5 publicaciones etiquetados con "Ciberseguridad"

En la víspera de Navidad de 2025, mientras la mayor parte del mundo cripto estaba de vacaciones, unos atacantes lanzaron una actualización maliciosa para la extensión de Chrome de Trust Wallet. En 48 horas, $ 8.5 millones desaparecieron de 2,520 billeteras. Las frases semilla de miles de usuarios habían sido recolectadas silenciosamente, disfrazadas como datos de telemetría de rutina. Pero este no fue un incidente aislado; fue la culminación de un ataque a la cadena de suministro que se había estado extendiendo por el ecosistema de desarrollo cripto durante semanas.

La campaña Shai-Hulud, nombrada en honor a los gusanos de arena de Dune, representa el ataque a la cadena de suministro de npm más agresivo de 2025. Comprometió más de 700 paquetes npm, infectó 27,000 repositorios de GitHub y expuso aproximadamente 14,000 secretos de desarrollador en 487 organizaciones. El daño total: más de $ 58 millones en criptomonedas robadas, lo que lo convierte en uno de los ataques dirigidos a desarrolladores más costosos en la historia de las criptomonedas.

La anatomía de un gusano de la cadena de suministro​

A diferencia del malware típico que requiere que los usuarios descarguen software malicioso, los ataques a la cadena de suministro envenenan las herramientas en las que los desarrolladores ya confían. La campaña Shai-Hulud convirtió en un arma a npm, el gestor de paquetes que impulsa la mayor parte del desarrollo de JavaScript, incluyendo casi todas las billeteras cripto, frontends de DeFi y aplicaciones Web3.

El ataque comenzó en septiembre de 2025 con la primera ola, que resultó en el robo de aproximadamente $ 50 millones en criptomonedas. Pero fue "La Segunda Venida" en noviembre lo que demostró la verdadera sofisticación de la operación. Entre el 21 y el 23 de noviembre, los atacantes comprometieron la infraestructura de desarrollo de proyectos importantes, incluidos Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase y Postman.

El mecanismo de propagación fue elegante y aterrador. Cuando Shai-Hulud infecta un paquete npm legítimo, inyecta dos archivos maliciosos — setup_bun.js y bun_environment.js — activados por un script de preinstalación. A diferencia del malware tradicional que se activa después de la instalación, esta carga útil se ejecuta antes de que se complete la instalación e incluso cuando la instalación falla. Para cuando los desarrolladores se dan cuenta de que algo anda mal, sus credenciales ya han sido robadas.

El gusano identifica otros paquetes mantenidos por desarrolladores comprometidos, inyecta automáticamente código malicioso y publica nuevas versiones comprometidas en el registro de npm. Esta propagación automatizada permitió que el malware se extendiera exponencialmente sin la intervención directa del atacante.

De los secretos del desarrollador a las billeteras de los usuarios​

La conexión entre los paquetes npm comprometidos y el hackeo de Trust Wallet revela cómo los ataques a la cadena de suministro caen en cascada desde los desarrolladores hasta los usuarios finales.

La investigación de Trust Wallet reveló que sus secretos de GitHub para desarrolladores quedaron expuestos durante el brote de Shai-Hulud en noviembre. Esta exposición dio a los atacantes acceso al código fuente de la extensión del navegador y, fundamentalmente, a la clave API de Chrome Web Store. Armados con estas credenciales, los atacantes eludieron por completo el proceso interno de lanzamiento de Trust Wallet.

El 24 de diciembre de 2025, la versión 2.68 de la extensión de Chrome de Trust Wallet apareció en la Chrome Web Store, publicada por los atacantes, no por los desarrolladores de Trust Wallet. El código malicioso fue diseñado para iterar a través de todas las billeteras almacenadas en la extensión y activar una solicitud de frase mnemotécnica para cada billetera. Ya sea que los usuarios se autenticaran con una contraseña o con biometría, sus frases semilla eran exfiltradas silenciosamente a servidores controlados por los atacantes, disfrazadas como datos analíticos legítimos.

Los fondos robados se desglosaron de la siguiente manera: aproximadamente $3 millones en Bitcoin, más de$ 3 millones en Ethereum y cantidades menores en Solana y otros tokens. En pocos días, los atacantes comenzaron a lavar los fondos a través de exchanges centralizados: $3.3 millones a ChangeNOW,$ 340,000 a FixedFloat y $ 447,000 a KuCoin.

