Saltar al contenido principal

Informe de Seguridad Cripto Q1 2026: Cómo el Hackeo de $1,5B a Bybit Señala una Nueva Era de Ataques a Infraestructuras

· 12 min de lectura
Dora Noda
Dora Noda
Software Engineer

Los números deberían haber sido tranquilizadores. La auditoría de contratos inteligentes nunca ha sido tan sofisticada, la verificación formal es ya corriente principal, y los protocolos DeFi han gastado colectivamente cientos de millones en revisiones de seguridad. Y sin embargo, en el primer trimestre de 2026, la industria cripto perdió más de $2 mil millones—incluyendo el mayor robo individual en la historia de los activos digitales. El culpable no fue un error de Solidity. Fue un portátil de desarrollador comprometido.

Esta es la historia de seguridad definitoria de 2026: a medida que el código en cadena se vuelve más seguro, los atacantes se han trasladado fuera de la cadena. La batalla ya no se libra en el bytecode de contratos inteligentes—se libra en credenciales de nube, máquinas de desarrolladores, registros DNS, paquetes npm y la psicología humana de los firmantes multisig. Entender este cambio no es opcional para nadie que construya o invierta en infraestructura Web3.

Los Números Principales: Una Imagen Engañosa

El Q1 2026 registró aproximadamente $450M en pérdidas en más de 60 incidentes centrados en DeFi—cifra que los investigadores de seguridad citan como evidencia tanto de la escala como de la persistencia del robo cripto. Pero esta cifra por sí sola subestima el daño real del trimestre.

El 21 de febrero de 2026, el Grupo Lazarus de Corea del Norte robó aproximadamente $1.500 millones de Bybit en una sola operación—el mayor robo de criptomonedas jamás registrado. Combinado con los datos más amplios de incidentes DeFi del Q1, las pérdidas totales de cripto en los primeros tres meses de 2026 superaron los $2.000 millones.

El desglose mes a mes muestra una variación extrema:

  • Enero 2026: ~$370M–$400M, dominado por un único ataque de phishing de $282M
  • Febrero 2026: ~$49M en incidentes DeFi (sin contar los $1.500M de Bybit por separado)
  • Marzo 2026: ~$52M en más de 20 incidentes—un aumento del 96% respecto a febrero

Las estafas de suplantación aumentaron un 1.400% interanual. Los exploits de contratos inteligentes, por el contrario, cayeron aproximadamente un 89% interanual en términos de pérdidas absolutas. El código de la industria se está volviendo más seguro. Sus personas, sistemas e infraestructuras son la nueva superficie de ataque.

Bybit: Cuando la Cadena de Suministro Derrota a los Contratos Inteligentes

La brecha de Bybit ya se ha convertido en un caso de estudio de libro de texto en los círculos de seguridad, y con razón. Esto es lo que realmente sucedió.

Bybit usaba Safe{Wallet}—una de las carteras de contratos inteligentes multifirma más confiables en cripto—para custodiar los fondos de los clientes. Los contratos de Safe{Wallet} en sí no fueron comprometidos. En cambio, el Grupo Lazarus (también conocido como TraderTraitor y APT38, una unidad de la Oficina de Reconocimiento General de Corea del Norte) comprometió una máquina de desarrollador en el equipo de ingeniería de Safe{Wallet}.

Desde ese punto de apoyo, los atacantes inyectaron JavaScript malicioso en la interfaz web de Safe{Wallet}. El código era quirúrgico: funcionaba normalmente para todos los usuarios excepto Bybit, y solo cuando Bybit estaba ejecutando un tipo específico de transacción de cartera fría. Cuando los firmantes de Bybit iniciaron lo que parecía ser una transferencia interna rutinaria, estaban firmando sin saberlo una transacción que transfería el control de una cartera fría con ~$1.500M en ETH y tokens ERC-20 al atacante.

Dos minutos después de ejecutar la transacción maliciosa, Lazarus subió versiones limpias y no modificadas de los archivos JavaScript al bucket AWS S3 de Safe{Wallet}—cubriendo sus huellas en tiempo casi real.

El FBI confirmó la atribución. Corea del Norte financia una parte sustancial de sus programas de armas a través del robo de criptomonedas, y el botín de Bybit representa con creces su operación individual más grande.

La lección de seguridad es contundente: Los contratos inteligentes de Bybit eran seguros. Su gobernanza de cartera pasó las verificaciones multisig. Sus firmantes no hicieron nada manifiestamente incorrecto. El vector fue la cadena de suministro de software—una capa que la mayoría de los marcos de seguridad cripto ni siquiera abordan.

La Epidemia de Phishing de Enero: $282M de una Sola Estafa

Antes de Bybit, enero de 2026 estableció su propio récord. El 16 de enero, un inversor perdió $284 millones tras una sofisticada campaña de phishing dirigida a usuarios de carteras de hardware. El ataque se hizo pasar por el soporte al cliente de Trezor, manipulando a la víctima para que revelara una frase semilla de recuperación a través de una falsa alerta de seguridad urgente.

