¿Cuánto crypto se robó en 2025?

Aproximadamente $3.410 millones fueron robados en cerca de 200 incidentes en 2025, lo que representa un aumento del 46–52% respecto a los $2.200 millones de 2024. El incidente más grande — el hackeo de Bybit — representó $1.500 millones por sí solo, casi la mitad de todas las pérdidas.

¿Cuál fue el mayor hackeo crypto en 2025?

El hackeo de Bybit el 21 de febrero de 2025 fue el más grande, con $1.500 millones (401.347 ETH) drenados de wallets multisig basadas en Safe. Fue atribuido al Grupo Lazarus de Corea del Norte y sigue siendo el mayor hackeo crypto individual de la historia. El ataque comprometió claves de firma internas mediante ingeniería social y malware, no una vulnerabilidad de smart contract.

¿Quién está detrás de la mayoría de los hackeos crypto?

El Grupo Lazarus, patrocinado por el estado de Corea del Norte, es el mayor actor de amenazas individual, responsable de aproximadamente $2.000 millones en robos crypto solo en 2025 — un aumento del 51% respecto a 2024. Operan miles de trabajadores IT bajo identidades falsas que se infiltran en empresas crypto. Otros actores estatales incluyen Rusia (usando la stablecoin A7A5 para evasión de sanciones) e Irán (operaciones crypto vinculadas al CGRI financiando redes de milicias).

¿Qué pasó con el hackeo de Bybit?

El 21 de febrero de 2025, el Grupo Lazarus de Corea del Norte drenó 401.347 ETH ($1.500 millones) de las wallets multisig basadas en Safe de Bybit en Ethereum y Arbitrum. El ataque involucró meses de planificación: se utilizaron ingeniería social y malware para comprometer a empleados clave y sus dispositivos de firma. Después del robo, los fondos fueron fragmentados en nuevas direcciones y lavados a través de bridges cross-chain y servicios de mixing.

¿Cómo roba criptomonedas Corea del Norte?

Corea del Norte despliega miles de trabajadores IT operando globalmente bajo identidades falsas que se infiltran en empresas crypto, Web3 e IA para obtener acceso privilegiado. Sus operaciones combinan ingeniería social sofisticada, despliegue de malware contra poseedores de claves y ataques a la cadena de suministro. Después del robo, siguen un ciclo de lavado predecible de 45 días usando servicios en idioma chino, bridges cross-chain y mixers especializados, prefiriendo exchanges con bajo KYC sobre lending DeFi.

¿Qué es EIP-7702 y por qué es un riesgo de seguridad?

EIP-7702 fue introducido en la actualización Pectra de Ethereum en mayo de 2025 y permite que las cuentas de propiedad externa (EOAs) actúen temporalmente como smart contracts. Esto rompe varias suposiciones de seguridad de larga data: la protección de reentrancia 'require(tx.origin == msg.sender)' ya no es confiable, las direcciones en whitelist pueden convertirse en puertas programables, y las verificaciones 'extcodesize' fallan para EOAs delegadas. Crea una superficie de ataque novedosa que no existía antes de mayo de 2025.

¿Cómo puedo proteger mi crypto de hackeos?

Las defensas clave son: usar hardware wallets para autocustodia pero nunca compartir tu frase semilla con nadie; revocar aprobaciones de tokens no utilizadas regularmente; desconfiar de mensajes no solicitados incluso de agentes de soporte aparentes; verificar transacciones cuidadosamente antes de firmar; diversificar entre protocolos y chains para limitar la exposición; y usar herramientas de monitoreo de portafolio como CleanSky para ver tu exposición completa en todas las posiciones, aprobaciones y riesgos.

Informe de Seguridad Crypto 2025–2026: $3.400 millones robados, actores estatales y lo que cambió

Q: ¿Se está volviendo más seguro DeFi?

En ciertos aspectos, sí. Las pérdidas DeFi cayeron un 37% a $649 millones en 2025, lo que sugiere que la auditoría de smart contracts está madurando. Sin embargo, la superficie de ataque se ha desplazado: los exchanges centralizados sufrieron pérdidas de $1.800 millones, y los compromisos de wallets representaron el 69% del valor total perdido. El ecosistema en general no es más seguro — las amenazas se han movido del código a las personas y la infraestructura.

