31 publicaciones etiquetados con "Ciberseguridad"

El 21 de febrero de 2025, el Grupo Lazarus de Corea del Norte ejecutó el mayor robo de criptomonedas de la historia: 1,5 mil millones de dólares en Ethereum drenados de la cold wallet de Bybit en una sola transacción. Un año después, las cifras cuentan una historia aleccionadora: mientras que las empresas de análisis de blockchain rastrearon inicialmente el 88,87 % de los fondos robados, solo se ha congelado el 3,54 %. El resto permanece en miles de monederos, esperando.

Esta no es solo una historia de un atraco. Es un estudio de caso sobre cómo una operación de hackeo a nivel estatal superó la infraestructura de seguridad de toda una industria, y lo que el mundo cripto aprendió — y no logró aprender — en los doce meses transcurridos desde entonces.

Por $ 1.22 por contrato, un agente de IA ahora puede escanear un contrato inteligente en busca de vulnerabilidades explotables — y las capacidades ofensivas de explotación se duplican cada 1.3 meses. Bienvenidos a la carrera armamentista más trascendental en las finanzas descentralizadas.

En febrero de 2026, OpenAI y Paradigm lanzaron conjuntamente EVMbench, un punto de referencia de código abierto que evalúa la eficacia con la que los agentes de IA detectan, parchean y explotan las vulnerabilidades de los contratos inteligentes. Los resultados fueron aleccionadores. GPT-5.3-Codex explotó con éxito el 72.2 % de los contratos vulnerables conocidos, frente al 31.9 % de hace apenas seis meses. Mientras tanto, un agente de seguridad de IA especializado detectó vulnerabilidades en el 92 % de 90 contratos de DeFi explotados por un valor de $ 96.8 millones — casi tres veces la tasa de detección del 34 % de un agente de codificación GPT-5.1 de referencia.

La implicación es clara: la batalla por la seguridad de DeFi se ha convertido en una competencia de IA contra IA, y la economía favorece abrumadoramente a los atacantes — por ahora.

Un cofundador de Polygon descubre que hay personas desconocidas que le preguntan si realmente está en una llamada de Zoom con ellos. Un organizador de BTC Prague observa cómo una convincente réplica generada por IA de un conocido CEO de criptomonedas aparece en pantalla, solo para que se le pida que ejecute una "corrección de audio rápida". El fundador de una startup de IA evita la infección al insistir en usar Google Meet — y los atacantes desaparecen. Estas no son escenas de un thriller ciberpunk. Sucedieron a principios de 2026 y comparten un hilo común: la máquina de ingeniería social de deepfakes de Corea del Norte, que evoluciona rápidamente.

Aproximadamente 6,26 millones de Bitcoin — valorados entre $ 650.000 millones y $ 750.000 millones — residen en direcciones vulnerables a ataques cuánticos. Aunque la mayoría de los expertos coinciden en que los ordenadores cuánticos criptográficamente relevantes aún están a años de distancia, la infraestructura necesaria para proteger esos activos no puede construirse de la noche a la mañana. Un protocolo afirma tener ya la respuesta, y la SEC está de acuerdo.

Naoris Protocol se convirtió en el primer protocolo de seguridad descentralizado citado en un documento regulatorio de EE. UU. cuando el Marco de Infraestructura Financiera Post-Cuántica (PQFIF) de la SEC lo designó como modelo de referencia para la infraestructura blockchain segura frente a la computación cuántica. Con el lanzamiento de su mainnet previsto para antes de que finalice el primer trimestre de 2026, 104 millones de transacciones post-cuánticas ya procesadas en testnet y asociaciones con instituciones alineadas con la OTAN, Naoris representa una apuesta radical: que la próxima frontera de DePIN no es el cómputo ni el almacenamiento, sino la propia ciberseguridad.

Su cold wallet no es tan segura como cree. En 2025, los ataques a la infraestructura — dirigidos a claves privadas, sistemas de billeteras y a los humanos que los gestionan — representaron el 76 % de todas las criptomonedas robadas, sumando un total de $ 2200 millones en solo 45 incidentes. El Grupo Lazarus, la unidad de hackeo patrocinada por el estado de Corea del Norte, ha perfeccionado un manual de estrategias que hace que la seguridad tradicional de almacenamiento en frío carezca casi de sentido: campañas de infiltración de un mes de duración que se dirigen a las personas, no al código.