Un ataque de ingeniería social. Una frase semilla. $282M desaparecidos.

Las pérdidas totales de enero alcanzaron aproximadamente $370M–$400M, con ese único ataque representando casi el 80% del daño del mes. Durante todo el Q1, el phishing y la ingeniería social representaron más de $290M en fondos robados—más que todos los demás tipos de ataques combinados. Por cada dólar perdido en exploits de contratos inteligentes en el Q1 2026, casi cuatro dólares fueron robados a través de manipulación humana.

El dramático aumento de las estafas de suplantación refleja un cálculo racional por parte del atacante: los investigadores de seguridad son muy buenos encontrando vulnerabilidades de Solidity ahora, pero los humanos siguen siendo consistentemente explotables. Los usuarios de cripto controlan activos que valen cientos de miles o millones de dólares, operan bajo presión de tiempo e interactúan con interfaces de aspecto sofisticado que pueden falsificarse con un esfuerzo mínimo.

Drift Protocol: Una Operación de Inteligencia de Seis Meses

El 1 de abril de 2026—marcando el inicio del Q2 pero proyectando una sombra sobre la postura de seguridad del trimestre completo—Drift Protocol perdió $286M en lo que puede ser el exploit DeFi más operativamente sofisticado jamás ejecutado.

Los atacantes no buscaban un error en el contrato inteligente. Encontraron algo más valioso: confianza.

Un grupo vinculado al estado norcoreano pasó aproximadamente seis meses infiltrando Drift Protocol bajo la identidad encubierta de una firma de trading cuantitativo. Durante ese período:

  1. Se reunieron en persona con contribuidores de Drift en conferencias cripto para construir credibilidad en las relaciones
  2. Depositaron más de $1 millón en Drift Protocol para establecer legitimidad como participante real
  3. Integraron un producto Ecosystem Vault, ganando acceso técnico más cercano al protocolo
  4. Comprometieron dispositivos de desarrolladores a través de una aplicación TestFlight maliciosa y una vulnerabilidad de extensión de VSCode/Cursor
  5. Usaron estos dispositivos comprometidos para obtener dos de cinco firmas del multisig del Consejo de Seguridad de Drift

Con dos firmas aseguradas, explotaron la función de nonce duradero de Solana—un mecanismo legítimo que permite que las transacciones pre-firmadas permanezcan válidas a través de cambios en la altura del bloque, diseñado para conveniencia en flujos de trabajo de firma sin conexión. Los atacantes lo usaron para mantener autorizaciones de transacciones en vivo en reserva, luego ejecutaron en minutos: poniendo en la lista blanca un token falso sin valor (CVT) como colateral, depositando 500 millones de CVT y retirando $285M en activos reales incluyendo USDC, SOL y ETH.

El vaciado completo tomó aproximadamente 12 minutos. La preparación tomó seis meses.

Este patrón de ataque—paciente, basado en identidad, aprovechando características legítimas del protocolo en lugar de errores—es la forma avanzada del manual de estrategias en evolución de DPRK.

El Robo Industrializado de Cripto de Corea del Norte

Es imposible analizar el panorama de seguridad del Q1 2026 sin enfrentar una realidad incómoda: Corea del Norte está operando un programa de robo de criptomonedas a escala industrial dirigido por el estado, y está acelerando.

Durante el Q1 2026, las operaciones vinculadas a DPRK representaron un estimado de más de $300M en pérdidas confirmadas, abarcando al menos 18 operaciones rastreadas. Su superficie de ataque ahora abarca:

  • Ataques a la cadena de suministro de carteras frías de CEX (Bybit): Comprometer el software que usan los firmantes, no los propios contratos
  • Ingeniería social en DeFi (Drift): Infiltrar protocolos como participantes de confianza durante meses
  • Cadena de suministro de desarrolladores (campañas npm/PyPI): Publicar paquetes maliciosos bajo pretextos falsos de ofertas de trabajo de reclutadores para comprometer entornos de desarrolladores y robar credenciales
  • Infiltración de trabajadores de TI: Operativos de DPRK se integran como desarrolladores remotos en empresas cripto, ganando salarios enrutados a través de mezcladores (OFAC sancionó a 6 individuos y 2 entidades por esto en marzo de 2026)

El hilo común es un cambio de explotar técnicamente el código a explotar sistemáticamente personas, confianza e infraestructura.

El Cambio Estructural: Lo que "Seguridad de Pila Completa" Significa Ahora

Los datos del Q1 2026 presentan un argumento claro de que la profesión de seguridad cripto necesita expandir su alcance. La seguridad tradicional en Web3 se ha centrado casi por completo en la auditoría de contratos inteligentes—y ese enfoque ha producido resultados. El código en cadena es genuinamente más seguro que en 2021-2022.