Resumen

En 2025 se robaron $3.410 millones en aproximadamente 200 incidentes — un aumento del 46–52% respecto a los $2.200 millones de 2024, a pesar de reducir el número de incidentes a la mitad. La proporción entre el hackeo individual más grande y la mediana superó las 1.000 veces por primera vez en la historia crypto. Un pequeño número de ataques catastróficos ahora dicta la salud financiera de todo el sector.

El cambio más importante: el vector de ataque dominante pasó de la explotación masiva de smart contracts a ataques dirigidos a infraestructura y la capa humana. Los exchanges centralizados sufrieron pérdidas de $1.800 millones. Los compromisos de wallets representaron el 69% del valor total perdido. Las pérdidas de protocolos DeFi en realidad cayeron un 37%, lo que sugiere que la auditoría de código está madurando — pero los humanos que operan la infraestructura siguen siendo profundamente vulnerables.

Mientras tanto, los actores patrocinados por estados alcanzaron una escala sin precedentes. El Grupo Lazarus de Corea del Norte robó aproximadamente $2.000 millones por sí solo. El volumen crypto vinculado a sanciones rusas se disparó un 694%. Los ataques habilitados por IA aumentaron un 89%, con estafadores que usan deepfakes extrayendo 4,5 veces más dinero que los operadores tradicionales.

Este informe examina los datos, los incidentes, la geopolítica y las amenazas emergentes — y explica lo que significa para cualquiera que posea o gestione activos digitales.

1. Los números: 2025 en datos

La cifra principal — $3.410 millones en pérdidas totales — solo cuenta parte de la historia. La estructura de esas pérdidas cambió fundamentalmente en 2025.

Si bien el número total de incidentes cayó de 410 en 2024 a aproximadamente 200 en 2025, la pérdida promedio por incidente se duplicó con creces. El Q1 de 2025 fue el peor trimestre en la historia crypto con $1.640 millones, impulsado casi por completo por el hackeo de Bybit. El Q2 trajo pérdidas de $801 millones, mientras que el Q3 se estabilizó en $509 millones a medida que la industria se adaptó. Septiembre de 2025 estableció un récord de 16 "hackeos millonarios" separados en un solo mes, demostrando que incluso mientras los mega-hackeos acaparaban la atención, la larga cola de ataques medianos continuaba sin cesar.

Las pérdidas DeFi cayeron a $649 millones, un descenso del 37% que refleja una mejora genuina en las prácticas de auditoría de smart contracts y programas de bug bounty. Pero las pérdidas de exchanges centralizados se dispararon a $1.800 millones — un aumento masivo impulsado por los incidentes de Bybit y Coinbase. Los compromisos de wallets fueron la categoría de ataque más eficiente: solo 34 incidentes representaron $1.710 millones, o el 69% de todo el valor perdido.

En una nota más positiva, la recuperación de fondos mejoró. Se recuperaron un total de $387 millones (13,2% de las pérdidas) mediante congelaciones on-chain, coordinación con fuerzas del orden y acciones de gobernanza de protocolos — cifras superiores a años anteriores tanto en términos absolutos como porcentuales.

Métrica	2025	vs 2024
Pérdidas totales	$3.410M	+46–52%
Incidentes	~200	-51%
Mayor hackeo individual	$1.500M (Bybit)	Nuevo récord
Pérdidas DeFi	$649M	-37%
Pérdidas CEX	$1.800M	Aumento masivo
Fondos recuperados	$387M (13,2%)	Mejorando

2. El mega-hackeo de Bybit: $1.500 millones

El 21 de febrero de 2025, el exchange con sede en Dubái Bybit sufrió el mayor hackeo individual en la historia de las criptomonedas. Un total de 401.347 ETH fue drenado de wallets multisig basadas en Safe que abarcaban Ethereum y Arbitrum. La pérdida — aproximadamente $1.500 millones en ese momento — representó cerca del 50% de todo el robo crypto en 2025.