El interruptor del hombre muerto (Dead Man's Switch)​

Quizás lo más inquietante es el mecanismo de "interruptor del hombre muerto" del malware Shai-Hulud. Si el gusano no puede autenticarse con GitHub o npm — si sus canales de propagación y exfiltración son cortados — borrará todos los archivos en el directorio principal del usuario.

Esta característica destructiva sirve para múltiples propósitos. Castiga los intentos de detección, crea un caos que oculta las huellas de los atacantes y proporciona una palanca de presión si los defensores intentan cortar la infraestructura de comando y control. Para los desarrolladores que no han mantenido copias de seguridad adecuadas, un intento fallido de limpieza podría resultar en una pérdida catastrófica de datos, además del robo de credenciales.

Los atacantes también demostraron sofisticación psicológica. Cuando Trust Wallet anunció la brecha, los mismos atacantes lanzaron una campaña de phishing explotando el pánico resultante, creando sitios web falsos con la marca Trust Wallet que pedían a los usuarios que ingresaran sus frases semilla de recuperación para la "verificación de la billetera". Algunas víctimas fueron comprometidas dos veces.

La cuestión del infiltrado​

El cofundador de Binance, Changpeng Zhao (CZ), insinuó que el exploit de Trust Wallet fue "muy probablemente" llevado a cabo por un infiltrado o alguien con acceso previo a los permisos de despliegue. El propio análisis de Trust Wallet sugiere que los atacantes podrían haber ganado el control de los dispositivos de los desarrolladores u obtenido permisos de despliegue antes del 8 de diciembre de 2025.

Los investigadores de seguridad han notado patrones que sugieren una posible participación de estados-nación. El momento elegido — la víspera de Navidad — sigue el manual común de las amenazas persistentes avanzadas (APT): atacar durante las vacaciones cuando los equipos de seguridad cuentan con menos personal. La sofisticación técnica y la escala de la campaña Shai-Hulud, combinadas con el rápido lavado de fondos, sugieren recursos que van más allá de las operaciones criminales típicas.

Por qué las extensiones de navegador son excepcionalmente vulnerables​

El incidente de Trust Wallet resalta una vulnerabilidad fundamental en el modelo de seguridad cripto. Las extensiones de navegador operan con privilegios extraordinarios: pueden leer y modificar páginas web, acceder al almacenamiento local y, en el caso de las billeteras cripto, poseer las llaves de millones de dólares.

La superficie de ataque es masiva:

• Mecanismos de actualización: Las extensiones se actualizan automáticamente, y una sola actualización comprometida llega a todos los usuarios.
• Seguridad de las claves API: Las claves API de Chrome Web Store, si se filtran, permiten que cualquiera publique actualizaciones.
• Supuestos de confianza: Los usuarios asumen que las actualizaciones de las tiendas oficiales son seguras.
• Momento de las festividades: El monitoreo de seguridad reducido durante las vacaciones permite un tiempo de permanencia más largo de la amenaza.

Este no es el primer ataque de extensiones de navegador contra usuarios de criptomonedas. Incidentes anteriores incluyen la campaña GlassWorm que tuvo como objetivo las extensiones de VS Code y el fraude de la extensión FoxyWallet en Firefox. Pero la brecha de Trust Wallet fue la mayor en términos de dólares y demostró cómo los compromisos en la cadena de suministro amplifican el impacto de los ataques a las extensiones.

La respuesta de Binance y el precedente de SAFU​

Binance confirmó que los usuarios afectados de Trust Wallet serían reembolsados en su totalidad a través de su Fondo de Activos Seguros para Usuarios (SAFU). Este fondo, establecido tras un hackeo al intercambio en 2018, mantiene una parte de las comisiones de trading en reserva específicamente para cubrir las pérdidas de los usuarios por incidentes de seguridad.

La decisión de reembolsar sienta un precedente importante y plantea una pregunta interesante sobre la asignación de responsabilidades. Trust Wallet se vio comprometido sin culpa directa de los usuarios, quienes simplemente abrieron sus billeteras durante la ventana afectada. Pero la causa raíz fue un ataque a la cadena de suministro que comprometió la infraestructura de los desarrolladores, lo cual a su vez fue posible gracias a vulnerabilidades más amplias del ecosistema en npm.