Pero los atacantes no se han rendido; han pivotado. La nueva superficie de ataque incluye:

Infraestructura en la nube: Credenciales de AWS, imágenes Docker, secretos de pods de Kubernetes, buckets S3. El hackeo de Bybit explotó una carga de S3 para desplegar y luego sobrescribir JavaScript malicioso.

Pipelines CI/CD: Sistemas de construcción que tienen acceso privilegiado a claves de firma, entornos de despliegue y secretos de producción. Comprometer el pipeline compromete cada despliegue posterior.

npm y ecosistemas de paquetes: El Grupo Lazarus y actores de amenaza afiliados han ejecutado campañas sostenidas publicando paquetes maliciosos con nombres similares a populares bibliotecas de desarrolladores cripto, configurados para recolectar tokens de AWS, PAT de GitHub, claves SSH y variables de entorno.

Infraestructura DNS: Múltiples incidentes de 2026 involucraron secuestros de DNS que redirigieron a los usuarios de frontends legítimos de protocolos a sitios de phishing controlados por atacantes. Si su código en cadena es perfecto pero su DNS está comprometido, los usuarios pierden fondos de todas formas.

Identidad humana: Los esquemas multisig que requieren N-de-M firmas son solo tan seguros como los humanos que tienen esas claves. Si los atacantes pueden comprometer dos de cinco firmantes—a través de malware en dispositivos de trabajo, a través de ingeniería social, a través de infiltración a largo plazo—el multisig no proporciona ninguna defensa.

Esto es lo que "seguridad de pila completa" significa en 2026: auditar Solidity es un requisito básico, no el juego completo.

Lo que los Constructores Deberían Hacer Diferente

Los datos del Q1 2026 apuntan hacia recomendaciones defensivas concretas:

Trate los entornos de firma como infraestructura reforzada. Las claves de seguridad de hardware para multisig deben usarse en dispositivos dedicados, con air gap o estrictamente controlados. Si una extensión de VSCode de un miembro del Consejo de Seguridad de Drift puede ser comprometida para capturar actividad de firma, el multisig es menos seguro de lo que parece.

Implemente controles de cadena de suministro para dependencias. Fije las versiones de paquetes npm y PyPI con hashes de integridad. Ejecute auditorías de dependencias en CI. Sea especialmente sospechoso de los paquetes que solicitan acceso amplio a variables de entorno o salida de red.

Defienda el frontend tan seriamente como los contratos. El monitoreo DNS, los encabezados CSP, la integridad de subrecursos para scripts cargados y las políticas de bucket AWS S3 que previenen sobrescrituras no autorizadas ya no son opcionales para protocolos que mantienen fondos significativos de usuarios.

Realice pruebas de equipo rojo en su superficie de ataque humana. Las pruebas de penetración deben incluir simulaciones de ingeniería social—contacto falso de reclutadores, solicitudes de soporte urgente falsas, emergencias de gobernanza falsas. Los vectores de ataque de Drift eran predecibles y podrían haberse detectado con ejercicios de mesa.

Separe la identidad de gobernanza de la identidad de trabajo. Los miembros del Consejo de Seguridad del protocolo deben mantener una separación estricta entre sus identidades de desarrollo diarias y sus roles de firma de gobernanza. Un portátil de trabajo comprometido no debería poder tocar las claves multisig.

Mirando Hacia Adelante: La Profesionalización de la Seguridad Web3

El Q1 2026 es un factor de fuerza. La industria de seguridad que Web3 necesita—una que cubra seguridad en la nube, higiene de la cadena de suministro, pruebas de equipo rojo del factor humano y seguridad operacional junto con la auditoría de contratos inteligentes—todavía está siendo construida. El talento, las herramientas y las estructuras organizativas para la seguridad Web3 de pila completa son incipientes.

Lo que está claro es que el honeypot solo crece. A medida que el capital institucional fluye hacia protocolos cripto, intercambios y mercados DeFi, los recursos disponibles para atacantes sofisticados como DPRK crecen proporcionalmente. Un actor estatal que ya ha robado un estimado de $6.750 millones en cripto desde 2017 no va a encontrar al próximo objetivo menos atractivo porque el anterior tuvo éxito.

Los protocolos y proveedores de infraestructura que sobrevivan y prosperen a través del próximo ciclo serán aquellos que traten la seguridad como una disciplina operacional—no una auditoría única—y que extiendan su modelo de amenaza más allá del EVM para incluir cada capa del stack del que dependen sus usuarios.

BlockEden.xyz opera nodos RPC de grado empresarial e infraestructura API para Sui, Aptos, Ethereum y más de 20 otras cadenas de bloques. Nuestra infraestructura está construida con controles de seguridad multicapa en DNS, nube y capas de red—las mismas superficies de amenaza que definieron los ataques más dañinos del Q1 2026. Explore nuestro mercado de API para construir sobre infraestructura diseñada para el panorama de amenazas que realmente existe.

Share on Twitter