La causa raíz no fue una vulnerabilidad de smart contract. Los atacantes comprometieron claves de firma internas a través de una campaña de meses que combinó ingeniería social y despliegue de malware contra empleados clave. Al obtener el control de suficientes claves de firma, pudieron autorizar transferencias masivas sin activar los sistemas de detección de anomalías del exchange.

Después del robo, los fondos fueron rápidamente fragmentados en direcciones recién generadas, movidos a través de bridges cross-chain y procesados mediante servicios de mixing. El ataque fue atribuido al Grupo Lazarus de Corea del Norte basándose en patrones de comportamiento on-chain, solapamiento de infraestructura de lavado y evaluaciones de la comunidad de inteligencia.

Compromiso de multisig

Un compromiso de multisig ocurre cuando un atacante obtiene el control de suficientes claves de firma para cumplir el umbral requerido de una wallet. En el caso de Bybit, el multisig basado en Safe era técnicamente sólido — la vulnerabilidad estaba en los humanos y dispositivos que poseían las claves. Incluso un multisig de grado institucional no puede proteger contra una campaña coordinada para comprometer la infraestructura de firma en sí misma.

El incidente de Bybit conlleva una lección crítica para la industria: la seguridad multisig es tan fuerte como la seguridad operativa de cada firmante. Cuando el entorno de firma — la combinación de personas, dispositivos y procesos — está comprometido, las protecciones criptográficas se vuelven irrelevantes. Para una mirada más profunda sobre cómo funciona multisig y sus limitaciones, consulta nuestra guía dedicada.

3. Coinbase: ataque de ingeniería social por $400 millones

En mayo de 2025, Coinbase reveló un ataque que se distinguió de todos los demás incidentes en este informe: no involucró ningún exploit técnico en absoluto. Los atacantes sobornaron y manipularon psicológicamente a empleados internos de soporte al cliente durante un período prolongado, obteniendo gradualmente acceso a herramientas administrativas de soporte.

Con ese acceso, los atacantes podían ver capturas de pantalla de cuentas de clientes, extraer credenciales y eludir mecanismos de autenticación. La brecha expuso datos de clientes y llevó a robos derivados. Coinbase destinó hasta $400 millones en compensación a clientes.

Ingeniería social

La ingeniería social es la manipulación de personas para que realicen acciones o divulguen información confidencial. En crypto, esto abarca desde correos de phishing y llamadas de soporte falsas hasta campañas de infiltración elaboradas y a largo plazo que involucran sobornos y manipulación psicológica de empleados. Los incidentes de Coinbase y Bybit demuestran que la ingeniería social — no los exploits de código — es ahora el principal vector de ataque para objetivos de alto valor.

El ataque a Coinbase subraya una realidad que la industria crypto ha tardado en reconocer: los procesos operados por humanos son a menudo el eslabón más débil en defensas que de otro modo serían técnicamente impenetrables. Ninguna cantidad de auditoría de smart contracts o seguridad criptográfica puede compensar al personal interno comprometido. Para los usuarios, esto refuerza el valor de la autocustodia para holdings significativos — tus activos en un exchange son tan seguros como el empleado menos consciente de la seguridad del exchange.

4. Principales exploits DeFi de 2025

A pesar del descenso general en las pérdidas DeFi, varios exploits en 2025 demostraron que los ataques a nivel de protocolo siguen siendo una amenaza seria — particularmente cuando apuntan a errores matemáticos sutiles o arquitecturas de chains novedosas.

Cetus Protocol — $223 millones

En mayo de 2025, Cetus Protocol, el mayor exchange descentralizado en la red Sui, fue golpeado por un exploit originado en un error de desbordamiento de enteros en sus cálculos de liquidez. El atacante creó tokens falsos imitando activos legítimos y explotó vulnerabilidades en la lógica de manejo de activos del protocolo para manipular precios on-chain. Los proveedores de liquidez quedaron con posiciones sin valor mientras el atacante drenaba los pools. El incidente destacó que los ecosistemas blockchain más nuevos como Sui enfrentan los mismos desafíos fundamentales de seguridad que Ethereum y otros — la novedad de la chain no confiere inmunidad.

