31 publicaciones etiquetados con "Ciberseguridad"

Un exploit de contrato inteligente funcional ahora cuesta alrededor de $1.22 en créditos de API para ser generado. Esa cifra única, revelada por el equipo rojo de Anthropic a finales de 2025 y reforzada por un generador de exploits académico que extrajo hasta $8.59 millones por ataque, es el trasfondo de la advertencia que el CTO de Ledger, Charles Guillemet, emitió el 5 de abril de 2026: la inteligencia artificial no está rompiendo la criptografía. Está rompiendo la economía de la seguridad cripto, y las defensas tradicionales de la industria nunca fueron valoradas para este régimen.

Si 2024 fue el año en que la IA reescribió cómo los desarrolladores envían código, 2026 es el año en que reescribió cómo los atacantes envían exploits. La asimetría se ha invertido tan rápido que incluso las firmas que han pasado una década construyendo carteras de hardware (hardware wallets) se preguntan ahora si todo el modelo de confianza necesita una reescritura.

Lo que Guillemet dijo realmente​

Al hablar públicamente a principios de abril, Guillemet —director de tecnología en Ledger y veterano investigador de seguridad de hardware— planteó una tesis incómoda. La curva del costo por ataque para el sector cripto se está colapsando porque los modelos de lenguaje de gran tamaño (LLM) son lo suficientemente competentes como para realizar las partes más difíciles del trabajo de un atacante: leer Solidity desconocido, razonar sobre máquinas de estado, generar transacciones de exploit plausibles e iterar contra bifurcaciones (forks) en cadena hasta que algo funcione.

Su enfoque fue deliberadamente económico. La criptografía no es más débil hoy de lo que era en 2024. Las funciones hash siguen procesando hashes. Las curvas elípticas siguen siendo curvas. Lo que cambió es que el aporte de mano de obra detrás de un ataque exitoso —el ojo del auditor sénior, los meses de paciente ingeniería inversa— se ha comprimido en una línea de presupuesto que cabe dentro de una sola factura de Anthropic o OpenAI. "Vamos a producir una gran cantidad de código que será inseguro por diseño", advirtió Guillemet, señalando el efecto de segundo orden de los desarrolladores que envían Solidity generado por IA más rápido de lo que los revisores pueden leerlo.

La cifra de Ledger para las pérdidas del año pasado se sitúa en aproximadamente $1.4 mil millones en hackeos y exploits directamente atribuibles, con totales de estafas y fraudes más amplios que alcanzan cifras mucho mayores dependiendo de la contabilidad que se acepte. Chainalysis situó la cifra total de fondos robados en 2025 en $3.4 mil millones. La retrospectiva de CoinDesk de enero de 2026 estimó el universo más amplio de estafas y suplantación de identidad en hasta $17 mil millones. Sea cual sea la cifra en la que confíe, la línea de tendencia va en la dirección equivocada, y el argumento de Guillemet es que la trayectoria tiene ahora forma de IA.

El número de Anthropic que cambió la conversación​

En diciembre de 2025, el propio equipo rojo de Anthropic publicó los resultados de SCONE-bench —una evaluación comparativa de 405 contratos inteligentes que fueron explotados realmente entre 2020 y 2025. La estadística principal fue contundente. En los 405 problemas, los modelos de frontera modernos produjeron exploits llave en mano para 207 de ellos, una tasa de éxito del 51.11%, totalizando $550.1 millones en valor robado simulado.

De manera más inquietante, cuando se apuntó a esos mismos agentes hacia 2,849 contratos recién desplegados que no tenían vulnerabilidades conocidas, tanto Claude Sonnet 4.5 como GPT-5 sacaron a la luz dos "zero-days" genuinos y produjeron exploits funcionales por valor de $3,694, a un costo de API de aproximadamente $3,476. Esa relación apenas alcanza el punto de equilibrio en el papel, pero desmantela la suposición de que el descubrimiento de zero-days requiere un equipo humano.

El trabajo académico independiente cuenta la misma historia desde el otro lado. El sistema "A1", publicado en arxiv en 2025 y actualizado hasta principios de 2026, empaqueta cualquier LLM con seis herramientas específicas del dominio —desensambladores de bytecode, ejecutores de forks, rastreadores de saldo, perfiladores de gas, suplantadores de oráculos y mutadores de estado— y lo apunta a un contrato objetivo. A1 alcanzó una tasa de éxito del 62.96% en el conjunto de datos de exploits VERITE, superando la línea de base de fuzzing anterior (ItyFuzz, 37.03%) por un margen enorme. Los costos por intento oscilaron entre $0.01 y $3.59. El mayor pago individual que modeló fue de $8.59 millones.

Estos no son números teóricos. Son el costo de entrada de un exploit. Y una vez que ese costo de entrada alcanza el precio de una comida rápida, la pregunta deja de ser "¿pueden los atacantes costear esto?" y pasa a ser "¿pueden los defensores permitirse pasar algo por alto?".

El desajuste de rendimiento de 1000:1​

Aquí está la parte del panorama que las firmas de auditoría todavía luchan por articular. Los auditores cobran por contrato. Revisan una base de código a la vez, a menudo durante semanas, y su conjunto de herramientas de IA —cuando las usan— se acopla a un flujo de trabajo con humanos en el proceso y facturas que enviar. Los atacantes, por el contrario, pueden alquilar los mismos modelos, apuntarlos a miles de contratos en paralelo y solo pagar cuando algo funciona.

