10 publicaciones etiquetados con "Ciberseguridad"

Aproximadamente 6,26 millones de Bitcoin — valorados entre $ 650.000 millones y $ 750.000 millones — residen en direcciones vulnerables a ataques cuánticos. Aunque la mayoría de los expertos coinciden en que los ordenadores cuánticos criptográficamente relevantes aún están a años de distancia, la infraestructura necesaria para proteger esos activos no puede construirse de la noche a la mañana. Un protocolo afirma tener ya la respuesta, y la SEC está de acuerdo.

Naoris Protocol se convirtió en el primer protocolo de seguridad descentralizado citado en un documento regulatorio de EE. UU. cuando el Marco de Infraestructura Financiera Post-Cuántica (PQFIF) de la SEC lo designó como modelo de referencia para la infraestructura blockchain segura frente a la computación cuántica. Con el lanzamiento de su mainnet previsto para antes de que finalice el primer trimestre de 2026, 104 millones de transacciones post-cuánticas ya procesadas en testnet y asociaciones con instituciones alineadas con la OTAN, Naoris representa una apuesta radical: que la próxima frontera de DePIN no es el cómputo ni el almacenamiento, sino la propia ciberseguridad.

Su cold wallet no es tan segura como cree. En 2025, los ataques a la infraestructura — dirigidos a claves privadas, sistemas de billeteras y a los humanos que los gestionan — representaron el 76 % de todas las criptomonedas robadas, sumando un total de $ 2200 millones en solo 45 incidentes. El Grupo Lazarus, la unidad de hackeo patrocinada por el estado de Corea del Norte, ha perfeccionado un manual de estrategias que hace que la seguridad tradicional de almacenamiento en frío carezca casi de sentido: campañas de infiltración de un mes de duración que se dirigen a las personas, no al código.

Cuando el desarrollador de Safe{Wallet} "Developer1" recibió lo que parecía ser una solicitud rutinaria el 4 de febrero de 2025, no tenía idea de que su Apple MacBook se convertiría en el punto de entrada para el mayor robo de criptomonedas de la historia. En diecisiete días, el Lazarus Group de Corea del Norte explotaría esa única computadora portátil comprometida para robar $1.5 mil millones de Bybit — más que el PIB total de algunas naciones.

Esto no fue una aberración. Fue la culminación de una evolución de una década que transformó a un grupo de hackers patrocinados por el estado en los ladrones de criptomonedas más sofisticados del mundo, responsables de al menos $6.75 mil millones en robos acumulados.

Las cifras son asombrosas: 3,4 mil millones de dólares robados de plataformas de criptomonedas en 2025, con una sola nación-estado responsable de casi dos tercios del botín. El Lazarus Group de Corea del Norte no solo batió récords: reescribió las reglas del ciber-crimen patrocinado por el estado, ejecutando menos ataques pero extrayendo un valor exponencialmente mayor. Al entrar en 2026, la industria de las criptomonedas se enfrenta a una verdad incómoda: los paradigmas de seguridad de los últimos cinco años están fundamentalmente rotos.

La llamada de alerta de los 3,4 mil millones de dólares​

La firma de inteligencia blockchain Chainalysis publicó su informe anual sobre cripto-crimen en diciembre de 2025, confirmando lo que los conocedores de la industria temían. El robo total de criptomonedas alcanzó los 3,4 mil millones de dólares, con los hackers norcoreanos reclamando 2,02 mil millones de dólares — un aumento del 51 % con respecto al récord de 1,34 mil millones de dólares de 2024. Esto eleva el total histórico de robos de criptomonedas de la RPDC a aproximadamente 6,75 mil millones de dólares.

Lo que hace que el robo de 2025 sea algo sin precedentes no es solo la cifra en dólares. Es la eficiencia. Los hackers norcoreanos lograron este botín récord a través de un 74 % menos de ataques conocidos que en años anteriores. El Lazarus Group ha evolucionado de ser un actor de amenazas disperso a un instrumento de precisión de guerra financiera.

TRM Labs y Chainalysis verificaron de forma independiente estas cifras, y TRM señaló que el cripto-crimen se ha vuelto "más organizado y profesionalizado" que nunca. Los ataques son más rápidos, están mejor coordinados y son mucho más fáciles de escalar que en ciclos anteriores.

El atraco a Bybit: Una clase magistral en ataques a la cadena de suministro​

El 21 de febrero de 2025, el mundo de las criptomonedas fue testigo del mayor robo individual de su historia. Los hackers drenaron aproximadamente 401.000 ETH — con un valor de 1,5 mil millones de dólares en ese momento — de Bybit, uno de los exchanges de criptomonedas más grandes del mundo.

El ataque no fue una brecha por fuerza bruta ni un exploit de contrato inteligente. Fue un magistral compromiso de la cadena de suministro. El Lazarus Group — operando bajo el alias "TraderTraitor" (también conocido como Jade Sleet y Slow Pisces) — se dirigió a un desarrollador en Safe{Wallet}, el popular proveedor de billeteras multifirma. Al inyectar código malicioso en la interfaz de usuario de la billetera, eludieron por completo las capas de seguridad tradicionales.

En un plazo de 11 días, los hackers habían lavado el 100 % de los fondos robados. El CEO de Bybit, Ben Zhou, reveló a principios de marzo que habían perdido el rastro de casi 300 millones de dólares. El FBI atribuyó oficialmente el ataque a Corea del Norte el 26 de febrero de 2025, pero para entonces, los fondos ya habían desaparecido en protocolos de mezclado y servicios de puentes.

Solo el hackeo de Bybit representó el 74 % del robo de criptomonedas de Corea del Norte en 2025 y demostró una evolución escalofriante en las tácticas. Como señaló la firma de seguridad Hacken, el Lazarus Group mostró "preferencias claras por servicios de lavado de dinero en idioma chino, servicios de puentes y protocolos de mezclado, con un ciclo de lavado de 45 días tras los grandes robos".