La respuesta inmediata de Trust Wallet incluyó la expiración de todas las API de lanzamiento para bloquear nuevas versiones durante dos semanas, la denuncia del dominio de exfiltración malicioso a su registrador (lo que resultó en una pronta suspensión) y el lanzamiento de una versión 2.69 limpia. Se aconsejó a los usuarios migrar sus fondos a billeteras nuevas de inmediato si habían desbloqueado la extensión entre el 24 y el 26 de diciembre.

Lecciones para el ecosistema cripto​

La campaña Shai-Hulud expone vulnerabilidades sistémicas que se extienden mucho más allá de Trust Wallet:

Para desarrolladores​

Fije las dependencias explícitamente. La explotación de scripts de preinstalación funciona porque las instalaciones de npm pueden ejecutar código arbitrario. Fijar las versiones a versiones conocidas y limpias evita que las actualizaciones automáticas introduzcan paquetes comprometidos.

Trate los secretos como comprometidos. Cualquier proyecto que haya extraído paquetes de npm entre el 21 de noviembre y diciembre de 2025 debe asumir la exposición de sus credenciales. Esto significa revocar y regenerar tokens de npm, PAT de GitHub, claves SSH y credenciales de proveedores de la nube.

Implemente una gestión de secretos adecuada. Las claves API para infraestructuras críticas, como la publicación en tiendas de aplicaciones, nunca deben almacenarse en el control de versiones, ni siquiera en repositorios privados. Utilice módulos de seguridad de hardware (HSM) o servicios dedicados de gestión de secretos.

Aplique MFA resistente al phishing. La autenticación de dos factores estándar puede ser eludida por atacantes sofisticados. Las llaves de hardware como YubiKeys proporcionan una protección más fuerte para las cuentas de desarrolladores y de CI / CD.

Para usuarios​

Diversifique la infraestructura de sus billeteras. No mantenga todos sus fondos en extensiones de navegador. Las billeteras de hardware proporcionan aislamiento de las vulnerabilidades de software: pueden firmar transacciones sin exponer nunca las frases semilla a navegadores potencialmente comprometidos.

Asuma que las actualizaciones pueden ser maliciosas. El modelo de actualización automática que hace que el software sea conveniente también lo hace vulnerable. Considere deshabilitar las actualizaciones automáticas para extensiones críticas de seguridad y verificar manualmente las nuevas versiones.

Monitoree la actividad de su billetera. Los servicios que alertan sobre transacciones inusuales pueden proporcionar una advertencia temprana de compromiso, limitando potencialmente las pérdidas antes de que los atacantes vacíen billeteras enteras.

Para la industria​

Fortalecer el ecosistema npm. El registro npm es una infraestructura crítica para el desarrollo de Web3, sin embargo, carece de muchas características de seguridad que evitarían la propagación tipo gusano. La firma de código obligatoria, las compilaciones reproducibles y la detección de anomalías para las actualizaciones de paquetes podrían elevar significativamente la vara para los atacantes.

Replanteee la seguridad de las extensiones de navegador. El modelo actual, donde las extensiones se actualizan automáticamente y tienen permisos amplios, es fundamentalmente incompatible con los requisitos de seguridad para custodiar activos significativos. Los entornos de ejecución aislados (sandboxed), las actualizaciones retrasadas con revisión del usuario y la reducción de permisos podrían ayudar.

Coordine la respuesta a incidentes. La campaña Shai-Hulud afectó a cientos de proyectos en todo el ecosistema cripto. Un mejor intercambio de información y una respuesta coordinada podrían haber limitado el daño a medida que se identificaban los paquetes comprometidos.

El futuro de la seguridad de la cadena de suministro en cripto​

La industria de las criptomonedas se ha centrado históricamente en auditorías de contratos inteligentes, almacenamiento en frío de intercambios y protección contra el phishing para el usuario. La campaña Shai-Hulud demuestra que los ataques más peligrosos pueden provenir de herramientas de desarrollo comprometidas, una infraestructura con la que los usuarios de cripto nunca interactúan directamente pero que subyace a cada aplicación que utilizan.

A medida que las aplicaciones Web3 se vuelven más complejas, sus gráficos de dependencia crecen. Cada paquete de npm, cada acción de GitHub, cada integración de CI / CD representa un vector de ataque potencial. La respuesta de la industria a Shai-Hulud determinará si esto se convierte en una llamada de atención única o en el comienzo de una era de ataques a la cadena de suministro en la infraestructura cripto.