Un artículo de Frontiers in Blockchain de principios de 2026 capturó la asimetría en una sola línea: un atacante obtiene beneficios con aproximadamente $6,000 en valor extraíble, mientras que el punto de equilibrio de un defensor está más cerca de los $60,000. La brecha de 10x no se debe a que la defensa sea técnicamente más difícil; es porque la defensa tiene que ser completa, y el ataque solo tiene que ser correcto una vez.

Sume eso al desajuste de volumen —llamémoslo 1000:1 entre los contratos que un atacante puede escanear y los contratos que una firma de auditoría puede revisar— y se llega a la conclusión de Guillemet casi mecánicamente. Ningún presupuesto de auditoría puede cerrar esta brecha. La economía simplemente no funciona.

Lo que los grandes éxitos de 2026 ya nos dicen​

Los hacks que realmente han ocurrido en 2026 no se presentan todos como historias de "exploits de IA" a simple vista. Las dos mayores pérdidas del año hasta ahora son recordatorios aleccionadores de que las herramientas de ataque asistidas por LLM se construyen sobre técnicas más antiguas y aburridas.

El 1 de abril de 2026, Drift Protocol en Solana perdió 285 millones de dólares — más de la mitad de su TVL — en un ataque que tanto TRM Labs como Elliptic atribuyeron al Lazarus Group de Corea del Norte. El mecanismo fue la ingeniería social, no un bug de Solidity. Los atacantes pasaron meses entablando relaciones con el equipo de Drift, y luego abusaron de la función de "nonce duradero" de Solana para conseguir que los miembros del Consejo de Seguridad firmaran previamente transacciones cuyo efecto no comprendían. Una vez que cambió el control administrativo, los atacantes añadieron a la lista blanca un token sin valor (CVT) como colateral y lo utilizaron para drenar USDC, SOL y ETH reales.

Dieciocho días después, Kelp DAO sufrió un golpe de 292 millones de dólares a través de su puente impulsado por LayerZero — que ahora es el mayor exploit de DeFi de 2026. El atacante convenció a la capa de mensajería cross-chain de LayerZero de que había llegado una instrucción válida desde otra red, y el puente de Kelp liberó debidamente 116,500 rsETH a una dirección controlada por el atacante. De nuevo Lazarus, según la mayoría de las atribuciones.

¿Qué tiene esto que ver con la IA? Dos cosas. Primero, el reconocimiento que hace posible la ingeniería social de "larga cola" (long-tail) — el mapeo de perfiles, el ajuste del tono del mensaje, la elección del momento adecuado en el calendario de un objetivo — es exactamente en lo que los LLM son buenos. El pronóstico de CertiK para 2026 ya señala al phishing, los deepfakes y el compromiso de la cadena de suministro como los vectores de ataque dominantes para el año, y observa un salto del 207% en las pérdidas por phishing solo de diciembre de 2025 a enero de 2026. Segundo, la IA reduce la barrera para las operaciones en paralelo: donde un equipo del nivel de Lazarus podía ejecutar unas pocas campañas a la vez en 2024, las herramientas de IA permiten que un equipo mucho más pequeño ejecute docenas.

Un recordatorio de lo granular que puede llegar a ser esto ocurrió en abril de 2026 cuando Zerion, una popular aplicación de billetera, reveló que los atacantes utilizaron ingeniería social impulsada por IA para drenar aproximadamente 100,000 dólares de sus hot wallets. La cifra es pequeña para los estándares de 2026. La técnica — la IA generando el guion de suplantación, la IA generando la página de soporte falsa, la IA generando el correo electrónico de phishing — es de lo que advierte Guillemet.

Por qué "auditar con más fuerza" no es una respuesta​

La respuesta instintiva de la industria es financiar más auditorías. Esa respuesta no percibe la forma del problema.

Las auditorías escalan linealmente con las horas de los auditores. Los ataques ahora escalan con créditos de API. Incluso si cada firma de auditoría de primer nivel duplicara su personal mañana, la superficie de ataque del atacante seguiría creciendo 10 veces más rápido, porque cualquier persona con una clave de API y una comprensión básica de Solidity puede ahora ejecutar escaneos ofensivos continuos en todo el universo de contratos desplegados.

Peor aún, las auditorías revisan el código en un momento dado. El código generado por IA se envía continuamente, y la advertencia de "inseguro por diseño" de Guillemet sugiere que la tasa de introducción de errores está subiendo, no bajando. Un estudio de 2026 citado por la comunidad de seguridad de blockchain encontró que la autoría de Solidity asistida por LLM se correlaciona con errores sutiles de reentrada y de control de acceso que los revisores humanos, fatigados por leer código formateado por máquinas, pasan por alto en tasas más altas que los mismos errores en código escrito por humanos.

El planteamiento honesto es que las auditorías siguen siendo necesarias pero no suficientes. La respuesta real que impulsa Guillemet — y de la que se hace eco el propio equipo de red team de Anthropic — es estructural.

El stack defensivo que realmente sobrevive a esto​

Tres categorías de defensa escalan plausiblemente contra la ofensiva acelerada por IA, y las tres son incómodas para la parte de la industria que se ha optimizado para la velocidad de envío.

Verificación formal. Herramientas como Certora, Halmos y, cada vez más, los stacks de verificación incluidos en Move (Sui, Aptos) y Cairo (Starknet) tratan la corrección como un problema matemático en lugar de un problema de revisión. Si una propiedad se demuestra, ninguna cantidad de fuzzing de IA puede romperla. La contrapartida es el esfuerzo de ingeniería: escribir invariantes significativos es difícil, lento e implacable. Pero es una de las pocas defensas cuyo costo no escala con el cómputo del atacante.