El manual de Lazarus: Del phishing a la infiltración profunda​

Las operaciones cibernéticas de Corea del Norte han experimentado una transformación fundamental. Atrás quedaron los días de simples ataques de phishing y compromisos de billeteras calientes (hot wallets). El Lazarus Group ha desarrollado una estrategia múltiple que hace que la detección sea casi imposible.

La estrategia Wagemole​

Quizás la táctica más insidiosa es lo que los investigadores llaman "Wagemole": incrustar trabajadores de TI encubiertos dentro de empresas de criptomonedas en todo el mundo. Bajo identidades falsas o a través de empresas fachada, estos operativos obtienen acceso legítimo a los sistemas corporativos, incluyendo firmas de criptomonedas, custodios y plataformas Web3.

Este enfoque permite a los hackers eludir por completo las defensas perimetrales. No están entrando a la fuerza; ya están dentro.

Explotación impulsada por IA​

En 2025, los grupos patrocinados por el estado comenzaron a utilizar la inteligencia artificial para potenciar cada etapa de sus operaciones. La IA ahora escanea miles de contratos inteligentes en minutos, identifica código explotable y automatiza ataques multi-cadena. Lo que antes requería semanas de análisis manual, ahora toma horas.

El análisis de Coinpedia reveló que los hackers norcoreanos han redefinido el cripto-crimen a través de la integración de IA, haciendo que sus operaciones sean más escalables y difíciles de detectar que nunca.

Suplantación de ejecutivos​

El cambio de exploits puramente técnicos a ataques de factor humano fue una tendencia definitoria de 2025. Las firmas de seguridad señalaron que "las pérdidas atípicas se debieron abrumadoramente a fallos en el control de acceso, no a nuevas matemáticas on-chain". Los hackers pasaron de frontends envenenados y trucos en la interfaz de usuario de multifirmas a la suplantación de ejecutivos y el robo de claves.

Más allá de Bybit: El panorama de los hackeos en 2025​

Si bien Bybit dominó los titulares, las operaciones de Corea del Norte se extendieron mucho más allá de un solo objetivo:

• DMM Bitcoin (Japón): 305 millones de dólares robados, lo que contribuyó al cierre eventual del exchange.
• WazirX (India): 235 millones de dólares drenados del exchange de criptomonedas más grande de la India.
• Upbit (Corea del Sur): 36 millones de dólares incautados mediante la explotación de la infraestructura de firma a finales de 2025.

Estos no fueron incidentes aislados: representaron una campaña coordinada dirigida a exchanges centralizados, plataformas de finanzas descentralizadas y proveedores de billeteras individuales en múltiples jurisdicciones.

Recuentos independientes identificaron más de 300 incidentes de seguridad importantes a lo largo del año, destacando vulnerabilidades sistémicas en todo el ecosistema de las criptomonedas.

La conexión Huione: la máquina de lavado de 4,000 millones de dólares de Camboya​

En el lado del lavado de dinero, la Red de Control de Delitos Financieros del Tesoro de los EE. UU. (FinCEN) identificó un nodo crítico en las operaciones de Corea del Norte: el Grupo Huione, con sede en Camboya.

FinCEN descubrió que el Grupo Huione lavó al menos 4,000 millones de dólares en ganancias ilícitas entre agosto de 2021 y enero de 2025. La firma de blockchain Elliptic estima que la cifra real podría acercarse a los 11,000 millones de dólares.

La investigación del Tesoro reveló que el Grupo Huione procesó 37 millones de dólares vinculados directamente al Grupo Lazarus, incluidos 35 millones de dólares del hackeo de DMM Bitcoin. La empresa trabajó directamente con la Oficina General de Reconocimiento de Corea del Norte, la principal organización de inteligencia exterior de Pyongyang.

Lo que hizo que Huione fuera particularmente peligroso fue su completa falta de controles de cumplimiento. Ninguno de sus tres componentes de negocio — Huione Pay (banca), Huione Guarantee (depósito en garantía) y Huione Crypto (exchange) — había publicado políticas de AML / KYC.

La empresa con las conexiones de la familia gobernante Hun de Camboya, incluido el primo del primer ministro Hun Manet como accionista principal, complicaron los esfuerzos internacionales de aplicación de la ley hasta que EE. UU. actuó para cortar su acceso al sistema financiero estadounidense en mayo de 2025.

La respuesta regulatoria: MiCA, PoR y más allá​

La escala de los robos de 2025 ha acelerado la acción regulatoria en todo el mundo.

Etapa 2 de MiCA en Europa​

La Unión Europea aceleró la "Etapa 2" del reglamento Markets in Crypto-Assets (MiCA), que ahora exige auditorías trimestrales de proveedores de software de terceros para cualquier exchange que opere en la Eurozona. El vector de ataque a la cadena de suministro del hackeo de Bybit impulsó este requisito específico.

Mandatos de Proof-of-Reserves en EE. UU.​

En los Estados Unidos, el enfoque se ha desplazado hacia requisitos obligatorios de Proof-of-Reserves (PoR) en tiempo real. La teoría: si los exchanges deben demostrar sus activos on-chain en tiempo real, las salidas sospechosas se vuelven visibles de inmediato.

Ley de Seguridad Financiera Digital de Corea del Sur​

Tras el hackeo de Upbit, la Comisión de Servicios Financieros de Corea del Sur propuso la "Ley de Seguridad Financiera Digital" en diciembre de 2025. La ley impondría ratios obligatorios de almacenamiento en frío (cold storage), pruebas de penetración rutinarias y un monitoreo mejorado de actividades sospechosas en todos los exchanges de criptomonedas.

