109 publicaciones etiquetados con "Seguridad"

Un tercio de los expertos en criptografía encuestados cree ahora que hay un 50 % o más de probabilidades de que las computadoras cuánticas rompan el cifrado actual de las blockchains para 2035. La Reserva Federal ha publicado un documento advirtiendo que las transacciones de Bitcoin registradas hoy ya son vulnerables a una futura decodificación. Y Google ha fijado un plazo interno para 2029 para migrar su propia infraestructura de autenticación a algoritmos seguros frente a la computación cuántica. El reloj marcado como "Q-Day" —el momento en que una computadora cuántica criptográficamente relevante (CRQC) deje obsoleta la criptografía de clave pública actual— ya no es teórico. Para la Web3, la pregunta no es si llegará, sino qué cadenas estarán preparadas cuando lo haga.

Google dice 2029 . Ethereum dice 2029 . La carrera para reemplazar cada ladrillo criptográfico en la plataforma de contratos inteligentes más grande del mundo — sin detener la máquina — ha comenzado oficialmente.

El 25 de marzo de 2026 , la Fundación Ethereum lanzó pq.ethereum.org, un centro de seguridad dedicado que consolida ocho años de investigación post-cuántica en una única hoja de ruta ejecutable. Más de 10 equipos de clientes ya están ejecutando redes de desarrollo ( devnets ) de interoperabilidad semanales, probando firmas resistentes a la computación cuántica en redes de prueba en vivo. El mensaje es inequívoco: la era de tratar la computación cuántica como una hipótesis lejana ha terminado.

Cada billetera de Ethereum, firma de validador y prueba de conocimiento cero se apoya en el mismo supuesto matemático: que factorizar números grandes y resolver logaritmos discretos es impracticable para cualquier computadora. Las máquinas cuánticas eventualmente destruirán ese supuesto. Cuando lo hagan, aproximadamente el 25% de todo el Bitcoin por valor — y una parte comparable de Ethereum — podría quedar expuesto en una sola tarde.

La Fundación Ethereum no está esperando a que llegue esa tarde. El 25 de marzo de 2026, lanzó pq.ethereum.org, un centro dedicado a la seguridad post-cuántica que consolida años de investigación en una única hoja de ruta ejecutable. Más de 10 equipos de clientes ya están ejecutando redes de desarrollo (devnets) de interoperabilidad semanales, y la fecha objetivo para las actualizaciones centrales de la Capa 1 es 2029.

Esta es la migración criptográfica más ambiciosa que cualquier red descentralizada haya intentado jamás — y ya está en marcha.

La línea de código más cara en la historia de las criptomonedas no fue un error. Fue un enlace de phishing.

En febrero de 2025, un desarrollador de Safe{Wallet} hizo clic en lo que parecía ser un mensaje rutinario. En cuestión de horas, operativos norcoreanos habían secuestrado tokens de sesión de AWS, eludido la autenticación multifactor y drenado $1.5 mil millones de Bybit — el robo individual más grande en la historia de las criptomonedas. No se explotó ninguna vulnerabilidad de contrato inteligente. Ninguna lógica on-chain falló. El código estaba bien. Los humanos no.

El Informe sobre Criptocrimen 2026 de TRM Labs confirma lo que aquel atraco presagiaba: la era del exploit de contratos inteligentes como la principal vía de amenaza cripto ha terminado. Los adversarios han "subido en la pila", abandonando la búsqueda de nuevas vulnerabilidades de código en favor de comprometer la infraestructura operativa — claves, billeteras, firmantes y planos de control en la nube — que rodea a protocolos que, de otro modo, serían seguros.

¿Qué pasaría si pudieras demostrar que ganas más de 100 000 $ al año, que posees un pasaporte válido o que tienes una puntuación crediticia FICO de 800, todo sin mostrar un solo documento? Esa es la promesa de zkTLS, y en 2026, está pasando rápidamente de la teoría criptográfica a la infraestructura de producción.

Zero-Knowledge Transport Layer Security (zkTLS) amplía el protocolo de cifrado que ya protege casi todos los sitios web que visitas. En lugar de limitarse a proteger los datos en tránsito, zkTLS genera pruebas matemáticas de que datos específicos provienen de una fuente verificada, sin exponer nunca la información subyacente. El resultado es un puente entre las bóvedas cerradas de datos de la Web2 y el mundo componible y sin permisos de la Web3.

Una sola verificación de autorización faltante. Diecisiete días sin ser detectada. Setenta y ocho NFTs de primer nivel (blue-chip) — incluyendo piezas de Art Blocks, Doodles y Beeple — fueron drenados de carteras que nunca iniciaron una transacción. El exploit de Gondi del 9 de marzo de 2026 es una clase magistral sobre cómo las "funciones de conveniencia" pueden convertirse en superficies de ataque, y por qué el sector de préstamos de NFTs enfrenta desafíos de seguridad que las DeFi de tokens fungibles nunca tuvieron que confrontar.

El 12 de marzo de 2026, una sola transacción de Ethereum convirtió 50,4 millones de dólares en USDT en 327 tokens AAVE con un valor aproximado de 36.000 dólares. La pérdida no fue causada por un hackeo, un exploit o un error en un contrato inteligente. Todos los protocolos involucrados — Aave, CoW Swap, SushiSwap — funcionaron exactamente según lo diseñado. El usuario confirmó una advertencia de impacto en el precio del 99,9 % en un dispositivo móvil, marcó una casilla y vio cómo casi cincuenta millones de dólares se evaporaban en bots de MEV en menos de treinta segundos.

Este incidente es el fallo de UX más costoso en la historia de las DeFi y obliga a plantearse una pregunta incómoda: si los sistemas sin permisos (permissionless) que "funcionan según lo diseñado" pueden destruir tanto valor, ¿quién es responsable de evitarlo?

Ocho wei. Eso es aproximadamente 0.000000000000000008 de un token — una cantidad tan pequeña que no tiene un valor significativo en dólares. Sin embargo, el 3 de noviembre de 2025, un atacante convirtió errores de redondeo a esa escala en 128 millones de dólares en activos robados, vaciando los Composable Stable Pools de Balancer en nueve blockchains en menos de treinta minutos.

El exploit de Balancer V2 es ahora el mayor exploit DeFi multi-cadena de una sola vulnerabilidad en la historia. Eliminó el 52% del valor total bloqueado (TVL) de Balancer de la noche a la mañana, sobrevivió a más de diez auditorías de seguridad de las principales firmas de la industria y obligó a una cadena — Berachain — a ejecutar un hard fork de emergencia solo para recuperar los fondos. ¿La vulnerabilidad? Una sola línea de código que redondeaba en la dirección incorrecta.

Tomó menos de una hora. El 31 de enero de 2026, un atacante descubrió que una sola función de contrato inteligente en la infraestructura de puente de CrossCurve carecía de una verificación de validación crítica — y drenó sistemáticamente $ 3 millones a través de Ethereum, Arbitrum y otras redes antes de que nadie pudiera reaccionar. Sin sofisticados ataques de día cero. Sin compromiso de claves internas. Solo un mensaje fabricado y una llamada a una función que cualquiera en la blockchain podría realizar.

El incidente de CrossCurve es un crudo recordatorio de que los puentes cross-chain siguen siendo la superficie de ataque más peligrosa en las finanzas descentralizadas — y que incluso los protocolos que presumen de arquitecturas de seguridad de múltiples capas pueden colapsar cuando un solo contrato falla.