Raíces de confianza de hardware. La propia línea de productos de Ledger es el ejemplo obvio, pero la categoría más amplia incluye enclaves seguros, custodia MPC y primitivas emergentes de atestación de conocimiento cero (zero-knowledge). El principio es el mismo: tomar la acción más trascendental — firmar una transacción — y forzarla a través de un sustrato al que una campaña de phishing impulsada por LLM no pueda llegar. El planteamiento de Guillemet de "asumir que los sistemas pueden fallar y fallarán" es esencialmente un argumento para trasladar la autoridad de firma fuera de las computadoras de propósito general.

Defensa de IA contra IA. El artículo de Anthropic de diciembre de 2025 defiende que los mismos agentes capaces de generar exploits deberían desplegarse para generar parches. En la práctica, esto significa un monitoreo continuo impulsado por IA de las mempools, los contratos desplegados y el comportamiento de las claves de administrador, señalando anomalías de la misma manera que lo hacen los sistemas de detección de fraude para la banca tradicional. La economía es imperfecta (los costos del defensor siguen siendo más altos que los del atacante), pero al menos sitúan a ambas partes en la misma curva de cómputo.

El patrón en los tres casos es el mismo: dejar de confiar en los humanos en el proceso para las partes rápidas de la seguridad, y reservar el juicio humano para las partes estructurales lentas y costosas.

Lo que esto significa para los desarrolladores en este momento​

Para los equipos que lancen productos en 2026, la advertencia de Guillemet se traduce en algunos cambios concretos:

• Trate el código generado por IA como no confiable por defecto. Sométalo a una verificación formal o a pruebas basadas en propiedades antes de que llegue a la mainnet, independientemente de qué tan limpio parezca.
• Mueva las claves de administrador a hardware. El esquema multi-sig con firmantes "hot" ya no es una postura de seguridad aceptable para contratos de nivel de tesorería; el incidente de Drift demostró que incluso los miembros del equipo "confiables" pueden ser manipulados mediante ingeniería social para pre-firmar transacciones destructivas.
• Asuma que su superficie de phishing es mayor que su superficie de código. El drenado de Zerion ($100K) y el salto generalizado del 207 % en el phishing sugieren que el dólar más barato del atacante todavía apunta a los humanos, no a Solidity.
• Presupueste para un monitoreo continuo y automatizado. Una cadencia de auditoría semanal no es una defensa contra un atacante que ejecuta herramientas de nivel SCONE-bench las 24 horas del día, los 7 días de la semana.

Ninguna de estas son ideas nuevas. Lo que cambió es la curva de urgencia. En la era previa a los LLM, una organización podía sobrevivir a fallos en cualquiera de estas áreas si las demás eran sólidas. En 2026, la asimetría de costos es demasiado pronunciada para ese tipo de descuido.

La lectura honesta​

Es tentador leer la advertencia de Guillemet como si Ledger estuviera barriendo para casa — un proveedor de monederos de hardware naturalmente aboga por el hardware. Esa lectura sería un error. El mismo argumento está siendo planteado de manera independiente por el red team de Anthropic, por grupos académicos detrás de A1 y SCONE-bench, por el pronóstico de CertiK para 2026 y por empresas de análisis on-chain que observan los totales mensuales de hackeos. El consenso de la industria está convergiendo en un solo punto: el costo de un exploit competente ha disminuido en uno o dos órdenes de magnitud, y el stack defensivo debe evolucionar en consecuencia.

Lo que es genuinamente nuevo es que este es el primer gran cambio asimétrico en la seguridad cripto desde la ola de demanda de auditorías del verano DeFi de principios de 2020. Esa ola produjo una generación de firmas de auditoría, plataformas de bug-bounty y startups de verificación formal. La ola de 2026 producirá algo más: infraestructura continua monitoreada por IA, firma basada en hardware como estándar y un escepticismo mucho más severo ante cualquier contrato cuyo modelo de seguridad aún dependa de "lo detectaremos en la revisión".

La cifra de $1.22 de Guillemet — incluso si esa cifra exacta fuera de Anthropic y no de Ledger — es el tipo de estadística que pone fin a una era. La era que termina es aquella en la que la mano de obra del atacante era el cuello de botella. La era que comienza es aquella en la que el cuello de botella es cualquier cosa que el defensor no haya automatizado todavía.

BlockEden.xyz opera infraestructura de RPC e indexación de blockchain en Sui, Aptos, Ethereum, Solana y más de 20 redes adicionales, con monitoreo de anomalías asistido por IA integrado en la ruta de las solicitudes. Si está reconstruyendo su postura de seguridad para el panorama de amenazas post-LLM, explore nuestros servicios de infraestructura o contáctenos para hablar sobre el monitoreo continuo de su protocolo.

Fuentes​

• La IA está rompiendo la seguridad cripto al hacer que los hackeos sean más baratos y fáciles, advierte el CTO de Ledger — CoinDesk
• Contratos inteligentes — red.anthropic.com
• Los agentes de IA gastan solo $1.22 para destrozar la seguridad de los contratos inteligentes — CryptoSlate
• Generación de exploits de contratos inteligentes por agentes de IA (A1) — arxiv.org
• El robo de criptomonedas en 2025 alcanza los $3.4 mil millones — Chainalysis
• Los hackeos cripto alcanzaron los $17 mil millones en 2025 — CoinDesk
• Hackeo del protocolo Drift: Cómo el acceso privilegiado llevó a una pérdida de $285 millones — Chainalysis
• Hackers norcoreanos atacan el protocolo Drift — TRM Labs
• Kelp DAO explotado por $292 millones — CoinDesk
• Phishing y Deepfakes impulsarán los mayores hackeos cripto de 2026 — Cointelegraph
• La IA Mythos de Anthropic está exponiendo las grietas ocultas en los cimientos de las cripto — CoinDesk