Lo que necesitan las defensas de 2026​

La brecha de Bybit forzó un cambio fundamental en la forma en que los exchanges centralizados gestionan la seguridad. Los líderes de la industria han identificado varias actualizaciones críticas para 2026:

Migración a Multi-Party Computation (MPC)​

La mayoría de las plataformas de primer nivel han migrado de los tradicionales multi-sigs de contratos inteligentes a la tecnología Multi-Party Computation. A diferencia de la configuración de Safe{Wallet} explotada en 2025, MPC divide las claves privadas en fragmentos (shards) que nunca existen en una sola ubicación, lo que hace que las técnicas de suplantación de interfaz de usuario (UI-spoofing) e "Ice Phishing" sean casi imposibles de ejecutar.

Estándares de Cold Storage​

Los exchanges de custodia de buena reputación ahora implementan ratios de almacenamiento en frío del 90 - 95 %, manteniendo la gran mayoría de los fondos de los usuarios fuera de línea en módulos de seguridad de hardware (HSM). Las billeteras multifirma requieren que múltiples partes autorizadas aprueben transacciones grandes.

Auditoría de la cadena de suministro​

La lección clave de 2025 es que la seguridad se extiende más allá de la blockchain a todo el stack de software. Los exchanges deben auditar sus relaciones con proveedores con el mismo rigor que aplican a su propio código. El hackeo de Bybit tuvo éxito debido a una infraestructura de terceros comprometida, no a vulnerabilidades del exchange.

Defensa del factor humano​

La capacitación continua sobre intentos de phishing y prácticas seguras de contraseñas se ha vuelto obligatoria, ya que el error humano sigue siendo una de las causas principales de las brechas. Los expertos en seguridad recomiendan ejercicios periódicos de "red and blue team" para identificar debilidades en la gestión de procesos de seguridad.

Actualizaciones resistentes a la computación cuántica​

Mirando más hacia el futuro, la criptografía post-cuántica (PQC) y el hardware asegurado cuánticamente están emergiendo como defensas críticas futuras. El crecimiento proyectado del mercado de billeteras frías (cold wallets) de un 15.2 % CAGR entre 2026 y 2033 refleja la confianza institucional en la evolución de la seguridad.

El camino por delante​

La advertencia final de Chainalysis en su informe de 2025 debería resonar en toda la industria: "El desempeño récord del país en 2025 — logrado con un 74 por ciento menos de ataques conocidos — sugiere que podemos estar viendo solo la parte más visible de sus actividades. El desafío para 2026 será detectar y prevenir estas operaciones de alto impacto antes de que los actores afiliados a la RPDC inflijan otro incidente a la escala de Bybit".

Corea del Norte ha demostrado que los hackers patrocinados por el estado pueden superar las defensas de la industria cuando están motivados por la evasión de sanciones y el financiamiento de armas. El total acumulado de 6,750 millones de dólares no representa solo criptomonedas robadas: representa misiles, programas nucleares y la supervivencia del régimen.

Para la industria de las criptomonedas, 2026 debe ser el año de la transformación de la seguridad. No mejoras incrementales, sino un rediseño fundamental de cómo se almacenan, acceden y transfieren los activos. El Grupo Lazarus ha demostrado que las mejores prácticas de ayer son las vulnerabilidades de hoy.

Lo que está en juego nunca ha sido tan importante.

---

Asegurar la infraestructura de blockchain requiere una vigilancia constante y prácticas de seguridad líderes en la industria. BlockEden.xyz proporciona infraestructura de nodos de grado empresarial con una arquitectura de seguridad de múltiples capas, ayudando a los desarrolladores y empresas a construir sobre bases diseñadas para resistir las amenazas en evolución.

El lavado de dinero con criptomonedas se ha disparado a $82 mil millones en 2025 — un aumento de ocho veces respecto a los$ 10 mil millones de hace solo cinco años. Pero la verdadera historia no es la cifra asombrosa. Es la industrialización del propio crimen financiero. Las redes de lavado profesional ahora procesan $ 44 millones diarios a través de sofisticados mercados basados en Telegram, Corea del Norte ha convertido el robo de cripto en un arma para financiar programas nucleares, y la infraestructura que permite las estafas globales ha crecido 7.325 veces más rápido que la adopción legítima de cripto. La era de los criptocriminales aficionados ha terminado. Hemos entrado en la era del crimen organizado y profesionalizado en la blockchain.

En la víspera de Navidad de 2025, mientras la mayor parte del mundo cripto estaba de vacaciones, unos atacantes lanzaron una actualización maliciosa para la extensión de Chrome de Trust Wallet. En 48 horas, $ 8.5 millones desaparecieron de 2,520 billeteras. Las frases semilla de miles de usuarios habían sido recolectadas silenciosamente, disfrazadas como datos de telemetría de rutina. Pero este no fue un incidente aislado; fue la culminación de un ataque a la cadena de suministro que se había estado extendiendo por el ecosistema de desarrollo cripto durante semanas.

La campaña Shai-Hulud, nombrada en honor a los gusanos de arena de Dune, representa el ataque a la cadena de suministro de npm más agresivo de 2025. Comprometió más de 700 paquetes npm, infectó 27,000 repositorios de GitHub y expuso aproximadamente 14,000 secretos de desarrollador en 487 organizaciones. El daño total: más de $ 58 millones en criptomonedas robadas, lo que lo convierte en uno de los ataques dirigidos a desarrolladores más costosos en la historia de las criptomonedas.

La anatomía de un gusano de la cadena de suministro​

A diferencia del malware típico que requiere que los usuarios descarguen software malicioso, los ataques a la cadena de suministro envenenan las herramientas en las que los desarrolladores ya confían. La campaña Shai-Hulud convirtió en un arma a npm, el gestor de paquetes que impulsa la mayor parte del desarrollo de JavaScript, incluyendo casi todas las billeteras cripto, frontends de DeFi y aplicaciones Web3.