Por ahora, los atacantes permanecen sin identificar. Aproximadamente 2.8 millones de dólares de los fondos robados de Trust Wallet permanecen en las billeteras de los atacantes, mientras que el resto ha sido lavado a través de intercambios centralizados y puentes entre cadenas (cross-chain bridges). Los más de 50 millones de dólares en robos anteriores de la campaña Shai-Hulud han desaparecido en gran medida en las profundidades seudónimas de la blockchain.

El gusano de arena se ha enterrado profundamente en los cimientos de las criptomonedas. Erradicarlo requerirá replantear los supuestos de seguridad que la industria ha dado por sentados desde sus inicios.

---

La creación de aplicaciones Web3 seguras requiere una infraestructura robusta. BlockEden.xyz proporciona nodos RPC y APIs de nivel empresarial con monitoreo incorporado y detección de anomalías, ayudando a los desarrolladores a identificar actividades inusuales antes de que afecten a los usuarios. Explore nuestro mercado de APIs para construir sobre bases enfocadas en la seguridad.

Los compromisos de billeteras individuales aumentaron a 158.000 incidentes que afectaron a 80.000 víctimas únicas en 2025, lo que resultó en $ 713 millones robados únicamente de billeteras personales. No se trata de un hackeo a un exchange o de una vulnerabilidad en un protocolo; se trata de usuarios comunes de criptomonedas que pierden sus ahorros ante atacantes que han evolucionado mucho más allá de los simples correos electrónicos de phishing. Los compromisos de billeteras personales representan ahora el 37 % de todo el valor robado en criptomonedas, frente a solo el 7,3 % en 2022. El mensaje es claro: si posee criptomonedas, es un objetivo, y las estrategias de protección del pasado ya no son suficientes.

Tan solo en la primera mitad de 2025, los atacantes drenaron más de $2.3 mil millones de protocolos cripto —más que todo el 2024 combinado—. Las vulnerabilidades de control de acceso representaron por sí solas $1.6 mil millones de esa carnicería. El hackeo de Bybit en febrero de 2025, un ataque a la cadena de suministro de $1.4 mil millones, demostró que incluso los exchanges más grandes siguen siendo vulnerables. Al entrar en 2026, la industria de auditoría de contratos inteligentes se enfrenta a su momento más crítico: evolucionar o ver cómo miles de millones más desaparecen en las carteras de los atacantes.

El 21 de febrero de 2025, hackers norcoreanos robaron $ 1,5 mil millones en criptomonedas del exchange Bybit, con sede en Dubái, en aproximadamente 30 minutos. No fue solo el mayor atraco de criptomonedas de la historia; si Bybit fuera un banco, se clasificaría como el mayor robo bancario jamás registrado por el Guinness World Records.

El ataque no explotó un error en un contrato inteligente ni forzó una clave privada por fuerza bruta. En su lugar, los hackers comprometieron la computadora portátil de un solo desarrollador en un proveedor de billeteras de terceros, esperaron pacientemente durante semanas y atacaron cuando los empleados de Bybit estaban aprobando lo que parecía una transferencia interna rutinaria. Para cuando alguien se dio cuenta de que algo andaba mal, 500.000 ETH se habían desvanecido en un laberinto de billeteras controladas por el Lazarus Group de Corea del Norte.

Esta es la historia de cómo sucedió, por qué es importante y qué revela sobre el estado de la seguridad cripto en 2025.

El ataque: Una clase magistral de paciencia y precisión​

El hackeo de Bybit no fue un robo improvisado. Fue una operación quirúrgica que se desarrolló durante semanas.

Fase 1: Comprometer al desarrollador​

El 4 de febrero de 2025, un desarrollador de Safe{Wallet} — una plataforma de billetera multifirma ampliamente utilizada en la que Bybit confiaba para asegurar grandes transferencias — descargó lo que parecía ser un proyecto legítimo de Docker llamado "MC-Based-Stock-Invest-Simulator-main". Es probable que el archivo llegara a través de un ataque de ingeniería social, posiblemente disfrazado como una oportunidad laboral o una herramienta de inversión.

El contenedor de Docker malicioso estableció inmediatamente una conexión con un servidor controlado por el atacante. Desde allí, los hackers extrajeron tokens de sesión de AWS de la estación de trabajo del desarrollador — las credenciales temporales que otorgan acceso a la infraestructura en la nube de Safe{Wallet}.

Con estos tokens, los atacantes eludieron por completo la autenticación de múltiples factores. Ahora tenían las llaves del reino de Safe{Wallet}.