En una sola semana de abril de 2026, dos incidentes de SaaS aparentemente no relacionados chocaron de una manera que debería restablecer el modelo de amenazas de cada equipo de Web3. Vercel — la plataforma de despliegue bajo miles de interfaces de usuario de carteras y frontends de dApps — reveló que un atacante se había infiltrado en su entorno a través de una herramienta de productividad de IA comprometida llamada Context.ai. Días después, la plataforma de vibe-coding Lovable fue sorprendida filtrando código fuente, credenciales de bases de datos e historiales de chat de IA en miles de proyectos anteriores a noviembre de 2025 a través de un error de autorización no corregido. Las dos historias no comparten infraestructura común. Comparten algo peor: el mismo patrón de explosión, donde las herramientas de IA se convirtieron silenciosamente en identidades privilegiadas dentro de la cadena de herramientas de desarrollo — y Web3 heredó el riesgo sin haberlo valorado nunca.

Auditorías de contratos inteligentes, gobernanza multisig, firma con carteras de hardware — ninguna de estas defensas se encuentra en el camino que toma un atacante cuando compromete la canalización de construcción que entrega la interfaz de usuario de aprobación de transacciones de sus usuarios. Abril de 2026 hizo visible esa brecha. Si la industria lo trata como una llamada de atención o como otra pérdida absorbida depende de cómo se vea el próximo trimestre.

Cuando los investigadores de seguridad publicaron el recuento final de 2025, el número que dejó a todos atónitos no fueron los récord $3.35 mil millones en pérdidas totales de Web3 — fue cómo se robó ese dinero. Por primera vez, los ataques a la cadena de suministro de software reclamaron el primer puesto como el vector de ataque más destructivo, representando $1.45 mil millones en pérdidas en solo dos incidentes. Contratos inteligentes, préstamos flash, manipulación de oráculos — los exploits clásicos de Web3 — no se acercaron. El campo de batalla se ha desplazado, y la mayor parte de la industria todavía está peleando la última guerra.

Por primera vez en la historia de los EE. UU., el Departamento del Tesoro está tratando a las empresas de criptomonedas de la misma manera que a los bancos — al menos en lo que respecta a quién puede ver las amenazas entrantes. El 10 de abril de 2026, la Oficina de Ciberseguridad y Protección de Infraestructuras Críticas (OCCIP) anunció que las empresas de activos digitales elegibles recibirán, sin costo alguno, la misma inteligencia de ciberseguridad procesable que el gobierno federal ha reservado históricamente para los bancos asegurados por la FDIC y otras instituciones financieras tradicionales.

Es una pequeña línea en un comunicado de prensa. También marca un cambio silencioso pero profundo: Washington ha dejado de tratar a las criptomonedas como un sector tecnológico periférico y ha comenzado a tratarlas como parte de la infraestructura crítica del sistema financiero.

El robo de 285 millones de dólares tomó 12 minutos. La preparación tomó seis meses.

Cuando los atacantes drenaron Drift Protocol — el DEX de futuros perpetuos más grande en Solana — a las 16:05 UTC del 1 de abril de 2026, no explotaron un error en el smart contract, ni manipularon un oráculo, ni rompieron ninguna criptografía. Simplemente enviaron dos transacciones que el propio Consejo de Seguridad del protocolo ya había firmado. Cuatro meses antes, en diciembre de 2025, esos mismos atacantes habían entrado por la puerta principal de Drift como una "firma de trading cuantitativo", depositaron más de 1 millón de dólares de su propio capital, asistieron a sesiones de trabajo con los colaboradores y estrecharon la mano del equipo en conferencias de la industria en varios continentes. No eran extraños, URLs maliciosas ni direcciones de billeteras anónimas. Eran colegas.

Esta es la nueva cara del adversario más peligroso de las criptomonedas, y debería resetear cada suposición que las DeFi han hecho sobre cómo defenderse. Los operativos norcoreanos detrás del exploit de Drift — muy probablemente TraderTraitor / UNC4736, la misma rama de Lazarus Group vinculada al robo de 1.500 millones de dólares de Bybit — no necesitaron derrotar las auditorías, la gobernanza o el multisig de Drift. Solo necesitaron ser lo suficientemente pacientes como para ganarse la confianza.

El robo de 12 minutos que tardó seis meses en construirse​

La evidencia on-chain se lee como un thriller. Según el post-mortem del incidente de Drift y la reconstrucción forense de BlockSec, los atacantes establecieron su fachada a finales de 2025 mediante la incorporación de un "Ecosystem Vault" en Drift, enviando documentación de estrategias de trading y uniéndose a múltiples sesiones de trabajo con los colaboradores del protocolo. Para febrero y marzo de 2026, los miembros del equipo de Drift se reunían con sus contrapartes cara a cara en las principales conferencias de la industria. Para el momento del ataque, la relación tenía casi seis meses — superando con creces el umbral en el que la mayoría de los equipos de seguridad dejan de escudriñar a una contraparte como a un extraño.

La ejecución técnica explotó una primitiva específica de Solana: nonces duraderos (durable nonces). A diferencia de Ethereum, donde cada transacción debe hacer referencia a un blockhash reciente y expira en aproximadamente 150 slots, los nonces duraderos de Solana permiten a los usuarios firmar transacciones hoy que pueden ser transmitidas días o semanas después. La función está diseñada para firmas offline, desembolsos programados y flujos de trabajo de tesorería — funciones de conveniencia que, en manos de adversarios pacientes, se convierten en una bomba de tiempo.