El ataque comenzó en septiembre de 2025 con la primera ola, que resultó en el robo de aproximadamente $ 50 millones en criptomonedas. Pero fue "La Segunda Venida" en noviembre lo que demostró la verdadera sofisticación de la operación. Entre el 21 y el 23 de noviembre, los atacantes comprometieron la infraestructura de desarrollo de proyectos importantes, incluidos Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase y Postman.

El mecanismo de propagación fue elegante y aterrador. Cuando Shai-Hulud infecta un paquete npm legítimo, inyecta dos archivos maliciosos — setup_bun.js y bun_environment.js — activados por un script de preinstalación. A diferencia del malware tradicional que se activa después de la instalación, esta carga útil se ejecuta antes de que se complete la instalación e incluso cuando la instalación falla. Para cuando los desarrolladores se dan cuenta de que algo anda mal, sus credenciales ya han sido robadas.

El gusano identifica otros paquetes mantenidos por desarrolladores comprometidos, inyecta automáticamente código malicioso y publica nuevas versiones comprometidas en el registro de npm. Esta propagación automatizada permitió que el malware se extendiera exponencialmente sin la intervención directa del atacante.

De los secretos del desarrollador a las billeteras de los usuarios​

La conexión entre los paquetes npm comprometidos y el hackeo de Trust Wallet revela cómo los ataques a la cadena de suministro caen en cascada desde los desarrolladores hasta los usuarios finales.

La investigación de Trust Wallet reveló que sus secretos de GitHub para desarrolladores quedaron expuestos durante el brote de Shai-Hulud en noviembre. Esta exposición dio a los atacantes acceso al código fuente de la extensión del navegador y, fundamentalmente, a la clave API de Chrome Web Store. Armados con estas credenciales, los atacantes eludieron por completo el proceso interno de lanzamiento de Trust Wallet.

El 24 de diciembre de 2025, la versión 2.68 de la extensión de Chrome de Trust Wallet apareció en la Chrome Web Store, publicada por los atacantes, no por los desarrolladores de Trust Wallet. El código malicioso fue diseñado para iterar a través de todas las billeteras almacenadas en la extensión y activar una solicitud de frase mnemotécnica para cada billetera. Ya sea que los usuarios se autenticaran con una contraseña o con biometría, sus frases semilla eran exfiltradas silenciosamente a servidores controlados por los atacantes, disfrazadas como datos analíticos legítimos.

Los fondos robados se desglosaron de la siguiente manera: aproximadamente $3 millones en Bitcoin, más de$ 3 millones en Ethereum y cantidades menores en Solana y otros tokens. En pocos días, los atacantes comenzaron a lavar los fondos a través de exchanges centralizados: $3.3 millones a ChangeNOW,$ 340,000 a FixedFloat y $ 447,000 a KuCoin.

El interruptor del hombre muerto (Dead Man's Switch)​

Quizás lo más inquietante es el mecanismo de "interruptor del hombre muerto" del malware Shai-Hulud. Si el gusano no puede autenticarse con GitHub o npm — si sus canales de propagación y exfiltración son cortados — borrará todos los archivos en el directorio principal del usuario.

Esta característica destructiva sirve para múltiples propósitos. Castiga los intentos de detección, crea un caos que oculta las huellas de los atacantes y proporciona una palanca de presión si los defensores intentan cortar la infraestructura de comando y control. Para los desarrolladores que no han mantenido copias de seguridad adecuadas, un intento fallido de limpieza podría resultar en una pérdida catastrófica de datos, además del robo de credenciales.

Los atacantes también demostraron sofisticación psicológica. Cuando Trust Wallet anunció la brecha, los mismos atacantes lanzaron una campaña de phishing explotando el pánico resultante, creando sitios web falsos con la marca Trust Wallet que pedían a los usuarios que ingresaran sus frases semilla de recuperación para la "verificación de la billetera". Algunas víctimas fueron comprometidas dos veces.

La cuestión del infiltrado​

El cofundador de Binance, Changpeng Zhao (CZ), insinuó que el exploit de Trust Wallet fue "muy probablemente" llevado a cabo por un infiltrado o alguien con acceso previo a los permisos de despliegue. El propio análisis de Trust Wallet sugiere que los atacantes podrían haber ganado el control de los dispositivos de los desarrolladores u obtenido permisos de despliegue antes del 8 de diciembre de 2025.

Los investigadores de seguridad han notado patrones que sugieren una posible participación de estados-nación. El momento elegido — la víspera de Navidad — sigue el manual común de las amenazas persistentes avanzadas (APT): atacar durante las vacaciones cuando los equipos de seguridad cuentan con menos personal. La sofisticación técnica y la escala de la campaña Shai-Hulud, combinadas con el rápido lavado de fondos, sugieren recursos que van más allá de las operaciones criminales típicas.

Por qué las extensiones de navegador son excepcionalmente vulnerables​

El incidente de Trust Wallet resalta una vulnerabilidad fundamental en el modelo de seguridad cripto. Las extensiones de navegador operan con privilegios extraordinarios: pueden leer y modificar páginas web, acceder al almacenamiento local y, en el caso de las billeteras cripto, poseer las llaves de millones de dólares.

La superficie de ataque es masiva:

• Mecanismos de actualización: Las extensiones se actualizan automáticamente, y una sola actualización comprometida llega a todos los usuarios.
• Seguridad de las claves API: Las claves API de Chrome Web Store, si se filtran, permiten que cualquiera publique actualizaciones.
• Supuestos de confianza: Los usuarios asumen que las actualizaciones de las tiendas oficiales son seguras.
• Momento de las festividades: El monitoreo de seguridad reducido durante las vacaciones permite un tiempo de permanencia más largo de la amenaza.