Cuando el desarrollador de Safe{Wallet} "Developer1" recibió lo que parecía ser una solicitud rutinaria el 4 de febrero de 2025, no tenía idea de que su Apple MacBook se convertiría en el punto de entrada para el mayor robo de criptomonedas de la historia. En diecisiete días, el Lazarus Group de Corea del Norte explotaría esa única computadora portátil comprometida para robar $1.5 mil millones de Bybit — más que el PIB total de algunas naciones.

Esto no fue una aberración. Fue la culminación de una evolución de una década que transformó a un grupo de hackers patrocinados por el estado en los ladrones de criptomonedas más sofisticados del mundo, responsables de al menos $6.75 mil millones en robos acumulados.

Las cifras son asombrosas: 3,4 mil millones de dólares robados de plataformas de criptomonedas en 2025, con una sola nación-estado responsable de casi dos tercios del botín. El Lazarus Group de Corea del Norte no solo batió récords: reescribió las reglas del ciber-crimen patrocinado por el estado, ejecutando menos ataques pero extrayendo un valor exponencialmente mayor. Al entrar en 2026, la industria de las criptomonedas se enfrenta a una verdad incómoda: los paradigmas de seguridad de los últimos cinco años están fundamentalmente rotos.

La llamada de alerta de los 3,4 mil millones de dólares​

La firma de inteligencia blockchain Chainalysis publicó su informe anual sobre cripto-crimen en diciembre de 2025, confirmando lo que los conocedores de la industria temían. El robo total de criptomonedas alcanzó los 3,4 mil millones de dólares, con los hackers norcoreanos reclamando 2,02 mil millones de dólares — un aumento del 51 % con respecto al récord de 1,34 mil millones de dólares de 2024. Esto eleva el total histórico de robos de criptomonedas de la RPDC a aproximadamente 6,75 mil millones de dólares.

Lo que hace que el robo de 2025 sea algo sin precedentes no es solo la cifra en dólares. Es la eficiencia. Los hackers norcoreanos lograron este botín récord a través de un 74 % menos de ataques conocidos que en años anteriores. El Lazarus Group ha evolucionado de ser un actor de amenazas disperso a un instrumento de precisión de guerra financiera.

TRM Labs y Chainalysis verificaron de forma independiente estas cifras, y TRM señaló que el cripto-crimen se ha vuelto "más organizado y profesionalizado" que nunca. Los ataques son más rápidos, están mejor coordinados y son mucho más fáciles de escalar que en ciclos anteriores.

El atraco a Bybit: Una clase magistral en ataques a la cadena de suministro​

El 21 de febrero de 2025, el mundo de las criptomonedas fue testigo del mayor robo individual de su historia. Los hackers drenaron aproximadamente 401.000 ETH — con un valor de 1,5 mil millones de dólares en ese momento — de Bybit, uno de los exchanges de criptomonedas más grandes del mundo.

El ataque no fue una brecha por fuerza bruta ni un exploit de contrato inteligente. Fue un magistral compromiso de la cadena de suministro. El Lazarus Group — operando bajo el alias "TraderTraitor" (también conocido como Jade Sleet y Slow Pisces) — se dirigió a un desarrollador en Safe{Wallet}, el popular proveedor de billeteras multifirma. Al inyectar código malicioso en la interfaz de usuario de la billetera, eludieron por completo las capas de seguridad tradicionales.

En un plazo de 11 días, los hackers habían lavado el 100 % de los fondos robados. El CEO de Bybit, Ben Zhou, reveló a principios de marzo que habían perdido el rastro de casi 300 millones de dólares. El FBI atribuyó oficialmente el ataque a Corea del Norte el 26 de febrero de 2025, pero para entonces, los fondos ya habían desaparecido en protocolos de mezclado y servicios de puentes.

