre son un llamado de atención. La superficie de ataque se ha desplazado. El gasto, no.

La inversión de categorías que nadie previó

Durante la mayor parte de 2020–2024, el ritmo trimestral de la seguridad cripto era predecible: se drena un bridge, se produce una reentrada en un protocolo de préstamos, una firma de auditoría publica un análisis post-mortem, la gobernanza vota una recompensa y los desarrolladores refuerzan las guardas contra reentradas. Los exploits de contratos inteligentes dominaron la columna de pérdidas trimestre tras trimestre, razón por la cual la industria construyó todo su aparato defensivo — recompensas por errores (bug bounties), concursos de auditoría, verificación formal, revisiones previas al despliegue — alrededor del código.

El primer trimestre de 2026 invirtió el gráfico. Compare las tres categorías que Hacken rastrea:

• **Phishing / ingeniería social: $306M** — una categoría, liderada por un único evento de$ 282M
• Exploits de contratos inteligentes: $ 86,2M a través de 28 incidentes
• Control de acceso / compromiso de claves: $ 71,9M

Al poner esas cifras junto a lo que la industria realmente financia, el error de valoración es obvio. Los presupuestos de auditoría para un protocolo DeFi de complejidad media ahora oscilan entre $60.000 y$ 120.000 por compromiso, y los equipos asignan cada vez más el 15–20 % de su presupuesto de desarrollo anual a ofertas de "Seguridad como Servicio" (Security-as-a-Service) centradas en la revisión de código. Mientras tanto, la cadena de ataque de phishing que derribó a Step Finance les costó a los atacantes una videollamada y una "presentación para inversores" cargada de malware. El gasto defensivo sigue calibrado según la distribución de ataques de ayer.

Hacken define el cambio de forma clara: "en lugar de centrarse en vulnerabilidades en el código on-chain, los atacantes explotan cada vez más las debilidades off-chain, incluyendo el comportamiento del usuario, la gestión de credenciales y las brechas de seguridad operativa". El código se volvió más difícil. Los humanos, no.

Seis protocolos auditados, $ 37,7 millones y el espejismo de la señal de auditoría

El hallazgo más incómodo del informe se encuentra oculto en una sola frase: seis protocolos auditados fueron explotados en el primer trimestre de 2026, sumando un total de $ 37,7 millones en pérdidas. Uno de ellos — Resolv — había pasado por 18 auditorías independientes. Otro, Venus Protocol, contaba con revisiones de cinco firmas diferentes.

La implicación que destruye la narrativa es que el número de auditorías no predice los resultados de seguridad. En todo caso, existe una anti-correlación en los extremos: los protocolos con los historiales de auditoría más pesados también tienden a poseer más TVL, mover más valor y, por lo tanto, atraer a los adversarios más decididos. No se hace phishing a un proyecto de pasatiempo; se hace phishing al protocolo cuyas claves de administrador desbloquean $ 290 millones.

La propia encuesta a socios de Hacken — desarrollada junto a 11 exchanges y equipos de infraestructura, incluidos KuCoin, MEXC, WhiteBIT, Bybit, Centrifuge, Global Ledger, Allium, SVRN, M0, C4 y Gray Wolf — refuerza el mismo patrón. Las auditorías siguen siendo necesarias. Han dejado de ser suficientes. Y nunca auditaron la superficie por donde realmente salió el dinero en el primer trimestre.

Tres incidentes que cuentan toda la historia

La estafa de billetera de hardware de $ 282M en enero

El 10 de enero, un poseedor de criptomonedas a largo plazo perdió $ 282 millones en Bitcoin y Litecoin después de que, según la reconstrucción de ZachXBT, entregara las credenciales de recuperación durante una llamada falsa de soporte técnico. Sin hackeo de exchange. Sin contrato inteligente. Sin clave de administrador. Una conversación.