Este no es el primer ataque de extensiones de navegador contra usuarios de criptomonedas. Incidentes anteriores incluyen la campaña GlassWorm que tuvo como objetivo las extensiones de VS Code y el fraude de la extensión FoxyWallet en Firefox. Pero la brecha de Trust Wallet fue la mayor en términos de dólares y demostró cómo los compromisos en la cadena de suministro amplifican el impacto de los ataques a las extensiones.

La respuesta de Binance y el precedente de SAFU​

Binance confirmó que los usuarios afectados de Trust Wallet serían reembolsados en su totalidad a través de su Fondo de Activos Seguros para Usuarios (SAFU). Este fondo, establecido tras un hackeo al intercambio en 2018, mantiene una parte de las comisiones de trading en reserva específicamente para cubrir las pérdidas de los usuarios por incidentes de seguridad.

La decisión de reembolsar sienta un precedente importante y plantea una pregunta interesante sobre la asignación de responsabilidades. Trust Wallet se vio comprometido sin culpa directa de los usuarios, quienes simplemente abrieron sus billeteras durante la ventana afectada. Pero la causa raíz fue un ataque a la cadena de suministro que comprometió la infraestructura de los desarrolladores, lo cual a su vez fue posible gracias a vulnerabilidades más amplias del ecosistema en npm.

La respuesta inmediata de Trust Wallet incluyó la expiración de todas las API de lanzamiento para bloquear nuevas versiones durante dos semanas, la denuncia del dominio de exfiltración malicioso a su registrador (lo que resultó en una pronta suspensión) y el lanzamiento de una versión 2.69 limpia. Se aconsejó a los usuarios migrar sus fondos a billeteras nuevas de inmediato si habían desbloqueado la extensión entre el 24 y el 26 de diciembre.

Lecciones para el ecosistema cripto​

La campaña Shai-Hulud expone vulnerabilidades sistémicas que se extienden mucho más allá de Trust Wallet:

Para desarrolladores​

Fije las dependencias explícitamente. La explotación de scripts de preinstalación funciona porque las instalaciones de npm pueden ejecutar código arbitrario. Fijar las versiones a versiones conocidas y limpias evita que las actualizaciones automáticas introduzcan paquetes comprometidos.

Trate los secretos como comprometidos. Cualquier proyecto que haya extraído paquetes de npm entre el 21 de noviembre y diciembre de 2025 debe asumir la exposición de sus credenciales. Esto significa revocar y regenerar tokens de npm, PAT de GitHub, claves SSH y credenciales de proveedores de la nube.

Implemente una gestión de secretos adecuada. Las claves API para infraestructuras críticas, como la publicación en tiendas de aplicaciones, nunca deben almacenarse en el control de versiones, ni siquiera en repositorios privados. Utilice módulos de seguridad de hardware (HSM) o servicios dedicados de gestión de secretos.

Aplique MFA resistente al phishing. La autenticación de dos factores estándar puede ser eludida por atacantes sofisticados. Las llaves de hardware como YubiKeys proporcionan una protección más fuerte para las cuentas de desarrolladores y de CI / CD.

Para usuarios​

Diversifique la infraestructura de sus billeteras. No mantenga todos sus fondos en extensiones de navegador. Las billeteras de hardware proporcionan aislamiento de las vulnerabilidades de software: pueden firmar transacciones sin exponer nunca las frases semilla a navegadores potencialmente comprometidos.

Asuma que las actualizaciones pueden ser maliciosas. El modelo de actualización automática que hace que el software sea conveniente también lo hace vulnerable. Considere deshabilitar las actualizaciones automáticas para extensiones críticas de seguridad y verificar manualmente las nuevas versiones.

Monitoree la actividad de su billetera. Los servicios que alertan sobre transacciones inusuales pueden proporcionar una advertencia temprana de compromiso, limitando potencialmente las pérdidas antes de que los atacantes vacíen billeteras enteras.

Para la industria​

Fortalecer el ecosistema npm. El registro npm es una infraestructura crítica para el desarrollo de Web3, sin embargo, carece de muchas características de seguridad que evitarían la propagación tipo gusano. La firma de código obligatoria, las compilaciones reproducibles y la detección de anomalías para las actualizaciones de paquetes podrían elevar significativamente la vara para los atacantes.

Replanteee la seguridad de las extensiones de navegador. El modelo actual, donde las extensiones se actualizan automáticamente y tienen permisos amplios, es fundamentalmente incompatible con los requisitos de seguridad para custodiar activos significativos. Los entornos de ejecución aislados (sandboxed), las actualizaciones retrasadas con revisión del usuario y la reducción de permisos podrían ayudar.

Coordine la respuesta a incidentes. La campaña Shai-Hulud afectó a cientos de proyectos en todo el ecosistema cripto. Un mejor intercambio de información y una respuesta coordinada podrían haber limitado el daño a medida que se identificaban los paquetes comprometidos.

El futuro de la seguridad de la cadena de suministro en cripto​

La industria de las criptomonedas se ha centrado históricamente en auditorías de contratos inteligentes, almacenamiento en frío de intercambios y protección contra el phishing para el usuario. La campaña Shai-Hulud demuestra que los ataques más peligrosos pueden provenir de herramientas de desarrollo comprometidas, una infraestructura con la que los usuarios de cripto nunca interactúan directamente pero que subyace a cada aplicación que utilizan.

A medida que las aplicaciones Web3 se vuelven más complejas, sus gráficos de dependencia crecen. Cada paquete de npm, cada acción de GitHub, cada integración de CI / CD representa un vector de ataque potencial. La respuesta de la industria a Shai-Hulud determinará si esto se convierte en una llamada de atención única o en el comienzo de una era de ataques a la cadena de suministro en la infraestructura cripto.