Fase 2: El código latente​

En lugar de actuar de inmediato, los atacantes inyectaron un código JavaScript sutil en la interfaz web de Safe{Wallet}. Este código fue diseñado específicamente para Bybit; permanecería latente hasta detectar que un empleado de Bybit había abierto su cuenta de Safe y estaba a punto de autorizar una transacción.

La sofisticación aquí es notable. Toda la aplicación Safe{Wallet} funcionaba normalmente para todos los demás usuarios. Solo Bybit era el objetivo.

Fase 3: El atraco​

El 21 de febrero de 2025, los empleados de Bybit iniciaron lo que debería haber sido una transferencia rutinaria desde una cold wallet (almacenamiento seguro fuera de línea) a una warm wallet (para trading activo). Esto requería múltiples firmas de personal autorizado, una práctica de seguridad estándar llamada multisig.

Cuando los firmantes abrieron Safe{Wallet} para aprobar la transacción, la interfaz mostraba lo que parecía ser la dirección de destino correcta. Pero el código malicioso ya había intercambiado el comando por uno diferente. Los empleados aprobaron sin saberlo una transacción que vació toda la cold wallet de Bybit.

En cuestión de minutos, 500.000 ETH — con un valor aproximado de $ 1,5 mil millones — fluyeron hacia direcciones controladas por los atacantes.

El exploit técnico: Delegatecall​

La vulnerabilidad clave fue la función delegatecall de Ethereum, que permite que un contrato inteligente ejecute el código de otro contrato dentro de su propio contexto de almacenamiento. Los atacantes engañaron a los firmantes de Bybit para que cambiaran la lógica del contrato de su billetera a una versión maliciosa, otorgando efectivamente el control total a los hackers.

Esto no fue un error en Ethereum ni en el protocolo central de Safe{Wallet}. Fue un ataque a la capa humana: el momento en que empleados de confianza verifican y aprueban transacciones.

Lazarus Group de Corea del Norte: Los hackers más rentables del mundo​

A las 24 horas del ataque, el investigador de blockchain ZachXBT presentó pruebas a Arkham Intelligence que conectaban definitivamente el hackeo con el Lazarus Group de Corea del Norte. El FBI confirmó esta atribución el 26 de febrero de 2025.

Lazarus Group — también conocido como TraderTraitor y APT38 — opera bajo la Oficina General de Reconocimiento de Corea del Norte. No es una banda criminal que busca beneficios para el enriquecimiento personal. Es una operación patrocinada por el estado cuyos ingresos financian los programas de armas nucleares y misiles balísticos de Corea del Norte.

Las cifras son asombrosas:

• Solo en 2025: Los hackers norcoreanos robaron $ 2,02 mil millones en criptomonedas
• La parte de Bybit: $ 1,5 mil millones (el 74% de la recaudación de Corea del Norte en 2025 de un solo ataque)
• Desde 2017: Corea del Norte ha robado más de $ 6,75 mil millones en criptoactivos
• 2025 frente a 2024: Aumento del 51% interanual en el valor robado

Corea del Norte representó el 59% de todas las criptomonedas robadas a nivel mundial en 2025 y el 76% de todos los compromisos de exchanges. Ningún otro actor de amenazas se le acerca.

La industrialización del robo de cripto​

Lo que diferencia a Corea del Norte no es solo la escala, sino la sofisticación de su operación.

Ingeniería social sobre exploits técnicos​

La mayoría de los principales hackeos de 2025 se perpetraron a través de la ingeniería social en lugar de vulnerabilidades técnicas. Esto representa un cambio fundamental. Los hackers ya no buscan principalmente errores en contratos inteligentes o debilidades criptográficas. Están apuntando a las personas.

Operativos del Lazarus Group se han infiltrado como trabajadores de TI dentro de empresas cripto. Se han hecho pasar por ejecutivos. Han enviado ofertas de trabajo que contienen malware a desarrolladores. El ataque a Bybit comenzó con un desarrollador descargando un simulador de comercio de acciones falso: un vector clásico de ingeniería social.

La Lavandería China​

Robar criptomonedas es solo la mitad del desafío. Convertirlas en fondos utilizables sin ser capturado es igual de complejo.