Solo el hackeo de Bybit representó el 74 % del robo de criptomonedas de Corea del Norte en 2025 y demostró una evolución escalofriante en las tácticas. Como señaló la firma de seguridad Hacken, el Lazarus Group mostró "preferencias claras por servicios de lavado de dinero en idioma chino, servicios de puentes y protocolos de mezclado, con un ciclo de lavado de 45 días tras los grandes robos".

El manual de Lazarus: Del phishing a la infiltración profunda​

Las operaciones cibernéticas de Corea del Norte han experimentado una transformación fundamental. Atrás quedaron los días de simples ataques de phishing y compromisos de billeteras calientes (hot wallets). El Lazarus Group ha desarrollado una estrategia múltiple que hace que la detección sea casi imposible.

La estrategia Wagemole​

Quizás la táctica más insidiosa es lo que los investigadores llaman "Wagemole": incrustar trabajadores de TI encubiertos dentro de empresas de criptomonedas en todo el mundo. Bajo identidades falsas o a través de empresas fachada, estos operativos obtienen acceso legítimo a los sistemas corporativos, incluyendo firmas de criptomonedas, custodios y plataformas Web3.

Este enfoque permite a los hackers eludir por completo las defensas perimetrales. No están entrando a la fuerza; ya están dentro.

Explotación impulsada por IA​

En 2025, los grupos patrocinados por el estado comenzaron a utilizar la inteligencia artificial para potenciar cada etapa de sus operaciones. La IA ahora escanea miles de contratos inteligentes en minutos, identifica código explotable y automatiza ataques multi-cadena. Lo que antes requería semanas de análisis manual, ahora toma horas.

El análisis de Coinpedia reveló que los hackers norcoreanos han redefinido el cripto-crimen a través de la integración de IA, haciendo que sus operaciones sean más escalables y difíciles de detectar que nunca.

Suplantación de ejecutivos​

El cambio de exploits puramente técnicos a ataques de factor humano fue una tendencia definitoria de 2025. Las firmas de seguridad señalaron que "las pérdidas atípicas se debieron abrumadoramente a fallos en el control de acceso, no a nuevas matemáticas on-chain". Los hackers pasaron de frontends envenenados y trucos en la interfaz de usuario de multifirmas a la suplantación de ejecutivos y el robo de claves.

Más allá de Bybit: El panorama de los hackeos en 2025​

Si bien Bybit dominó los titulares, las operaciones de Corea del Norte se extendieron mucho más allá de un solo objetivo:

• DMM Bitcoin (Japón): 305 millones de dólares robados, lo que contribuyó al cierre eventual del exchange.
• WazirX (India): 235 millones de dólares drenados del exchange de criptomonedas más grande de la India.
• Upbit (Corea del Sur): 36 millones de dólares incautados mediante la explotación de la infraestructura de firma a finales de 2025.

Estos no fueron incidentes aislados: representaron una campaña coordinada dirigida a exchanges centralizados, plataformas de finanzas descentralizadas y proveedores de billeteras individuales en múltiples jurisdicciones.

Recuentos independientes identificaron más de 300 incidentes de seguridad importantes a lo largo del año, destacando vulnerabilidades sistémicas en todo el ecosistema de las criptomonedas.

La conexión Huione: la máquina de lavado de 4,000 millones de dólares de Camboya​

En el lado del lavado de dinero, la Red de Control de Delitos Financieros del Tesoro de los EE. UU. (FinCEN) identificó un nodo crítico en las operaciones de Corea del Norte: el Grupo Huione, con sede en Camboya.

FinCEN descubrió que el Grupo Huione lavó al menos 4,000 millones de dólares en ganancias ilícitas entre agosto de 2021 y enero de 2025. La firma de blockchain Elliptic estima que la cifra real podría acercarse a los 11,000 millones de dólares.

La investigación del Tesoro reveló que el Grupo Huione procesó 37 millones de dólares vinculados directamente al Grupo Lazarus, incluidos 35 millones de dólares del hackeo de DMM Bitcoin. La empresa trabajó directamente con la Oficina General de Reconocimiento de Corea del Norte, la principal organización de inteligencia exterior de Pyongyang.