Balancer V2 — $128 millones

En noviembre de 2025, Balancer V2 sufrió un exploit en múltiples chains debido a un error de redondeo en las matemáticas de sus pools estables componibles. El atacante creó secuencias de swaps que explotaban pequeñas discrepancias entre la contabilidad interna del protocolo y los balances reales del pool. Cada error de redondeo individual era insignificante, pero al ejecutar miles de transacciones calibradas con precisión, el atacante extrajo $128 millones. Este tipo de ataque es extremadamente difícil de detectar mediante auditorías estándar porque las matemáticas subyacentes son correctas de forma aislada — la vulnerabilidad solo emerge en la interacción entre el redondeo y las operaciones repetidas.

GMX V1 — $42 millones

En julio de 2025, GMX V1 en Arbitrum fue explotado a través de una vulnerabilidad de reentrancia. El atacante acuñó tokens GLP en exceso y manipuló los cálculos de AUM del protocolo ejecutando posiciones cortas directamente desde el contrato del vault, eludiendo por completo el ShortsTracker. El exploit demostró que incluso protocolos probados en batalla en redes Layer 2 pueden albergar vulnerabilidades latentes, particularmente en código legacy que es anterior a patrones de seguridad más recientes.

Proyecto	Fecha	Pérdida	Vector de ataque
Cetus (Sui)	May 2025	$223M	Desbordamiento de enteros / Lógica de liquidez
Balancer V2	Nov 2025	$128M	Error de redondeo en pools estables
Nobitex	Jun 2025	$90–100M	Compromiso de clave privada (político)
Phemex	Ene 2025	$73–85M	Compromiso de hot wallet
UPCX	Abr 2025	$70M	Actualización maliciosa de contrato
BtcTurk	Ago 2025	$48–50M	Exploit de hot wallet
CoinDCX	2025	$44M	Acceso no autorizado a tesorería
BigONE	2025	$27M	Cadena de suministro (herramientas de terceros)

Ataque a la cadena de suministro

Un ataque a la cadena de suministro compromete un objetivo indirectamente al atacar una herramienta, biblioteca o servicio de terceros de confianza del que depende el objetivo. En crypto, esto incluye paquetes npm comprometidos, extensiones de navegador maliciosas, interfaces de firma manipuladas (como en el compromiso de la UI de Safe de Bybit) y herramientas de desarrollo con puertas traseras. El incidente de BigONE en 2025 fue un ejemplo de manual: el código propio del exchange era seguro, pero una herramienta de integración de terceros había sido comprometida.

Para una historia completa de los principales exploits crypto, incluyendo los ataques a bridges de 2022 y los fallos de exchanges de 2023–2024, consulta nuestra cronología completa de hackeos crypto.

5. Ataques patrocinados por estados: la geopolítica del robo crypto

El robo de criptomonedas ya no es una historia sobre hackers anónimos y criminales oportunistas. En 2025, los actores de amenazas más significativos fueron estados-nación que utilizan el robo crypto y la evasión de sanciones como instrumentos de política exterior y financiación militar.

Corea del Norte — $2.000 millones en 2025

Las operaciones de robo crypto de Corea del Norte alcanzaron los $2.000 millones en 2025, un aumento del 51% respecto a 2024. El Grupo Lazarus, la principal organización de hackeo patrocinada por el estado, ha perfeccionado su enfoque de hackeos directos a exchanges a un modelo más insidioso: miles de trabajadores IT operando globalmente bajo identidades falsas, infiltrándose en empresas crypto, Web3 e IA para obtener acceso privilegiado desde dentro.

Estos operativos solicitan puestos de ingeniería y DevOps, pasan entrevistas técnicas y trabajan en empresas durante meses o años antes de explotar su acceso. Una vez dentro, pueden exfiltrar claves, instalar puertas traseras o autorizar directamente transacciones maliciosas. Los fondos robados siguen un ciclo de lavado predecible de 45 días a través de servicios en idioma chino, bridges cross-chain y mixers especializados. Cabe destacar que el Grupo Lazarus evita los protocolos de lending DeFi y prefiere exchanges con bajo KYC para convertir a efectivo.