En lugar de retirar el efectivo directamente, Corea del Norte ha subcontratado el lavado de dinero a lo que los investigadores llaman la "Lavandería China": una extensa red de banqueros clandestinos, brokers OTC e intermediarios de lavado basados en el comercio. Estos actores lavan activos robados a través de diferentes cadenas, jurisdicciones y rieles de pago.

Para el 20 de marzo de 2025 — menos de un mes después del hackeo de Bybit — el CEO Ben Zhou informó que los hackers ya habían convertido el 86.29 % del ETH robado a Bitcoin a través de múltiples billeteras intermediarias, exchanges descentralizados y puentes cross-chain. El ciclo de lavado de 45 días tras los grandes robos se ha convertido en un patrón predecible.

A pesar de estos esfuerzos, Zhou señaló que el 88.87 % de los activos robados seguían siendo rastreables. Pero "rastreable" no significa "recuperable". Los fondos fluyen a través de jurisdicciones que no tienen una relación de cooperación con las fuerzas del orden de los EE. UU. o internacionales.

Respuesta de Bybit: Gestión de Crisis Bajo Fuego​

A los 30 minutos de descubrir la brecha, el CEO Ben Zhou tomó el mando y comenzó a proporcionar actualizaciones en tiempo real en X (anteriormente Twitter). Su mensaje fue contundente: "Bybit es solvente incluso si esta pérdida por el hackeo no se recupera; todos los activos de los clientes están respaldados 1 a 1, podemos cubrir la pérdida".

El exchange procesó más de 350,000 solicitudes de retiro en 12 horas, una señal para los usuarios de que, a pesar de la pérdida catastrófica, las operaciones continuarían normalmente.

Financiamiento de Emergencia​

En un plazo de 72 horas, Bybit había repuesto sus reservas al asegurar 447,000 ETH a través de financiamiento de emergencia de socios como Galaxy Digital, FalconX y Wintermute. Bitget prestó 40,000 ETH para garantizar que los retiros continuaran sin interrupciones, un préstamo que Bybit reembolsó en tres días.

La empresa de ciberseguridad Hacken realizó una auditoría de prueba de reservas que confirmó que los principales activos de Bybit estaban respaldados por más del 100 % de colateral. La transparencia no tuvo precedentes para una crisis de esta magnitud.

El Programa de Recompensas​

Zhou declaró la "guerra contra Lazarus" y lanzó un programa global de recompensas (bounty) que ofrecía hasta un 10 % de recompensa por información que condujera al congelamiento de activos. Para finales de año, Bybit había pagado $ 2.18 millones en USDT a colaboradores que ayudaron a rastrear o recuperar fondos.

El Veredicto del Mercado​

Para finales de 2025, Bybit había superado los 80 millones de usuarios a nivel mundial, registró $ 7.1 mil millones en volumen de operaciones diarias y ocupó el quinto lugar entre los exchanges de criptomonedas spot. La respuesta a la crisis se había convertido en un caso de estudio sobre cómo sobrevivir a un hackeo catastrófico.

2025: El Año en que el Robo de Criptomonedas Alcanzó los $ 3.4 mil millones​

El hackeo de Bybit dominó los titulares, pero fue parte de un patrón más amplio. El robo total de criptomonedas alcanzó los $ 3.4 mil millones en 2025, un nuevo récord y el tercer año consecutivo de aumentos.

Estadísticas clave:

• 2023: $ 2 mil millones robados
• 2024: $ 2.2 mil millones robados
• 2025: $ 3.4 mil millones robados

La participación de Corea del Norte creció de aproximadamente la mitad a casi el 60 % de todos los robos de criptomonedas. La RPDC logró robos más grandes con menos incidentes, demostrando una eficiencia y sofisticación crecientes.

Lecciones Aprendidas: Dónde Falló la Seguridad​

El hackeo de Bybit expuso vulnerabilidades críticas que se extienden mucho más allá de un solo exchange.

El Riesgo de Terceros es Existencial​

Bybit no tuvo una falla de seguridad; la tuvo Safe{Wallet}. Pero Bybit sufrió las consecuencias.

La industria cripto ha construido cadenas de dependencia complejas donde los exchanges dependen de proveedores de billeteras, los proveedores de billeteras dependen de la infraestructura en la nube y la infraestructura en la nube depende de las estaciones de trabajo de los desarrolladores individuales. Un compromiso en cualquier punto de esta cadena puede desencadenar una cascada catastrófica.