El 23 de marzo de 2026, aparecieron on-chain cuatro cuentas de nonces duraderos — dos vinculadas a miembros del Consejo de Seguridad de Drift, dos controladas por el atacante. Para ese momento, dos de los cinco firmantes del consejo ya habían respaldado transacciones de apariencia inofensiva vinculadas a esos nonces. Con un umbral de 2 de 5, el atacante había recolectado previamente las aprobaciones necesarias para tomar el control administrativo. Una migración del consejo planificada para el 27 de marzo invalidó brevemente esas firmas, pero para el 30 de marzo apareció una nueva cuenta de nonce duradero vinculada a un miembro del nuevo multisig — el atacante simplemente había vuelto a recolectar el umbral bajo la nueva configuración.

Luego llegó el 1 de abril. A las 16:05:18 UTC, la primera transacción prefirmada propuso transferir la clave de administrador. Un segundo después, la segunda transacción prefirmada la aprobó. El Consejo de Seguridad efectivamente había entregado sus propias claves meses antes, sin darse cuenta de las transacciones en las que luego se combinarían.

Nonces duraderos más confianza social es igual a una nueva clase de riesgo de gobernanza​

El incidente de Drift se está clasificando como un "compromiso de multisig", pero esa etiqueta subestima lo que realmente se rompió. La gobernanza multisig asume que obtener un umbral de firmas requiere comprometer claves distintas (difícil) o coordinar a distintos humanos para que aprueben la misma acción maliciosa (muy difícil). Los nonces duraderos echan por tierra la segunda suposición: los firmantes pueden ser engañados para que aprueben fragmentos de un ataque transacción por transacción, con semanas de diferencia, sin saber que sus firmas individuales eventualmente se ensamblarán en una única secuencia fatal.

Esto es lo que BlockSec llama una brecha entre transacción e intención: las billeteras y las interfaces de usuario de firma muestran a los firmantes qué bytes están firmando, pero rara vez las implicaciones semánticas completas de lo que esos bytes harán una vez combinados con otras firmas que el atacante controla. La defensa tradicional — "más firmantes, billeteras de hardware, revisión cuidadosa" — no aborda el problema subyacente, porque cada firmante individual se comportó correctamente. El sistema en su conjunto falló de todos modos.

Lo peor es que el atacante no tuvo que comprometer la clave de ningún firmante. Hacer phishing o ingeniería social a un colaborador ocupado para que apruebe una transacción de nonce duradero de apariencia benigna es drásticamente más fácil que robar la semilla de una billetera de hardware. Como un informante de Drift le dijo a DL News después de la brecha, la lección es incómoda para las DeFi: "Tenemos que madurar, o no merecemos ser el futuro de las finanzas".

El giro de Lazarus: De ataques rápidos a la implantación a largo plazo​

Para entender por qué el ataque a Drift es importante más allá de Drift, observe la trayectoria de las operaciones cripto de Corea del Norte.

En 2025, actores de la RPDC robaron [$2.02 mil millones en más de 30 incidentes](https://thehackernews.com/2025/12/north-korea-linked-hackers-steal-202.html) — lo que representa el 76$ 6.75 mil millones desde que comenzó el seguimiento. El incidente definitorio de ese año fue el robo de $ 1.5 mil millones a Bybit en febrero de 2025, que sigue siendo el mayor robo individual registrado. El ataque a Bybit utilizó una inyección de JavaScript malicioso entregada a través de una máquina de desarrollador de Safe{Wallet} comprometida — una técnica sofisticada de cadena de suministro, pero aún externa: los atacantes nunca estuvieron en la nómina de Bybit, nunca se sentaron en sus reuniones, nunca entablaron relaciones con su equipo.

Compare eso con 2026. KelpDAO fue drenado por [~ $290 millones el 18 de abril](https://www.upi.com/Top_News/World-News/2026/04/22/KelpDAO-LayerZero-North-Korea-crypto-hack-theft-Lazarus-Group/6151776848419/), con una atribución preliminar que apunta de nuevo a Lazarus. Drift costó$ 285 M y requirió un rescate de $ 150 M liderado por Tether solo para compensar a los depositantes. Ambos ataques implicaron un posicionamiento interno que habría sido impensable para el Lazarus de "ataque y huida" de 2022.

El cambio es estructural. El manual de estrategias cripto tradicional de Lazarus — ejemplificado por el Ronin Bridge ($ 625 M, 2022) y Bybit — se basaba en penetrar las defensas del perímetro: ofertas de trabajo maliciosas en LinkedIn para ingenieros, currículums en PDF armados, compromisos de la cadena de suministro de herramientas de desarrollo. Estos ataques todavía funcionan, pero se están volviendo más costosos. A medida que más protocolos despliegan billeteras de hardware, multisig e higiene en las ceremonias de claves, el costo de irrumpir desde el exterior aumenta. El costo de ser invitado a entrar, por el contrario, disminuye — porque la industria cripto contrata rápido, contrata globalmente y contrata de forma anónima.

El ejército de trabajadores de TI de la RPDC oculto a plena vista​

El compromiso de Drift se sitúa en la intersección de dos programas norcoreanos que, hasta hace poco, se habían tratado como amenazas separadas: las unidades de hackeo de élite de Lazarus y el esquema masivo de trabajadores de TI remotos del régimen.