Lo que hizo que Huione fuera particularmente peligroso fue su completa falta de controles de cumplimiento. Ninguno de sus tres componentes de negocio — Huione Pay (banca), Huione Guarantee (depósito en garantía) y Huione Crypto (exchange) — había publicado políticas de AML / KYC.

La empresa con las conexiones de la familia gobernante Hun de Camboya, incluido el primo del primer ministro Hun Manet como accionista principal, complicaron los esfuerzos internacionales de aplicación de la ley hasta que EE. UU. actuó para cortar su acceso al sistema financiero estadounidense en mayo de 2025.

La respuesta regulatoria: MiCA, PoR y más allá​

La escala de los robos de 2025 ha acelerado la acción regulatoria en todo el mundo.

Etapa 2 de MiCA en Europa​

La Unión Europea aceleró la "Etapa 2" del reglamento Markets in Crypto-Assets (MiCA), que ahora exige auditorías trimestrales de proveedores de software de terceros para cualquier exchange que opere en la Eurozona. El vector de ataque a la cadena de suministro del hackeo de Bybit impulsó este requisito específico.

Mandatos de Proof-of-Reserves en EE. UU.​

En los Estados Unidos, el enfoque se ha desplazado hacia requisitos obligatorios de Proof-of-Reserves (PoR) en tiempo real. La teoría: si los exchanges deben demostrar sus activos on-chain en tiempo real, las salidas sospechosas se vuelven visibles de inmediato.

Ley de Seguridad Financiera Digital de Corea del Sur​

Tras el hackeo de Upbit, la Comisión de Servicios Financieros de Corea del Sur propuso la "Ley de Seguridad Financiera Digital" en diciembre de 2025. La ley impondría ratios obligatorios de almacenamiento en frío (cold storage), pruebas de penetración rutinarias y un monitoreo mejorado de actividades sospechosas en todos los exchanges de criptomonedas.

Lo que necesitan las defensas de 2026​

La brecha de Bybit forzó un cambio fundamental en la forma en que los exchanges centralizados gestionan la seguridad. Los líderes de la industria han identificado varias actualizaciones críticas para 2026:

Migración a Multi-Party Computation (MPC)​

La mayoría de las plataformas de primer nivel han migrado de los tradicionales multi-sigs de contratos inteligentes a la tecnología Multi-Party Computation. A diferencia de la configuración de Safe{Wallet} explotada en 2025, MPC divide las claves privadas en fragmentos (shards) que nunca existen en una sola ubicación, lo que hace que las técnicas de suplantación de interfaz de usuario (UI-spoofing) e "Ice Phishing" sean casi imposibles de ejecutar.

Estándares de Cold Storage​

Los exchanges de custodia de buena reputación ahora implementan ratios de almacenamiento en frío del 90 - 95 %, manteniendo la gran mayoría de los fondos de los usuarios fuera de línea en módulos de seguridad de hardware (HSM). Las billeteras multifirma requieren que múltiples partes autorizadas aprueben transacciones grandes.

Auditoría de la cadena de suministro​

La lección clave de 2025 es que la seguridad se extiende más allá de la blockchain a todo el stack de software. Los exchanges deben auditar sus relaciones con proveedores con el mismo rigor que aplican a su propio código. El hackeo de Bybit tuvo éxito debido a una infraestructura de terceros comprometida, no a vulnerabilidades del exchange.

Defensa del factor humano​

La capacitación continua sobre intentos de phishing y prácticas seguras de contraseñas se ha vuelto obligatoria, ya que el error humano sigue siendo una de las causas principales de las brechas. Los expertos en seguridad recomiendan ejercicios periódicos de "red and blue team" para identificar debilidades en la gestión de procesos de seguridad.

Actualizaciones resistentes a la computación cuántica​

Mirando más hacia el futuro, la criptografía post-cuántica (PQC) y el hardware asegurado cuánticamente están emergiendo como defensas críticas futuras. El crecimiento proyectado del mercado de billeteras frías (cold wallets) de un 15.2 % CAGR entre 2026 y 2033 refleja la confianza institucional en la evolución de la seguridad.