Para contexto sobre cómo Corea del Norte lava crypto robado a través de infraestructura de bridges, consulta ¿Qué es un bridge crypto?

Rusia — la stablecoin A7A5

La actividad crypto de Rusia en 2025 se centró en la stablecoin A7A5, un token vinculado al rublo que procesó $72.000 millones en volumen total (un estimado del 34% del cual fue wash trading). A7A5 funciona como un puente para que las empresas rusas accedan a cadenas de suministro globales mientras evitan las sanciones occidentales. Las investigaciones vincularon transacciones A7A5 con la adquisición de componentes de misiles a través de intermediarios en China y Kirguistán.

Las transacciones crypto vinculadas a sanciones se dispararon un 694% en 2025, alcanzando $154.000 millones en volumen ilícito total en todas las entidades vinculadas a Rusia. Para más información sobre los riesgos que las stablecoins conllevan más allá de la estabilidad de precio, incluyendo exposición a sanciones y riesgo de contraparte, consulta nuestra guía de riesgos de stablecoins.

Irán — dominio del CGRI

El Cuerpo de Guardianes de la Revolución Islámica (CGRI) de Irán dominó la actividad crypto iraní en 2025. Solo en el Q4, las direcciones vinculadas al CGRI recibieron más del 50% de todo el valor que fluía a entidades iraníes on-chain. El CGRI movió más de $3.000 millones a través de canales crypto para financiar redes de milicias regionales y adquirir equipamiento de doble uso.

En febrero de 2026, los ataques militares estadounidenses-israelíes a infraestructura iraní desencadenaron movimientos de activos on-chain en tiempo real desde wallets vinculadas al CGRI — un ejemplo llamativo de datos blockchain sirviendo como barómetro de conflicto militar cinético. La inteligencia on-chain se ha convertido en una herramienta de análisis geopolítico por derecho propio.

6. Nuevos vectores de ataque: EIP-7702 y riesgos de account abstraction

La actualización Pectra de Ethereum en mayo de 2025 introdujo EIP-7702, un cambio técnico con implicaciones de seguridad significativas que aún se están comprendiendo. EIP-7702 permite que las cuentas de propiedad externa (EOAs) — wallets estándar de usuario — actúen temporalmente como smart contracts delegando la ejecución a una dirección de contrato.

Esto crea varias superficies de ataque novedosas:

Protecciones de reentrancia rotas. La protección histórica require(tx.origin == msg.sender), utilizada por muchos contratos para prevenir reentrancia, ya no es confiable. Una EOA que ha delegado a un contrato ahora puede ser tanto el origen de la transacción como un ejecutor de contrato simultáneamente.
Elusión de whitelists. Los contratos que incluyen direcciones EOA específicas en whitelist asumen que esas direcciones no pueden ejecutar código arbitrario. Con EIP-7702, una EOA en whitelist puede convertirse en una puerta programable, ejecutando cualquier lógica que contenga su contrato delegado.
Fallos en la detección de direcciones. La verificación extcodesize, comúnmente utilizada para determinar si una dirección es un contrato, ahora devuelve resultados poco fiables para EOAs delegadas. La lógica de seguridad que depende de distinguir entre wallets de usuario y contratos puede ser derrotada.

EIP-7702

Una Propuesta de Mejora de Ethereum introducida en la actualización Pectra (mayo 2025) que permite a las cuentas de propiedad externa delegar temporalmente la ejecución a código de smart contract. Si bien fue diseñada para mejorar la experiencia del usuario a través de account abstraction, rompe varias suposiciones de seguridad en las que los contratos han confiado desde el lanzamiento de Ethereum. Cualquier contrato que use verificaciones de tx.origin, detección de tipo de dirección o whitelisting de EOA puede necesitar ser reevaluado. Para más sobre account abstraction, consulta nuestra guía.