En marzo de 2026, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de los EE. UU. sancionó a seis personas y dos entidades vinculadas a la RPDC por orquestar empleos de TI fraudulentos que generaron [casi $800 millones solo en 2024](https://www.coindesk.com/business/2026/03/13/u-s-sanctions-6-people-2-companies-that-laundered-usd800-million-in-crypto-for-north-korea) para financiar los programas de armas de destrucción masiva y misiles balísticos del régimen. Entre los sancionados: Nguyen Quang Viet, CEO de Quangvietdnbg International Services, con sede en Vietnam, quien supuestamente convirtió ~$ 2.5 millones en criptomonedas para actores norcoreanos entre 2023 y 2025.

La escala es asombrosa. Una investigación reciente respaldada por la Fundación Ethereum identificó a 100 operativos de la RPDC actualmente integrados en empresas cripto, y el Panel de Expertos de la ONU ha estimado durante mucho tiempo que miles de ciudadanos de la RPDC trabajan de forma remota para empresas de todo el mundo. La investigación de CNN de agosto de 2025 encontró que operativos de la RPDC han penetrado las cadenas de suministro de casi todas las empresas de Fortune 500, a menudo a través de "facilitadores" — típicamente estadounidenses dispuestos a alojar computadoras portátiles en sus hogares por una tarifa, proporcionando direcciones IP de EE. UU. para que los operativos inicien sesión.

Las tácticas también han evolucionado más allá del empleo pasivo. Según el análisis de Chainalysis, los operativos de la RPDC han pasado a suplantar a reclutadores en destacadas empresas de Web3 e IA, construyendo "portales de carrera" multiempresa convincentes y utilizando el acceso resultante para introducir malware, filtrar datos patentados o — como en el caso de Drift — establecer relaciones comerciales de confianza que rinden frutos meses después.

La detección es difícil pero no imposible. SpyCloud y Nisos han documentado patrones recurrentes: fotos de perfil generadas por IA, reticencia a aparecer en video, demandas de pago solo en criptomonedas, afirmaciones de residencia que no coinciden con la geolocalización de la IP, negativas a usar dispositivos proporcionados por la empresa y convenciones de nombres de correo electrónico que se apoyan fuertemente en años de nacimiento, animales, colores y mitología. Ninguna de estas señales es decisiva por sí sola. Juntas, forman un perfil que cualquier gerente de contratación de DeFi debería ser capaz de recitar.

Por qué las auditorías, el multisig y el KYC fallan contra los infiltrados de estados-nación​

La implicación más incómoda de Drift es que todo el conjunto de seguridad de DeFi fue diseñado para un modelo de amenaza diferente.

Las auditorías de contratos inteligentes examinan el código, no a los colaboradores. Una auditoría limpia de Trail of Bits, OpenZeppelin o Quantstamp le indica que el bytecode del protocolo hace lo que afirma. No le dice nada sobre quién tiene las llaves de administrador, quién puede llamar a las funciones de actualización o quién está en el canal de Discord donde los miembros del Consejo de Seguridad coordinan las firmas. Los contratos de Drift no fueron explotados. Su gente sí lo fue.

La gobernanza multifirma (multisig) asume firmantes honestos. Un multisig de 2 de 5 o 4 de 7 defiende contra el compromiso de una sola llave o un solo infiltrado malicioso. No defiende contra una campaña coordinada de ingeniería social que engaña a varios firmantes legítimos para que aprueben fragmentos de un ataque a lo largo de semanas mediante transacciones de nonce duradero prefirmadas. Incluso elevar el umbral a 5 de 9 solo hace que el trabajo del atacante sea marginalmente más difícil si tiene tiempo ilimitado y una cobertura empresarial creíble.

El KYC y las verificaciones de antecedentes fallan contra identidades fabricadas. Los operativos de estados-nación utilizan identidades robadas de EE. UU., fotos generadas por IA e historiales de empleo blanqueados que superan las verificaciones estándar. Las sanciones del Tesoro de marzo de 2026 señalaron específicamente el uso de "exchanges conformes, billeteras alojadas, servicios DeFi y puentes cross-chain" por parte de estas redes — la misma infraestructura con calificación KYC que el resto de la industria asume que es segura.

Los colaboradores seudónimos son una característica, no un error — hasta que dejan de serlo. La cultura de DeFi celebra el seudonimato. Muchos de los desarrolladores más respetados en el espacio operan bajo alias, contribuyen a través de commits en GitHub y nombres de usuario en Discord, y nunca conocen a sus colegas en persona. Esa cultura es incompatible con el modelo de amenaza de Drift, donde seis meses de construcción de confianza es precisamente lo que el atacante invirtió.

Cómo se ve la defensa en profundidad para el nuevo modelo de amenaza​

Drift no es el final de esta historia; es el modelo a seguir. Cada protocolo con llaves de administrador, multisig de gobernanza o una exposición significativa de la tesorería es ahora vulnerable al mismo manual de estrategia. Varias medidas prácticas de fortalecimiento han surgido de los análisis posteriores al incidente.

Verificación de la intención a nivel de transacción, no confianza a nivel de firmante. Herramientas como la simulación de transacciones de BlockSec, Tenderly Defender y Wallet Guard exponen el efecto económico completo de una transacción — incluidos los efectos potencialmente maliciosos en nonces preexistentes — antes de que los firmantes aprueben. La experiencia de usuario (UX) por defecto de "firmar este hash" debe morir.