El camino por delante​

La advertencia final de Chainalysis en su informe de 2025 debería resonar en toda la industria: "El desempeño récord del país en 2025 — logrado con un 74 por ciento menos de ataques conocidos — sugiere que podemos estar viendo solo la parte más visible de sus actividades. El desafío para 2026 será detectar y prevenir estas operaciones de alto impacto antes de que los actores afiliados a la RPDC inflijan otro incidente a la escala de Bybit".

Corea del Norte ha demostrado que los hackers patrocinados por el estado pueden superar las defensas de la industria cuando están motivados por la evasión de sanciones y el financiamiento de armas. El total acumulado de 6,750 millones de dólares no representa solo criptomonedas robadas: representa misiles, programas nucleares y la supervivencia del régimen.

Para la industria de las criptomonedas, 2026 debe ser el año de la transformación de la seguridad. No mejoras incrementales, sino un rediseño fundamental de cómo se almacenan, acceden y transfieren los activos. El Grupo Lazarus ha demostrado que las mejores prácticas de ayer son las vulnerabilidades de hoy.

Lo que está en juego nunca ha sido tan importante.

---

Asegurar la infraestructura de blockchain requiere una vigilancia constante y prácticas de seguridad líderes en la industria. BlockEden.xyz proporciona infraestructura de nodos de grado empresarial con una arquitectura de seguridad de múltiples capas, ayudando a los desarrolladores y empresas a construir sobre bases diseñadas para resistir las amenazas en evolución.

El lavado de dinero con criptomonedas se ha disparado a $82 mil millones en 2025 — un aumento de ocho veces respecto a los$ 10 mil millones de hace solo cinco años. Pero la verdadera historia no es la cifra asombrosa. Es la industrialización del propio crimen financiero. Las redes de lavado profesional ahora procesan $ 44 millones diarios a través de sofisticados mercados basados en Telegram, Corea del Norte ha convertido el robo de cripto en un arma para financiar programas nucleares, y la infraestructura que permite las estafas globales ha crecido 7.325 veces más rápido que la adopción legítima de cripto. La era de los criptocriminales aficionados ha terminado. Hemos entrado en la era del crimen organizado y profesionalizado en la blockchain.

En la víspera de Navidad de 2025, mientras la mayor parte del mundo cripto estaba de vacaciones, unos atacantes lanzaron una actualización maliciosa para la extensión de Chrome de Trust Wallet. En 48 horas, $ 8.5 millones desaparecieron de 2,520 billeteras. Las frases semilla de miles de usuarios habían sido recolectadas silenciosamente, disfrazadas como datos de telemetría de rutina. Pero este no fue un incidente aislado; fue la culminación de un ataque a la cadena de suministro que se había estado extendiendo por el ecosistema de desarrollo cripto durante semanas.

La campaña Shai-Hulud, nombrada en honor a los gusanos de arena de Dune, representa el ataque a la cadena de suministro de npm más agresivo de 2025. Comprometió más de 700 paquetes npm, infectó 27,000 repositorios de GitHub y expuso aproximadamente 14,000 secretos de desarrollador en 487 organizaciones. El daño total: más de $ 58 millones en criptomonedas robadas, lo que lo convierte en uno de los ataques dirigidos a desarrolladores más costosos en la historia de las criptomonedas.

La anatomía de un gusano de la cadena de suministro​

A diferencia del malware típico que requiere que los usuarios descarguen software malicioso, los ataques a la cadena de suministro envenenan las herramientas en las que los desarrolladores ya confían. La campaña Shai-Hulud convirtió en un arma a npm, el gestor de paquetes que impulsa la mayor parte del desarrollo de JavaScript, incluyendo casi todas las billeteras cripto, frontends de DeFi y aplicaciones Web3.

El ataque comenzó en septiembre de 2025 con la primera ola, que resultó en el robo de aproximadamente $ 50 millones en criptomonedas. Pero fue "La Segunda Venida" en noviembre lo que demostró la verdadera sofisticación de la operación. Entre el 21 y el 23 de noviembre, los atacantes comprometieron la infraestructura de desarrollo de proyectos importantes, incluidos Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase y Postman.