Por ahora, los atacantes permanecen sin identificar. Aproximadamente 2.8 millones de dólares de los fondos robados de Trust Wallet permanecen en las billeteras de los atacantes, mientras que el resto ha sido lavado a través de intercambios centralizados y puentes entre cadenas (cross-chain bridges). Los más de 50 millones de dólares en robos anteriores de la campaña Shai-Hulud han desaparecido en gran medida en las profundidades seudónimas de la blockchain.

El gusano de arena se ha enterrado profundamente en los cimientos de las criptomonedas. Erradicarlo requerirá replantear los supuestos de seguridad que la industria ha dado por sentados desde sus inicios.

---

La creación de aplicaciones Web3 seguras requiere una infraestructura robusta. BlockEden.xyz proporciona nodos RPC y APIs de nivel empresarial con monitoreo incorporado y detección de anomalías, ayudando a los desarrolladores a identificar actividades inusuales antes de que afecten a los usuarios. Explore nuestro mercado de APIs para construir sobre bases enfocadas en la seguridad.

Los compromisos de billeteras individuales aumentaron a 158.000 incidentes que afectaron a 80.000 víctimas únicas en 2025, lo que resultó en $ 713 millones robados únicamente de billeteras personales. No se trata de un hackeo a un exchange o de una vulnerabilidad en un protocolo; se trata de usuarios comunes de criptomonedas que pierden sus ahorros ante atacantes que han evolucionado mucho más allá de los simples correos electrónicos de phishing. Los compromisos de billeteras personales representan ahora el 37 % de todo el valor robado en criptomonedas, frente a solo el 7,3 % en 2022. El mensaje es claro: si posee criptomonedas, es un objetivo, y las estrategias de protección del pasado ya no son suficientes.

Tan solo en la primera mitad de 2025, los atacantes drenaron más de $2.3 mil millones de protocolos cripto —más que todo el 2024 combinado—. Las vulnerabilidades de control de acceso representaron por sí solas $1.6 mil millones de esa carnicería. El hackeo de Bybit en febrero de 2025, un ataque a la cadena de suministro de $1.4 mil millones, demostró que incluso los exchanges más grandes siguen siendo vulnerables. Al entrar en 2026, la industria de auditoría de contratos inteligentes se enfrenta a su momento más crítico: evolucionar o ver cómo miles de millones más desaparecen en las carteras de los atacantes.

El 21 de febrero de 2025, hackers norcoreanos robaron $ 1,5 mil millones en criptomonedas del exchange Bybit, con sede en Dubái, en aproximadamente 30 minutos. No fue solo el mayor atraco de criptomonedas de la historia; si Bybit fuera un banco, se clasificaría como el mayor robo bancario jamás registrado por el Guinness World Records.

El ataque no explotó un error en un contrato inteligente ni forzó una clave privada por fuerza bruta. En su lugar, los hackers comprometieron la computadora portátil de un solo desarrollador en un proveedor de billeteras de terceros, esperaron pacientemente durante semanas y atacaron cuando los empleados de Bybit estaban aprobando lo que parecía una transferencia interna rutinaria. Para cuando alguien se dio cuenta de que algo andaba mal, 500.000 ETH se habían desvanecido en un laberinto de billeteras controladas por el Lazarus Group de Corea del Norte.

Esta es la historia de cómo sucedió, por qué es importante y qué revela sobre el estado de la seguridad cripto en 2025.

El ataque: Una clase magistral de paciencia y precisión​

El hackeo de Bybit no fue un robo improvisado. Fue una operación quirúrgica que se desarrolló durante semanas.

Fase 1: Comprometer al desarrollador​

El 4 de febrero de 2025, un desarrollador de Safe{Wallet} — una plataforma de billetera multifirma ampliamente utilizada en la que Bybit confiaba para asegurar grandes transferencias — descargó lo que parecía ser un proyecto legítimo de Docker llamado "MC-Based-Stock-Invest-Simulator-main". Es probable que el archivo llegara a través de un ataque de ingeniería social, posiblemente disfrazado como una oportunidad laboral o una herramienta de inversión.

El contenedor de Docker malicioso estableció inmediatamente una conexión con un servidor controlado por el atacante. Desde allí, los hackers extrajeron tokens de sesión de AWS de la estación de trabajo del desarrollador — las credenciales temporales que otorgan acceso a la infraestructura en la nube de Safe{Wallet}.

Con estos tokens, los atacantes eludieron por completo la autenticación de múltiples factores. Ahora tenían las llaves del reino de Safe{Wallet}.

Fase 2: El código latente​

En lugar de actuar de inmediato, los atacantes inyectaron un código JavaScript sutil en la interfaz web de Safe{Wallet}. Este código fue diseñado específicamente para Bybit; permanecería latente hasta detectar que un empleado de Bybit había abierto su cuenta de Safe y estaba a punto de autorizar una transacción.

La sofisticación aquí es notable. Toda la aplicación Safe{Wallet} funcionaba normalmente para todos los demás usuarios. Solo Bybit era el objetivo.

Fase 3: El atraco​

El 21 de febrero de 2025, los empleados de Bybit iniciaron lo que debería haber sido una transferencia rutinaria desde una cold wallet (almacenamiento seguro fuera de línea) a una warm wallet (para trading activo). Esto requería múltiples firmas de personal autorizado, una práctica de seguridad estándar llamada multisig.

Cuando los firmantes abrieron Safe{Wallet} para aprobar la transacción, la interfaz mostraba lo que parecía ser la dirección de destino correcta. Pero el código malicioso ya había intercambiado el comando por uno diferente. Los empleados aprobaron sin saberlo una transacción que vació toda la cold wallet de Bybit.

En cuestión de minutos, 500.000 ETH — con un valor aproximado de $ 1,5 mil millones — fluyeron hacia direcciones controladas por los atacantes.