Lo que hizo que esto funcionara es también lo que lo hace generalizable: la UX de las billeteras de hardware todavía encauza la recuperación a través de un proceso que parece casi idéntico tanto si es legítimo como si es malicioso. Los atacantes no necesitaron vencer al elemento seguro de un dispositivo Ledger; necesitaron vencer al modelo mental del usuario sobre lo que significa "mi billetera me pide que recupere". Una vez que se cruzó ese umbral, se movieron $ 282M sin que se rompiera una sola primitiva criptográfica.

Step Finance : la falsa llamada de VC

El 31 de enero, aproximadamente $ 40 millones fueron drenados de la tesorería de Step Finance después de que atacantes comprometieran los dispositivos pertenecientes a los ejecutivos del protocolo. El vector inicial, según la propia revelación de Step Finance, fue una falsa llamada de capital de riesgo (VC) — el tipo de reunión que un equipo fundador tiene veinte cada mes durante una ronda de financiación. El malware entregado a través de los "materiales de presentación" otorgó a los atacantes acceso persistente a las computadoras portátiles de los ejecutivos, y desde allí a los flujos de firma que movían los fondos de la tesorería.

Este patrón — ingeniería social en dispositivos ejecutivos y luego movimiento lateral hacia las operaciones de tesorería — ha sido documentado repetidamente hasta el punto de que probablemente sea mejor entenderlo como el manual de estrategia predeterminado vinculado a la RPDC para 2026. La revelación del 1 de marzo de Bitrefill cita indicadores casi idénticos: computadora portátil de empleado comprometida, credencial heredada exfiltrada y coincidencia en el modus operandi con actividades previas de Lazarus / Bluenoroff.

Drift : claves de administrador sobre nonces duraderos

El exploit del Protocolo Drift el 1 de abril drenó $ 285 millones — más de la mitad del TVL del protocolo — en lo que Chainalysis y Elliptic atribuyen a actores vinculados a la RPDC. La palanca técnica fue ingeniosa: los nonces duraderos de Solana permiten que las transacciones se firmen por adelantado y se ejecuten más tarde. Entre el 23 y el 30 de marzo, el atacante preparó las transacciones de drenado. Luego, a través de ingeniería social, obtuvieron firmas de miembros reales del Consejo de Seguridad de Drift en una multifirma (multisig) con un umbral de 2 / 5 que había sido migrada a un bloqueo de tiempo (timelock) cero solo unos días antes.

Una vez que existieron las firmas, la ejecución fue trivial: incluir en la lista blanca un token sin valor (CVT) como colateral, depositar 500 millones de unidades y retirar $ 285 millones en activos reales. La "vulnerabilidad" explotada no estaba en el código de Drift; el código funcionó exactamente como fue diseñado. Estaba en la suposición de que los firmantes de la multifirma nunca firmarían algo que no entendieran.

Tres incidentes, tres superficies diferentes, una causa raíz compartida: el perímetro defensivo tenía una brecha entre "el contrato" y "los humanos que controlan el contrato", y cada atacante que se precie ahora sabe exactamente dónde reside esa brecha.

A dónde debe ir el gasto

Si el primer trimestre de 2026 es el comienzo de un cambio duradero en la superficie de ataque en lugar de una anomalía estadística, las implicaciones para los presupuestos de seguridad son estructurales, no cosméticas. Una lista corta y honesta:

• La autenticación resistente al phishing como un requisito estricto, no como un "control recomendado". Eso significa FIDO2 / WebAuthn / passkeys en cada cuenta operativa que pueda tocar claves, aprobar transacciones o acceder a la infraestructura en la nube. El NIST ya trata estos como el estándar AAL2. El sector cripto debería tratarlos como el requisito básico para cualquier persona en una multifirma.
• Rediseño de la UX de las billeteras de hardware a nivel de proveedor. La estafa de $ 282 millones funcionó porque el "flujo de recuperación iniciado por el soporte legítimo" y el "flujo de recuperación iniciado por un atacante en una llamada telefónica" se sienten idénticos para el usuario. Los proveedores de dispositivos — Ledger, Trezor, SafePal y los equivalentes de custodia gestionada — son ahora la primera línea del problema anti-phishing, no un componente pasivo en él.
• Previsualización de transacciones, no solo simulación. Protocolos como Drift obtuvieron firmas de humanos reales que casi con seguridad no leyeron lo que estaban firmando en una forma interpretable por máquinas. La próxima generación de herramientas de firma (Rabby, Blockaid, Fordefi, Ledger Clear Signing) que renderizan la intención semántica completa por transacción ya no son una gentileza de UX; son la diferencia entre "nos dimos cuenta antes de firmar" y "nos enteramos en Twitter después".
• Auditorías de seguridad operativa junto con auditorías de código. SOC 2 Tipo II, protección contra SIM-swap, simulacros de respuesta a incidentes, aplicación de MFA resistente al phishing, EDR a nivel de dispositivo en cualquier máquina que pueda iniciar un flujo de firma. El mundo de la custodia institucional ha tratado estos elementos como básicos durante años. Los equipos nativos de cripto — especialmente los que ejecutan protocolos que ya tienen 18 auditorías de código — a menudo los tratan como opcionales.
• Presupuestos dedicados a la capacitación en seguridad. La mayoría de las tesorerías de protocolos gastarán seis cifras en la próxima auditoría externa y cero en simulaciones de phishing para sus propios ejecutivos. El primer trimestre de 2026 es el trimestre en el que esa proporción dejó de ser defendible.

Nada de esto reemplaza la auditoría de código. Los exploits de contratos inteligentes aún causaron $ 86.2 millones en pérdidas en el primer trimestre, y ese número aumentó un 213 % interanual incluso cuando la mezcla cambió. Pero la industria ahora tiene una guerra en dos frentes y todavía está presupuestando para uno solo.

La superposición de cumplimiento

El cambio en la superficie de ataque llega en el mismo momento en que los reguladores están endureciendo los requisitos operativos en torno a las empresas cripto. MiCA y DORA entraron en ventanas de aplicación activa en la UE. La Ley GENIUS estableció el primer marco federal de EE. UU. para las monedas estables de pago. Dubái reestructuró su supervisión federal de cripto. Singapur comenzó a aplicar estándares de capital alineados con Basilea para proveedores con licencia.

Cada uno de estos regímenes es, funcionalmente, una regulación de seguridad operativa. DORA exige específicamente pruebas de resiliencia, informes de incidentes y controles de riesgo de terceros para las entidades financieras — disposiciones que se ajustan casi exactamente a las categorías de fallos que produjeron $378 millones en pérdidas en el primer trimestre ($ 306 millones por phishing + $ 71.9 millones por control de acceso). La obligación de cumplimiento y la obligación de prevención de pérdidas convergen en la misma respuesta: demuestre que sus humanos y su infraestructura están tan blindados como su código.

Para los exchanges, custodios y grandes protocolos DeFi, estar "certificado por auditoría" ya no es una postura defendible ante los reguladores europeos o estadounidenses. Lo que lo reemplaza se asemeja más a una atestación de seguridad integral (full-stack): auditorías de código + controles operativos + arquitectura anti-phishing + estándares de autenticación del lado del usuario + respuesta transparente a incidentes.

Qué significa esto para los desarrolladores

Para los equipos que construyen en cadenas públicas en 2026, los datos del Q1 cambian la escala de prioridades:

1. Asuma que sus claves de administrador son el objetivo. No su contrato. Diseñe flujos multifirma (multisig), bloqueos de tiempo (timelocks) y educación para los firmantes bajo la premisa de que un adversario sofisticado intentará obtener firmas legítimas de humanos legítimos a través de medios ilegítimos.
2. Trate su infraestructura en la nube como parte del alcance. El compromiso de AWS KMS de Resolv y la laptop comprometida de Bitrefill no fueron casos aislados. Cualquier credencial que pueda alcanzar una clave de firma, un canal de despliegue (deployment pipeline) o un flujo de autorización de tesorería debe estar bajo una autenticación resistente al phishing con credenciales vinculadas a hardware.
3. Presupueste partidas para la defensa de la capa humana. Simulaciones de phishing. Simulacros de respuesta a incidentes. EDR para dispositivos ejecutivos. Protecciones específicas contra el intercambio de SIM (SIM - swap) para cualquier persona con acceso públicamente conocido. Estas partidas eran opcionales en 2024. En el mundo posterior al Q1 de 2026, son el costo real de operar un protocolo que custodia dinero.
4. Espere que sus usuarios sean atacados directamente. La estafa de $ 282 M demuestra que el phishing a usuarios finales ahora escala a pérdidas del tamaño de un protocolo. La UX de la billetera, la claridad de las transacciones, el endurecimiento de los flujos de recuperación y la educación dentro del producto son parte del producto de seguridad, no del producto de crecimiento.

Los protocolos que se adapten a este modelo de amenaza se parecerán menos a los equipos de DeFi de la era de 2023 con un PDF de auditoría y más a las fintechs de 2026 con un CISO, un calendario de cumplimiento y un comité de riesgos a nivel de junta directiva. Eso suena costoso porque lo es. El costo comparable —perder $ 282 M en una llamada telefónica— es mayor.

Conclusión

El informe del Q1 2026 de Hacken no es una historia de "la seguridad está empeorando". La calidad de los contratos inteligentes está mejorando genuinamente; el aumento del 213 % interanual en los dólares explotados oculta el hecho de que las defensas a nivel de protocolo ahora tienen dientes reales. La historia es que los atacantes son actores racionales, y los atacantes racionales migran hacia la superficie productiva menos defendida. Durante la mayor parte de la historia de las criptomonedas, esa superficie fue el código. A partir del Q1 de 2026, son las personas, los procesos y la infraestructura privilegiada.

La industria puede seguir gastando el 80 % de su presupuesto de seguridad en el 18 % de las pérdidas que provienen del código —o puede recalibrarse, rápidamente, para el mundo que la estafa de enero de $ 282 M realmente describió. La cifra más importante del trimestre no son los $ 482 M en pérdidas totales. Es la proporción: $ 306 M por phishing frente a $ 86.2 M por exploits. Ese número es un plano de hacia dónde pertenecen los dólares defensivos de 2026.

BlockEden.xyz opera infraestructura de API de blockchain de grado empresarial en más de 15 + cadenas, con controles SOC 2 e ISO 27001 que cubren la superficie operativa —gestión de claves, flujos de trabajo de firmantes, higiene de credenciales en la nube— que el informe de Hacken del Q1 identifica como la nueva línea del frente. Explore nuestro marketplace de APIs para construir sobre una infraestructura diseñada para el modelo de amenazas que Web3 enfrenta realmente en 2026.

Fuentes

• Informe de Seguridad y Cumplimiento de Blockchain del Q1 2026 — Hacken
• El informe del Q1 2026 de Hacken muestra dónde aún falla la seguridad Web3 — Yahoo Finance
• Los hackeos de Web3 costaron $ 482 M en el Q1 mientras el phishing impulsa la mayoría de las pérdidas — TradingView / Cointelegraph
• Los hackeos de Web3 alcanzan los $ 482 M en el Q1 2026 mientras los atacantes apuntan a la infraestructura por encima del código — Blockchain.News
• Hacker roba $ 282 M en un ataque de ingeniería social a una billetera de hardware — CoinDesk
• Step Finance dice que dispositivos de ejecutivos comprometidos llevaron al robo de $ 40 M en cripto — BleepingComputer
• Informe del incidente del 1 de marzo de Bitrefill — Bitrefill / X
• Hackeo de Drift Protocol: Cómo el acceso privilegiado llevó a una pérdida de $ 285 M — Chainalysis
• Drift Protocol explotado por $ 286 M en un presunto ataque vinculado a la RPDC — Elliptic
• Hackers de criptomonedas roban $ 482.6 M en 44 ataques en el Q1 2026 — Technext