El mecanismo de propagación fue elegante y aterrador. Cuando Shai-Hulud infecta un paquete npm legítimo, inyecta dos archivos maliciosos — setup_bun.js y bun_environment.js — activados por un script de preinstalación. A diferencia del malware tradicional que se activa después de la instalación, esta carga útil se ejecuta antes de que se complete la instalación e incluso cuando la instalación falla. Para cuando los desarrolladores se dan cuenta de que algo anda mal, sus credenciales ya han sido robadas.

El gusano identifica otros paquetes mantenidos por desarrolladores comprometidos, inyecta automáticamente código malicioso y publica nuevas versiones comprometidas en el registro de npm. Esta propagación automatizada permitió que el malware se extendiera exponencialmente sin la intervención directa del atacante.

De los secretos del desarrollador a las billeteras de los usuarios​

La conexión entre los paquetes npm comprometidos y el hackeo de Trust Wallet revela cómo los ataques a la cadena de suministro caen en cascada desde los desarrolladores hasta los usuarios finales.

La investigación de Trust Wallet reveló que sus secretos de GitHub para desarrolladores quedaron expuestos durante el brote de Shai-Hulud en noviembre. Esta exposición dio a los atacantes acceso al código fuente de la extensión del navegador y, fundamentalmente, a la clave API de Chrome Web Store. Armados con estas credenciales, los atacantes eludieron por completo el proceso interno de lanzamiento de Trust Wallet.

El 24 de diciembre de 2025, la versión 2.68 de la extensión de Chrome de Trust Wallet apareció en la Chrome Web Store, publicada por los atacantes, no por los desarrolladores de Trust Wallet. El código malicioso fue diseñado para iterar a través de todas las billeteras almacenadas en la extensión y activar una solicitud de frase mnemotécnica para cada billetera. Ya sea que los usuarios se autenticaran con una contraseña o con biometría, sus frases semilla eran exfiltradas silenciosamente a servidores controlados por los atacantes, disfrazadas como datos analíticos legítimos.

Los fondos robados se desglosaron de la siguiente manera: aproximadamente $3 millones en Bitcoin, más de$ 3 millones en Ethereum y cantidades menores en Solana y otros tokens. En pocos días, los atacantes comenzaron a lavar los fondos a través de exchanges centralizados: $3.3 millones a ChangeNOW,$ 340,000 a FixedFloat y $ 447,000 a KuCoin.

El interruptor del hombre muerto (Dead Man's Switch)​

Quizás lo más inquietante es el mecanismo de "interruptor del hombre muerto" del malware Shai-Hulud. Si el gusano no puede autenticarse con GitHub o npm — si sus canales de propagación y exfiltración son cortados — borrará todos los archivos en el directorio principal del usuario.

Esta característica destructiva sirve para múltiples propósitos. Castiga los intentos de detección, crea un caos que oculta las huellas de los atacantes y proporciona una palanca de presión si los defensores intentan cortar la infraestructura de comando y control. Para los desarrolladores que no han mantenido copias de seguridad adecuadas, un intento fallido de limpieza podría resultar en una pérdida catastrófica de datos, además del robo de credenciales.

Los atacantes también demostraron sofisticación psicológica. Cuando Trust Wallet anunció la brecha, los mismos atacantes lanzaron una campaña de phishing explotando el pánico resultante, creando sitios web falsos con la marca Trust Wallet que pedían a los usuarios que ingresaran sus frases semilla de recuperación para la "verificación de la billetera". Algunas víctimas fueron comprometidas dos veces.

La cuestión del infiltrado​

El cofundador de Binance, Changpeng Zhao (CZ), insinuó que el exploit de Trust Wallet fue "muy probablemente" llevado a cabo por un infiltrado o alguien con acceso previo a los permisos de despliegue. El propio análisis de Trust Wallet sugiere que los atacantes podrían haber ganado el control de los dispositivos de los desarrolladores u obtenido permisos de despliegue antes del 8 de diciembre de 2025.