Estos riesgos no son teóricos. Los investigadores de seguridad demostraron exploits de prueba de concepto a las pocas semanas de la actualización. Cualquier protocolo que no haya auditado sus contratos frente a los cambios de comportamiento de EIP-7702 está operando con suposiciones que pueden ya no ser válidas. Esta es una superficie de ataque novedosa que simplemente no existía antes de mayo de 2025.

7. Inicios de 2026: señales de madurez — y nuevas amenazas

Febrero de 2026 trajo una estadística llamativa: una caída del 98,2% en pérdidas por hackeos comparado con febrero de 2025 ($26,5 millones vs $1.500 millones+). Si bien la comparación está sesgada por el valor atípico de Bybit, la tendencia más amplia a inicios de 2026 sugiere una mejor preparación de la industria — al menos contra los vectores de ataque que dominaron 2025.

Pero el Q1 de 2026 también trajo nuevos incidentes que demostraron cómo el panorama de amenazas continúa evolucionando:

Proyecto	Fecha	Pérdida	Causa
Usuario de Trezor	Ene 2026	$282M	Ingeniería social (soporte falso, frase semilla)
Step Finance	Feb 2026	$27–30M	Compromiso de clave de tesorería
TrueBit	Ene 2026	$26M	Desbordamiento de enteros en contrato legacy
SwapNet	Ene 2026	$13–17M	Vulnerabilidad de llamada arbitraria
YieldBlox	Feb 2026	$11M	Manipulación de oráculo en Stellar

El robo de $282 millones del usuario de Trezor merece atención particular. Un titular individual fue convencido por estafadores haciéndose pasar por agentes de soporte para revelar su frase semilla. Este es ahora el ataque de ingeniería social más costoso contra un individuo en la historia crypto. Las hardware wallets proporcionan una fuerte protección contra malware y extracción remota de claves — pero ofrecen cero protección contra un usuario que entrega voluntariamente su frase de recuperación. El dispositivo no puede distinguir entre una recuperación legítima y un ataque de ingeniería social.

Los incidentes de TrueBit y YieldBlox también ilustran un problema persistente: contratos legacy con clases de vulnerabilidad conocidas (desbordamientos de enteros, manipulación de oráculos) permanecen desplegados y custodiando fondos. Chains nuevas como Stellar no son inmunes a patrones de ataque contra los que los protocolos basados en Ethereum han aprendido a protegerse. Para más información sobre cómo las personas pierden crypto tanto por fallos técnicos como humanos, consulta nuestra guía.

8. Fraude con IA: robo de identidad 2.0

2025 vio un aumento del 89% en ataques habilitados por IA en todo el ecosistema crypto. La convergencia de grandes modelos de lenguaje, tecnología de deepfake con intercambio facial y clonación de voz ha cambiado fundamentalmente la economía de la ingeniería social.

Los estafadores con IA ahora despliegan deepfakes con intercambio facial para videollamadas en tiempo real y utilizan agentes de soporte simulados por LLM que pueden mantener conversaciones coherentes y contextuales durante horas. Estas herramientas extraen 4,5 veces más dinero por ataque exitoso que los estafadores humanos tradicionales. El volumen es igualmente preocupante: los operadores habilitados por IA ejecutan hasta 35 transferencias fraudulentas por día, comparado con 3,8 para estafadores solo humanos.

Fraude con IA

El uso de herramientas de inteligencia artificial — incluyendo video deepfake, clonación de voz y grandes modelos de lenguaje — para realizar robo de identidad, suplantación e ingeniería social a escala. En 2025, el fraude con IA se convirtió en la categoría de delito relacionado con crypto de más rápido crecimiento, con atacantes usando identidades sintéticas para pasar verificaciones KYC, suplantar agentes de soporte y manipular víctimas a través de phishing hiperpersonalizado.

Una amenaza emergente que los investigadores de seguridad señalaron a finales de 2025 es el "envenenamiento de agentes IA" — la inyección de datos maliciosos en agentes de trading automatizados o bots DeFi para redirigir fondos. A medida que más usuarios delegan la ejecución de transacciones a agentes IA, la superficie de ataque se expande: un feed de precios envenenado o un dataset de entrenamiento manipulado puede hacer que un agente ejecute transacciones que beneficien al atacante. Este riesgo se ve agravado por el hecho de que la mayoría de los agentes IA operan con aprobaciones amplias de tokens, dándoles permiso para mover activos sin confirmación del usuario por transacción.