El exploit técnico: Delegatecall​

La vulnerabilidad clave fue la función delegatecall de Ethereum, que permite que un contrato inteligente ejecute el código de otro contrato dentro de su propio contexto de almacenamiento. Los atacantes engañaron a los firmantes de Bybit para que cambiaran la lógica del contrato de su billetera a una versión maliciosa, otorgando efectivamente el control total a los hackers.

Esto no fue un error en Ethereum ni en el protocolo central de Safe{Wallet}. Fue un ataque a la capa humana: el momento en que empleados de confianza verifican y aprueban transacciones.

Lazarus Group de Corea del Norte: Los hackers más rentables del mundo​

A las 24 horas del ataque, el investigador de blockchain ZachXBT presentó pruebas a Arkham Intelligence que conectaban definitivamente el hackeo con el Lazarus Group de Corea del Norte. El FBI confirmó esta atribución el 26 de febrero de 2025.

Lazarus Group — también conocido como TraderTraitor y APT38 — opera bajo la Oficina General de Reconocimiento de Corea del Norte. No es una banda criminal que busca beneficios para el enriquecimiento personal. Es una operación patrocinada por el estado cuyos ingresos financian los programas de armas nucleares y misiles balísticos de Corea del Norte.

Las cifras son asombrosas:

• Solo en 2025: Los hackers norcoreanos robaron $ 2,02 mil millones en criptomonedas
• La parte de Bybit: $ 1,5 mil millones (el 74% de la recaudación de Corea del Norte en 2025 de un solo ataque)
• Desde 2017: Corea del Norte ha robado más de $ 6,75 mil millones en criptoactivos
• 2025 frente a 2024: Aumento del 51% interanual en el valor robado

Corea del Norte representó el 59% de todas las criptomonedas robadas a nivel mundial en 2025 y el 76% de todos los compromisos de exchanges. Ningún otro actor de amenazas se le acerca.

La industrialización del robo de cripto​

Lo que diferencia a Corea del Norte no es solo la escala, sino la sofisticación de su operación.

Ingeniería social sobre exploits técnicos​

La mayoría de los principales hackeos de 2025 se perpetraron a través de la ingeniería social en lugar de vulnerabilidades técnicas. Esto representa un cambio fundamental. Los hackers ya no buscan principalmente errores en contratos inteligentes o debilidades criptográficas. Están apuntando a las personas.

Operativos del Lazarus Group se han infiltrado como trabajadores de TI dentro de empresas cripto. Se han hecho pasar por ejecutivos. Han enviado ofertas de trabajo que contienen malware a desarrolladores. El ataque a Bybit comenzó con un desarrollador descargando un simulador de comercio de acciones falso: un vector clásico de ingeniería social.

La Lavandería China​

Robar criptomonedas es solo la mitad del desafío. Convertirlas en fondos utilizables sin ser capturado es igual de complejo.

En lugar de retirar el efectivo directamente, Corea del Norte ha subcontratado el lavado de dinero a lo que los investigadores llaman la "Lavandería China": una extensa red de banqueros clandestinos, brokers OTC e intermediarios de lavado basados en el comercio. Estos actores lavan activos robados a través de diferentes cadenas, jurisdicciones y rieles de pago.

Para el 20 de marzo de 2025 — menos de un mes después del hackeo de Bybit — el CEO Ben Zhou informó que los hackers ya habían convertido el 86.29 % del ETH robado a Bitcoin a través de múltiples billeteras intermediarias, exchanges descentralizados y puentes cross-chain. El ciclo de lavado de 45 días tras los grandes robos se ha convertido en un patrón predecible.

A pesar de estos esfuerzos, Zhou señaló que el 88.87 % de los activos robados seguían siendo rastreables. Pero "rastreable" no significa "recuperable". Los fondos fluyen a través de jurisdicciones que no tienen una relación de cooperación con las fuerzas del orden de los EE. UU. o internacionales.

Respuesta de Bybit: Gestión de Crisis Bajo Fuego​

A los 30 minutos de descubrir la brecha, el CEO Ben Zhou tomó el mando y comenzó a proporcionar actualizaciones en tiempo real en X (anteriormente Twitter). Su mensaje fue contundente: "Bybit es solvente incluso si esta pérdida por el hackeo no se recupera; todos los activos de los clientes están respaldados 1 a 1, podemos cubrir la pérdida".

El exchange procesó más de 350,000 solicitudes de retiro en 12 horas, una señal para los usuarios de que, a pesar de la pérdida catastrófica, las operaciones continuarían normalmente.

Financiamiento de Emergencia​

En un plazo de 72 horas, Bybit había repuesto sus reservas al asegurar 447,000 ETH a través de financiamiento de emergencia de socios como Galaxy Digital, FalconX y Wintermute. Bitget prestó 40,000 ETH para garantizar que los retiros continuaran sin interrupciones, un préstamo que Bybit reembolsó en tres días.

La empresa de ciberseguridad Hacken realizó una auditoría de prueba de reservas que confirmó que los principales activos de Bybit estaban respaldados por más del 100 % de colateral. La transparencia no tuvo precedentes para una crisis de esta magnitud.

El Programa de Recompensas​

Zhou declaró la "guerra contra Lazarus" y lanzó un programa global de recompensas (bounty) que ofrecía hasta un 10 % de recompensa por información que condujera al congelamiento de activos. Para finales de año, Bybit había pagado $ 2.18 millones en USDT a colaboradores que ayudaron a rastrear o recuperar fondos.

El Veredicto del Mercado​

Para finales de 2025, Bybit había superado los 80 millones de usuarios a nivel mundial, registró $ 7.1 mil millones en volumen de operaciones diarias y ocupó el quinto lugar entre los exchanges de criptomonedas spot. La respuesta a la crisis se había convertido en un caso de estudio sobre cómo sobrevivir a un hackeo catastrófico.