Timelocks agresivos para acciones de gobernanza. Un timelock (bloqueo temporal) de 24 a 72 horas en las transferencias de llaves de administrador, actualizaciones de contratos y movimientos de tesorería le da a la comunidad tiempo para detectar propuestas anómalas. El traspaso de administración de Drift ocurrió en dos transacciones con un segundo de diferencia. Un retraso de 48 horas habría sido una ventana de 48 horas para que el Consejo de Seguridad notara que estaba a punto de perder el control.

Módulos de Seguridad de Hardware (HSM) con segregación operativa. Los HSM evitan que una máquina de desarrollador comprometida extraiga las llaves de firma, pero no evitan el abuso de nonces duraderos. Combine los HSM con flujos de trabajo de cómputo multipartito (MPC) obligatorios que prohíban explícitamente la firma bajo nonces duraderos para roles de gobernanza.

Verificación en persona para roles de alta confianza. El manual de la RPDC depende del empleo exclusivamente remoto. Requerir presencia física — en conferencias, oficinas o reuniones presenciales ante notario — para cualquier persona con acceso de administrador, privilegios de auditoría o responsabilidades de tesorería eleva drásticamente el costo operativo. (Los atacantes de Drift sí conocieron a los colaboradores en persona, pero solo después de una larga preparación en línea diseñada para que esas reuniones parecieran llamadas de negocios rutinarias. La verificación en persona funciona solo si condiciona la confianza inicial, no si confirma una relación que ya se ha establecido).

Sistemas de reputación de colaboradores y atestaciones de identidad on-chain. El proof-of-personhood de Worldcoin, Gitcoin Passport y sistemas similares son imperfectos, pero elevan el costo de fabricar una identidad que tenga un historial on-chain de varios años, atestaciones de colaboradores conocidos y actividad verificable en varios protocolos.

Transparencia en contrataciones públicas para roles críticos de seguridad. Una norma en la que los protocolos revelen públicamente quién posee las llaves de administrador, quién forma parte de los Consejos de Seguridad y quién tiene acceso a las auditorías — incluso si esos individuos operan bajo seudónimos — crea visibilidad en toda la comunidad. Un Consejo de Seguridad de cinco personas con un nuevo miembro añadido silenciosamente dos semanas antes de un exploit es exactamente el patrón que las futuras investigaciones deberían buscar.

El ajuste de cuentas operativo que DeFi no puede posponer​

El incidente de Drift es un pago de matrícula de 285 millones de dólares por una lección que DeFi ha estado retrasando desde 2022: la seguridad del protocolo no es lo mismo que la seguridad del código. El código puede ser auditado, sometido a pruebas de fuzzing, verificado formalmente y recompensado con programas de bug bounty hasta alcanzar una robustez razonable. Las personas — los desarrolladores, firmantes, colaboradores y socios que poseen las llaves, aprueban las actualizaciones y dan forma a la gobernanza — no pueden ser auditadas de la misma manera.

Corea del Norte se ha dado cuenta. El mismo régimen que envió una carga útil maliciosa de JavaScript a través de Safe{Wallet} a Bybit en 2025 envió un equipo de desarrollo de negocios pulido a Drift en 2026. El próximo ataque no se parecerá a ninguno de los dos. Se parecerá a cualquier patrón de confianza que el próximo objetivo aún no haya aprendido a cuestionar.

Para los protocolos que construyen hoy, la pregunta práctica no es "¿somos vulnerables a un zero-day de Lazarus?". Es "si un adversario sofisticado pasara seis meses convirtiéndose en nuestro amigo, cuánto podría robar". Si la respuesta honesta es "la mayor parte de nuestro TVL", esa es la brecha de seguridad que necesita cerrarse — antes de que se abra la próxima ventana de nonce duradero.

BlockEden.xyz opera infraestructura de RPC e indexadores de grado de producción para Sui, Aptos, Solana, Ethereum y más de 25 cadenas adicionales, con custodia de llaves asegurada por hardware, controles operativos multipartitos y políticas de verificación de colaboradores diseñadas para el entorno de amenazas post-Drift. Explore nuestros servicios de infraestructura para construir sobre una base fortalecida contra los adversarios que DeFi realmente enfrenta en 2026.

Fuentes​

• Hackers norcoreanos atacan Drift Protocol en un robo de 285 millones de USD — TRM Labs
• Hackeo de Drift Protocol: Cómo el acceso privilegiado provocó una pérdida de 285 millones de USD — Chainalysis
• Post-mortem del incidente de Drift Protocol — Credshields
• Incidente de Drift Protocol: Compromiso de la gobernanza multisig a través de la explotación de nonces duraderos — BlockSec
• Cómo una función de Solana diseñada para la conveniencia permitió a un atacante drenar 270 millones de USD de Drift — CoinDesk
• Hackeo de 285 millones de USD a Drift rastreado hasta una operación de ingeniería social de la RPDC de seis meses — The Hacker News
• Drift Protocol asegura un rescate de 150 millones de USD liderado por Tether tras un hackeo masivo — Brief Glance
• DeFi necesita madurar si quiere ser el futuro de las finanzas, dice un miembro interno de Drift Protocol hackeado — DL News
• Hackers vinculados a Corea del Norte roban 2,02 mil millones de USD en 2025 — The Hacker News
• Hackers norcoreanos vinculados al robo de criptomonedas de 290 millones de USD en KelpDAO — UPI
• El Tesoro sanciona a banqueros e instituciones de la RPDC involucrados en el lavado de ganancias de delitos cibernéticos — U.S. Department of the Treasury
• La OFAC apunta a trabajadores de TI de la RPDC que utilizan criptomonedas — Chainalysis
• EE. UU. sanciona una red que presuntamente lavó 800 millones de USD en criptomonedas para Corea del Norte — CoinDesk
• Las nuevas sanciones de la OFAC apuntan al ejército cripto de Corea del Norte — Crypto Impact Hub
• Una investigación respaldada por Ethereum descubre a 100 operativos de la RPDC en empresas cripto — LiveBitcoinNews
• Cómo los trabajadores de TI norcoreanos aprovechan la IA y a estadounidenses vulnerables para infiltrarse en empresas de EE. UU. — CNN
• Fraude laboral: Cómo identificar a trabajadores de TI norcoreanos falsos — SpyCloud
• Estafa de trabajadores de TI de la RPDC: Pasos de mitigación para equipos de contratación — Nisos
• El manual del Lazarus Group: Dentro de la operación de robo de criptomonedas de 6,75 mil millones de USD de Corea del Norte — BlockEden.xyz