El Almacenamiento en Frío No es Suficiente​

La industria ha tratado durante mucho tiempo a las billeteras frías (cold wallets) como el estándar de oro de la seguridad. Pero los fondos de Bybit estaban en almacenamiento en frío cuando fueron robados. La vulnerabilidad estaba en el proceso de moverlos: el paso de aprobación humana que la multifirma (multisig) fue diseñada para proteger.

Cuando las transferencias se vuelven rutinarias, los firmantes desarrollan una falsa sensación de seguridad, tratando las aprobaciones como formalidades en lugar de decisiones de seguridad críticas. El ataque a Bybit explotó exactamente este patrón de comportamiento.

La UI es un Punto Único de Falla​

La seguridad multisig asume que los firmantes pueden verificar lo que están aprobando. Pero si la interfaz que muestra los detalles de la transacción está comprometida, la verificación pierde su sentido. Los atacantes mostraron a los firmantes una cosa mientras ejecutaban otra.

Las simulaciones de pre-firma — que permiten a los empleados visualizar el destino real de una transacción antes de la aprobación — podrían haber evitado este ataque. También podrían haberlo hecho los retrasos para retiros grandes, otorgando tiempo para una revisión adicional.

La Ingeniería Social Supera a la Seguridad Técnica​

Se puede tener la seguridad criptográfica más sofisticada del mundo, y un solo empleado que descargue el archivo incorrecto puede saltarse todo. El punto débil en la seguridad de las criptomonedas es cada vez más humano, no técnico.

Implicaciones Regulatorias y de la Industria​

El hackeo de Bybit ya está remodelando el panorama regulatorio.

Se esperan requisitos obligatorios para:

• Módulos de seguridad de hardware (HSMs) para la gestión de claves
• Monitoreo de transacciones en tiempo real y detección de anomalías
• Auditorías de seguridad periódicas realizadas por terceros
• Marcos de AML mejorados y retrasos en las transacciones para transferencias grandes

La seguridad y el cumplimiento se están convirtiendo en umbrales para el acceso al mercado. Los proyectos que no puedan demostrar una sólida gestión de claves, diseño de permisos y marcos de seguridad creíbles se verán aislados de los socios bancarios y los usuarios institucionales.

Lo que esto significa para la industria​

El hackeo de Bybit revela una verdad incómoda: el modelo de seguridad de las criptomonedas es tan fuerte como su eslabón operativo más débil.

La industria ha invertido fuertemente en seguridad criptográfica: pruebas de conocimiento cero, firmas de umbral y enclaves seguros. Pero la criptografía más sofisticada es irrelevante si un atacante puede engañar a un humano para que apruebe una transacción maliciosa.

Para los exchanges, el mensaje es claro: la innovación en seguridad debe extenderse más allá de la tecnología para abarcar los procesos operativos, la gestión de riesgos de terceros y la capacitación continua de los empleados. Las auditorías periódicas, el intercambio colaborativo de inteligencia sobre amenazas y la planificación de respuesta a incidentes ya no son opcionales.

Para los usuarios, la lección es igualmente cruda: incluso los exchanges más grandes con la seguridad más sofisticada pueden verse comprometidos. La autocustodia, las billeteras de hardware y el almacenamiento de activos distribuidos siguen siendo las estrategias a largo plazo más seguras — incluso si son menos convenientes.

Conclusión​

El Lazarus Group de Corea del Norte ha industrializado el robo de criptomonedas. Han robado más de $ 6.75 mil millones desde 2017, y el 2025 marca su año más exitoso hasta la fecha. Solo el hackeo de Bybit — $ 1.5 mil millones en una sola operación — demuestra capacidades que despertarían la envidia de cualquier agencia de inteligencia.

La industria cripto se encuentra en una carrera armamentista con hackers patrocinados por el estado que tienen una paciencia ilimitada, capacidades técnicas sofisticadas y ningún temor a las consecuencias. El ataque a Bybit tuvo éxito no por un exploit novedoso, sino porque los atacantes entendieron que los humanos, y no el código, son el eslabón más débil.

Hasta que la industria trate la seguridad operativa con el mismo rigor que aplica a la seguridad criptográfica, estos ataques continuarán. La pregunta no es si ocurrirá otro hackeo de mil millones de dólares — es cuándo, y si el objetivo responderá de manera tan efectiva como lo hizo Bybit.

---

Este artículo es solo para fines educativos y no debe considerarse asesoramiento financiero. Realice siempre su propia investigación y priorice la seguridad al interactuar con exchanges y billeteras de criptomonedas.