Los investigadores de seguridad han notado patrones que sugieren una posible participación de estados-nación. El momento elegido — la víspera de Navidad — sigue el manual común de las amenazas persistentes avanzadas (APT): atacar durante las vacaciones cuando los equipos de seguridad cuentan con menos personal. La sofisticación técnica y la escala de la campaña Shai-Hulud, combinadas con el rápido lavado de fondos, sugieren recursos que van más allá de las operaciones criminales típicas.

Por qué las extensiones de navegador son excepcionalmente vulnerables​

El incidente de Trust Wallet resalta una vulnerabilidad fundamental en el modelo de seguridad cripto. Las extensiones de navegador operan con privilegios extraordinarios: pueden leer y modificar páginas web, acceder al almacenamiento local y, en el caso de las billeteras cripto, poseer las llaves de millones de dólares.

La superficie de ataque es masiva:

• Mecanismos de actualización: Las extensiones se actualizan automáticamente, y una sola actualización comprometida llega a todos los usuarios.
• Seguridad de las claves API: Las claves API de Chrome Web Store, si se filtran, permiten que cualquiera publique actualizaciones.
• Supuestos de confianza: Los usuarios asumen que las actualizaciones de las tiendas oficiales son seguras.
• Momento de las festividades: El monitoreo de seguridad reducido durante las vacaciones permite un tiempo de permanencia más largo de la amenaza.

Este no es el primer ataque de extensiones de navegador contra usuarios de criptomonedas. Incidentes anteriores incluyen la campaña GlassWorm que tuvo como objetivo las extensiones de VS Code y el fraude de la extensión FoxyWallet en Firefox. Pero la brecha de Trust Wallet fue la mayor en términos de dólares y demostró cómo los compromisos en la cadena de suministro amplifican el impacto de los ataques a las extensiones.

La respuesta de Binance y el precedente de SAFU​

Binance confirmó que los usuarios afectados de Trust Wallet serían reembolsados en su totalidad a través de su Fondo de Activos Seguros para Usuarios (SAFU). Este fondo, establecido tras un hackeo al intercambio en 2018, mantiene una parte de las comisiones de trading en reserva específicamente para cubrir las pérdidas de los usuarios por incidentes de seguridad.

La decisión de reembolsar sienta un precedente importante y plantea una pregunta interesante sobre la asignación de responsabilidades. Trust Wallet se vio comprometido sin culpa directa de los usuarios, quienes simplemente abrieron sus billeteras durante la ventana afectada. Pero la causa raíz fue un ataque a la cadena de suministro que comprometió la infraestructura de los desarrolladores, lo cual a su vez fue posible gracias a vulnerabilidades más amplias del ecosistema en npm.

La respuesta inmediata de Trust Wallet incluyó la expiración de todas las API de lanzamiento para bloquear nuevas versiones durante dos semanas, la denuncia del dominio de exfiltración malicioso a su registrador (lo que resultó en una pronta suspensión) y el lanzamiento de una versión 2.69 limpia. Se aconsejó a los usuarios migrar sus fondos a billeteras nuevas de inmediato si habían desbloqueado la extensión entre el 24 y el 26 de diciembre.

Lecciones para el ecosistema cripto​

La campaña Shai-Hulud expone vulnerabilidades sistémicas que se extienden mucho más allá de Trust Wallet:

Para desarrolladores​

Fije las dependencias explícitamente. La explotación de scripts de preinstalación funciona porque las instalaciones de npm pueden ejecutar código arbitrario. Fijar las versiones a versiones conocidas y limpias evita que las actualizaciones automáticas introduzcan paquetes comprometidos.

Trate los secretos como comprometidos. Cualquier proyecto que haya extraído paquetes de npm entre el 21 de noviembre y diciembre de 2025 debe asumir la exposición de sus credenciales. Esto significa revocar y regenerar tokens de npm, PAT de GitHub, claves SSH y credenciales de proveedores de la nube.

Implemente una gestión de secretos adecuada. Las claves API para infraestructuras críticas, como la publicación en tiendas de aplicaciones, nunca deben almacenarse en el control de versiones, ni siquiera en repositorios privados. Utilice módulos de seguridad de hardware (HSM) o servicios dedicados de gestión de secretos.