2025: El Año en que el Robo de Criptomonedas Alcanzó los $ 3.4 mil millones​

El hackeo de Bybit dominó los titulares, pero fue parte de un patrón más amplio. El robo total de criptomonedas alcanzó los $ 3.4 mil millones en 2025, un nuevo récord y el tercer año consecutivo de aumentos.

Estadísticas clave:

• 2023: $ 2 mil millones robados
• 2024: $ 2.2 mil millones robados
• 2025: $ 3.4 mil millones robados

La participación de Corea del Norte creció de aproximadamente la mitad a casi el 60 % de todos los robos de criptomonedas. La RPDC logró robos más grandes con menos incidentes, demostrando una eficiencia y sofisticación crecientes.

Lecciones Aprendidas: Dónde Falló la Seguridad​

El hackeo de Bybit expuso vulnerabilidades críticas que se extienden mucho más allá de un solo exchange.

El Riesgo de Terceros es Existencial​

Bybit no tuvo una falla de seguridad; la tuvo Safe{Wallet}. Pero Bybit sufrió las consecuencias.

La industria cripto ha construido cadenas de dependencia complejas donde los exchanges dependen de proveedores de billeteras, los proveedores de billeteras dependen de la infraestructura en la nube y la infraestructura en la nube depende de las estaciones de trabajo de los desarrolladores individuales. Un compromiso en cualquier punto de esta cadena puede desencadenar una cascada catastrófica.

El Almacenamiento en Frío No es Suficiente​

La industria ha tratado durante mucho tiempo a las billeteras frías (cold wallets) como el estándar de oro de la seguridad. Pero los fondos de Bybit estaban en almacenamiento en frío cuando fueron robados. La vulnerabilidad estaba en el proceso de moverlos: el paso de aprobación humana que la multifirma (multisig) fue diseñada para proteger.

Cuando las transferencias se vuelven rutinarias, los firmantes desarrollan una falsa sensación de seguridad, tratando las aprobaciones como formalidades en lugar de decisiones de seguridad críticas. El ataque a Bybit explotó exactamente este patrón de comportamiento.

La UI es un Punto Único de Falla​

La seguridad multisig asume que los firmantes pueden verificar lo que están aprobando. Pero si la interfaz que muestra los detalles de la transacción está comprometida, la verificación pierde su sentido. Los atacantes mostraron a los firmantes una cosa mientras ejecutaban otra.

Las simulaciones de pre-firma — que permiten a los empleados visualizar el destino real de una transacción antes de la aprobación — podrían haber evitado este ataque. También podrían haberlo hecho los retrasos para retiros grandes, otorgando tiempo para una revisión adicional.

La Ingeniería Social Supera a la Seguridad Técnica​

Se puede tener la seguridad criptográfica más sofisticada del mundo, y un solo empleado que descargue el archivo incorrecto puede saltarse todo. El punto débil en la seguridad de las criptomonedas es cada vez más humano, no técnico.

Implicaciones Regulatorias y de la Industria​

El hackeo de Bybit ya está remodelando el panorama regulatorio.

Se esperan requisitos obligatorios para:

• Módulos de seguridad de hardware (HSMs) para la gestión de claves
• Monitoreo de transacciones en tiempo real y detección de anomalías
• Auditorías de seguridad periódicas realizadas por terceros
• Marcos de AML mejorados y retrasos en las transacciones para transferencias grandes

La seguridad y el cumplimiento se están convirtiendo en umbrales para el acceso al mercado. Los proyectos que no puedan demostrar una sólida gestión de claves, diseño de permisos y marcos de seguridad creíbles se verán aislados de los socios bancarios y los usuarios institucionales.

Lo que esto significa para la industria​

El hackeo de Bybit revela una verdad incómoda: el modelo de seguridad de las criptomonedas es tan fuerte como su eslabón operativo más débil.

La industria ha invertido fuertemente en seguridad criptográfica: pruebas de conocimiento cero, firmas de umbral y enclaves seguros. Pero la criptografía más sofisticada es irrelevante si un atacante puede engañar a un humano para que apruebe una transacción maliciosa.

Para los exchanges, el mensaje es claro: la innovación en seguridad debe extenderse más allá de la tecnología para abarcar los procesos operativos, la gestión de riesgos de terceros y la capacitación continua de los empleados. Las auditorías periódicas, el intercambio colaborativo de inteligencia sobre amenazas y la planificación de respuesta a incidentes ya no son opcionales.

Para los usuarios, la lección es igualmente cruda: incluso los exchanges más grandes con la seguridad más sofisticada pueden verse comprometidos. La autocustodia, las billeteras de hardware y el almacenamiento de activos distribuidos siguen siendo las estrategias a largo plazo más seguras — incluso si son menos convenientes.

Conclusión​

El Lazarus Group de Corea del Norte ha industrializado el robo de criptomonedas. Han robado más de $ 6.75 mil millones desde 2017, y el 2025 marca su año más exitoso hasta la fecha. Solo el hackeo de Bybit — $ 1.5 mil millones en una sola operación — demuestra capacidades que despertarían la envidia de cualquier agencia de inteligencia.

La industria cripto se encuentra en una carrera armamentista con hackers patrocinados por el estado que tienen una paciencia ilimitada, capacidades técnicas sofisticadas y ningún temor a las consecuencias. El ataque a Bybit tuvo éxito no por un exploit novedoso, sino porque los atacantes entendieron que los humanos, y no el código, son el eslabón más débil.

Hasta que la industria trate la seguridad operativa con el mismo rigor que aplica a la seguridad criptográfica, estos ataques continuarán. La pregunta no es si ocurrirá otro hackeo de mil millones de dólares — es cuándo, y si el objetivo responderá de manera tan efectiva como lo hizo Bybit.

---

Este artículo es solo para fines educativos y no debe considerarse asesoramiento financiero. Realice siempre su propia investigación y priorice la seguridad al interactuar con exchanges y billeteras de criptomonedas.