En uno de los ciberataques más sofisticados de 2023, Radiant Capital, un protocolo descentralizado de préstamos cross‑chain construido sobre LayerZero, perdió aproximadamente 50 millones de dólares a manos de hackers. La complejidad y precisión de este ataque revelaron las capacidades avanzadas de los hackers norcoreanos patrocinados por el Estado, ampliando los límites de lo que muchos creían posible en brechas de seguridad cripto.

El ataque de ingeniería social perfecto​

El 11 de septiembre de 2023, un desarrollador de Radiant Capital recibió lo que parecía ser un mensaje inocente en Telegram. El remitente se hacía pasar por un ex‑contratista, alegando que había cambiado de carrera a auditoría de contratos inteligentes y quería retroalimentación sobre un informe de proyecto. Este tipo de solicitud es habitual en la cultura de trabajo remoto del desarrollo cripto, lo que lo hace particularmente efectivo como táctica de ingeniería social.

Los atacantes fueron un paso más allá al crear un sitio web falso que imitaba de forma muy cercana al dominio legítimo del supuesto contratista, añadiendo otra capa de autenticidad a su engaño.

El caballo de Troya​

Cuando el desarrollador descargó y descomprimió el archivo, este parecía ser un documento PDF estándar. Sin embargo, el archivo era en realidad un ejecutable malicioso llamado INLETDRIFT disfrazado con un ícono de PDF. Al abrirlo, instaló silenciosamente una puerta trasera en el sistema macOS y estableció comunicación con el servidor de comando de los atacantes (atokyonews[.]com).

La situación empeoró cuando el desarrollador infectado, buscando retroalimentación, compartió el archivo malicioso con otros miembros del equipo, propagando inadvertidamente el malware dentro de la organización.

El sofisticado ataque Man‑in‑the‑Middle​

Con el malware instalado, los hackers ejecutaron un ataque de “cambio de cebo” precisamente dirigido. Interceptaron los datos de la transacción cuando los miembros del equipo operaban su billetera multi‑firma Gnosis Safe. Mientras la transacción aparecía normal en la interfaz web, el malware sustituyó el contenido de la transacción al llegar al hardware wallet Ledger para su firma.

Debido al mecanismo de firma ciega usado en las transacciones multi‑sig de Safe, los miembros del equipo no pudieron detectar que en realidad estaban firmando una llamada a la función transferOwnership(), que entregaba el control de los pools de préstamo a los atacantes. Esto permitió a los hackers drenar los fondos de los usuarios que habían sido autorizados a los contratos del protocolo.

La rápida limpieza​

Tras el robo, los atacantes demostraron una seguridad operativa notable. En apenas tres minutos, eliminaron todo rastro de la puerta trasera y de las extensiones del navegador, cubriendo eficazmente sus huellas.

Lecciones clave para la industria​

1. Nunca confiar en descargas de archivos: Los equipos deben estandarizarse en herramientas de documentos en línea como Google Docs o Notion en lugar de descargar archivos. Por ejemplo, el proceso de reclutamiento de OneKey solo acepta enlaces de Google Docs, rechazando explícitamente abrir cualquier otro archivo o enlace.

2. La seguridad del frontend es crítica: El incidente muestra lo fácil que es para los atacantes falsificar información de transacciones en el frontend, haciendo que los usuarios firmen sin saber transacciones maliciosas.

3. Riesgos de la firma ciega: Los hardware wallets a menudo muestran resúmenes de transacciones excesivamente simplificados, dificultando la verificación de la verdadera naturaleza de interacciones complejas de contratos inteligentes.

4. Seguridad de los protocolos DeFi: Los proyectos que manejan grandes cantidades de capital deben implementar mecanismos de timelock y procesos de gobernanza robustos. Esto crea un período de amortiguación para detectar y responder a actividades sospechosas antes de que los fondos puedan ser movidos.

El hackeo de Radiant Capital sirve como un recordatorio aleccionador de que, incluso con hardware wallets, herramientas de simulación de transacciones y mejores prácticas de la industria, los atacantes sofisticados aún pueden encontrar formas de comprometer la seguridad. Subraya la necesidad de vigilancia constante y evolución en las medidas de seguridad cripto.

A medida que la industria madura, debemos aprender de estos incidentes para construir marcos de seguridad más robustos que puedan resistir vectores de ataque cada vez más sofisticados. El futuro de DeFi depende de ello.