Aplique MFA resistente al phishing. La autenticación de dos factores estándar puede ser eludida por atacantes sofisticados. Las llaves de hardware como YubiKeys proporcionan una protección más fuerte para las cuentas de desarrolladores y de CI / CD.

Para usuarios​

Diversifique la infraestructura de sus billeteras. No mantenga todos sus fondos en extensiones de navegador. Las billeteras de hardware proporcionan aislamiento de las vulnerabilidades de software: pueden firmar transacciones sin exponer nunca las frases semilla a navegadores potencialmente comprometidos.

Asuma que las actualizaciones pueden ser maliciosas. El modelo de actualización automática que hace que el software sea conveniente también lo hace vulnerable. Considere deshabilitar las actualizaciones automáticas para extensiones críticas de seguridad y verificar manualmente las nuevas versiones.

Monitoree la actividad de su billetera. Los servicios que alertan sobre transacciones inusuales pueden proporcionar una advertencia temprana de compromiso, limitando potencialmente las pérdidas antes de que los atacantes vacíen billeteras enteras.

Para la industria​

Fortalecer el ecosistema npm. El registro npm es una infraestructura crítica para el desarrollo de Web3, sin embargo, carece de muchas características de seguridad que evitarían la propagación tipo gusano. La firma de código obligatoria, las compilaciones reproducibles y la detección de anomalías para las actualizaciones de paquetes podrían elevar significativamente la vara para los atacantes.

Replanteee la seguridad de las extensiones de navegador. El modelo actual, donde las extensiones se actualizan automáticamente y tienen permisos amplios, es fundamentalmente incompatible con los requisitos de seguridad para custodiar activos significativos. Los entornos de ejecución aislados (sandboxed), las actualizaciones retrasadas con revisión del usuario y la reducción de permisos podrían ayudar.

Coordine la respuesta a incidentes. La campaña Shai-Hulud afectó a cientos de proyectos en todo el ecosistema cripto. Un mejor intercambio de información y una respuesta coordinada podrían haber limitado el daño a medida que se identificaban los paquetes comprometidos.

El futuro de la seguridad de la cadena de suministro en cripto​

La industria de las criptomonedas se ha centrado históricamente en auditorías de contratos inteligentes, almacenamiento en frío de intercambios y protección contra el phishing para el usuario. La campaña Shai-Hulud demuestra que los ataques más peligrosos pueden provenir de herramientas de desarrollo comprometidas, una infraestructura con la que los usuarios de cripto nunca interactúan directamente pero que subyace a cada aplicación que utilizan.

A medida que las aplicaciones Web3 se vuelven más complejas, sus gráficos de dependencia crecen. Cada paquete de npm, cada acción de GitHub, cada integración de CI / CD representa un vector de ataque potencial. La respuesta de la industria a Shai-Hulud determinará si esto se convierte en una llamada de atención única o en el comienzo de una era de ataques a la cadena de suministro en la infraestructura cripto.

Por ahora, los atacantes permanecen sin identificar. Aproximadamente 2.8 millones de dólares de los fondos robados de Trust Wallet permanecen en las billeteras de los atacantes, mientras que el resto ha sido lavado a través de intercambios centralizados y puentes entre cadenas (cross-chain bridges). Los más de 50 millones de dólares en robos anteriores de la campaña Shai-Hulud han desaparecido en gran medida en las profundidades seudónimas de la blockchain.

El gusano de arena se ha enterrado profundamente en los cimientos de las criptomonedas. Erradicarlo requerirá replantear los supuestos de seguridad que la industria ha dado por sentados desde sus inicios.

---

La creación de aplicaciones Web3 seguras requiere una infraestructura robusta. BlockEden.xyz proporciona nodos RPC y APIs de nivel empresarial con monitoreo incorporado y detección de anomalías, ayudando a los desarrolladores a identificar actividades inusuales antes de que afecten a los usuarios. Explore nuestro mercado de APIs para construir sobre bases enfocadas en la seguridad.