En el primer trimestre (Q1) de 2026, los exploits de contratos inteligentes de DeFi colapsaron un 89 % interanual. Aun así, el sector cripto perdió aproximadamente quinientos millones de dólares. Si eso suena contradictorio, no lo es; es el cambio estructural más importante en la seguridad Web3 desde The DAO. Los errores que definieron una década de titulares sobre criptomonedas se están resolviendo. Los atacantes simplemente se han trasladado a un nivel superior.

El Informe de Seguridad Web3 del Q1 2026 de Sherlock presenta la cifra de forma cruda: los exploits específicos de DeFi cayeron aproximadamente un 89 % frente al Q1 2025, la evidencia más clara hasta ahora de que las auditorías, la verificación formal y el código probado en batalla están cumpliendo su función. El recuento paralelo de Hacken registra $482,6 millones en pérdidas totales de Web3 para el mismo trimestre, con el phishing y la ingeniería social impulsando por sí solos$ 306 millones de esa cifra en tan solo 44 incidentes. El centro de gravedad se ha desplazado, y la mayor parte del manual de defensa de la industria apunta en la dirección equivocada.

En enero de 2026, una persona atendió una llamada telefónica, respondió a lo que parecía ser una pregunta de soporte rutinaria y perdió $ 282 millones en Bitcoin y Litecoin. No se explotó ningún contrato inteligente. No se descifró ninguna clave privada. No se manipuló ningún oráculo. El atacante simplemente pidió la frase semilla y la víctima la escribió.

Ese único incidente — ahora el mayor robo de ingeniería social en la historia de las criptomonedas — representa más de la mitad de todas las pérdidas del primer trimestre (Q1) de 2026 rastreadas por Hacken, la firma de seguridad Web3 cuyo informe trimestral se ha convertido en el libro de contabilidad de pérdidas más observado de la industria. Las cifras de Hacken para el Q1 de 2026 son contundentes: $ 482,6 millones robados en 44 incidentes, donde el phishing y la ingeniería social representaron $ 306 millones, o el 63 % de los daños. Los exploits de contratos inteligentes, la categoría que definió el verano DeFi de hacks en 2022, contribuyeron solo con $ 86,2 millones.

Los números describen un cambio estructural que la industria ha tardado en asimilar. Los atacantes ya no compiten por superar técnicamente a los desarrolladores de Solidity. Compiten por superar psicológicamente a los humanos. Y la infraestructura que construimos para defendernos del primer tipo de ataque — auditorías, bug bounties, verificación formal — no hace casi nada para detener el segundo.

Conecta un cable USB a un Nothing CMF Phone 1. Espera 45 segundos. Vete con la frase semilla de cada hot wallet del dispositivo.

No se trata de un modelo de amenaza teórico. Es una demostración en vivo que el equipo de investigación Ledger Donjon publicó el 11 de marzo de 2026, dirigida al Dimensity 7300 (MT6878) de MediaTek — un sistema en chip (SoC) de 4 nm que se encuentra en aproximadamente una cuarta parte de los teléfonos Android en todo el mundo, y el silicio exacto sobre el cual se construyó el dispositivo insignia Seeker de Solana. El fallo reside en la ROM de arranque del chip, el código de solo lectura que se ejecuta incluso antes de que cargue Android. No se puede parchear. No se puede mitigar mediante una actualización del sistema operativo. La única solución es un chip nuevo.

Para las decenas de millones de usuarios que confían en su smartphone como una billetera cripto, este es el momento en que la narrativa de la "autocustodia centrada en dispositivos móviles" colisionó con la física del silicio.

El 22 de marzo de 2026, un atacante entró en Resolv Labs con $ 100,000 en USDC y salió con $ 25 millones en ETH. Los contratos inteligentes nunca fallaron. El oráculo nunca mintió. La estrategia de cobertura delta-neutral se comportó exactamente como fue diseñada. En su lugar, una sola credencial de AWS Key Management Service (una clave de firma que vivía fuera de la blockchain) otorgó a un intruso permiso para acuñar 80 millones de tokens USR sin respaldo contra un depósito de $ 100K. Diecisiete minutos después, USR había caído de $ 1.00 a $ 0.025, un colapso del 97.5 %, y los protocolos de préstamos en todo Ethereum estaban absorbiendo el impacto.

El incidente de Resolv no es notable por ser ingenioso. Es notable porque no lo fue. Una falta de verificación de acuñación máxima, un punto único de falla en la gestión de claves en la nube y oráculos que valoraron una stablecoin con paridad perdida en $ 1; DeFi ha visto cada uno de estos fallos anteriormente. Lo que revela el hack es incómodo: la superficie de ataque de las stablecoins modernas se ha migrado silenciosamente de Solidity a las consolas de AWS, y los modelos de seguridad de la industria no se han puesto al día.