Para pasos prácticos para defenderse contra estas amenazas, consulta Mantenerse seguro en crypto.

9. El colapso de la infraestructura NFT

Si bien no es una historia de hackeo en el sentido tradicional, el colapso de la infraestructura NFT de 2025–2026 representa un tipo diferente de fallo de seguridad: la pérdida de integridad de activos por abandono de plataformas.

La oferta de NFTs creció un 25% en 2025, pero el volumen de ventas cayó un 37%, con el precio promedio de venta cayendo por debajo de $100 para la mayoría de los segmentos del mercado. La presión económica resultó fatal para varias plataformas importantes: Nifty Gateway cerró en febrero de 2026, seguido por salidas de Kraken NFT y Bybit NFT.

El problema más profundo es estructural. Los análisis muestran que el 27% de las principales colecciones NFT dependen de servidores centralizados para sus metadatos — las imágenes, descripciones y atributos que definen lo que un NFT realmente representa. Cuando estas plataformas cierran, los enlaces de metadatos se rompen. Miles de NFTs ahora apuntan a URLs muertas. Los tokens siguen existiendo on-chain, pero no referencian nada. Millones de dólares en activos han sido reducidos a punteros digitales vacíos.

Esta es una forma de riesgo que la mayoría de los compradores de NFT nunca consideraron: la inmutabilidad del token en la blockchain no se extiende al contenido off-chain que referencia. La verdadera permanencia requiere almacenamiento on-chain o descentralizado (IPFS con pinning, Arweave), que la mayoría de las colecciones nunca implementaron.

10. Respuesta regulatoria: la era de la transparencia obligatoria

La escala de las pérdidas de 2025 aceleró los plazos regulatorios en todo el mundo. El desarrollo más significativo es el Reglamento de Mercados de Criptoactivos (MiCA) de la UE, que entra en plena aplicación el 1 de junio de 2026.

MiCA requiere licencias formales para todos los Proveedores de Servicios de Criptoactivos (CASPs), reservas de capital auditadas y reglas estrictas de segregación de activos. El reglamento exige que los fondos de clientes se mantengan separados de los activos corporativos — una respuesta directa al modelo de FTX donde los depósitos de clientes se mezclaban con las operaciones de trading.

Prueba de reservas

Un método mediante el cual los exchanges y custodios demuestran criptográficamente que poseen activos suficientes para cubrir los depósitos de clientes. Las implementaciones modernas utilizan árboles de Merkle y atestaciones on-chain en lugar de declaraciones financieras juradas, permitiendo verificación independiente sin revelar detalles de cuentas individuales. La prueba de reservas se está convirtiendo en un requisito regulatorio bajo MiCA y una expectativa del mercado tras el colapso de FTX.

Más allá de MiCA, varias tendencias regulatorias enfocadas en seguridad ganaron impulso en 2025:

Prueba criptográfica de reservas — Las atestaciones basadas en árboles de Merkle y pruebas de reservas on-chain están reemplazando las declaraciones juradas tradicionales. Los exchanges que pueden demostrar solvencia en tiempo real obtienen una ventaja competitiva.
Certificación SOC 2 Type II — se está convirtiendo en el estándar de seguridad base para infraestructura crypto institucional, cubriendo controles de acceso, gestión de cambios y respuesta a incidentes.
Monitoreo en tiempo real y pausa de protocolos — el modelo de Venus Protocol (septiembre 2025) mostró lo que es posible: el monitoreo de Hexagate detectó un ataque entrante 18 horas antes de su ejecución, el protocolo fue pausado mediante acción de gobernanza y los fondos fueron recuperados. Este enfoque de "defensa en profundidad" se está convirtiendo en un modelo a seguir.
Aplicación de la Travel Rule — la UE ahora requiere información de identidad para transferencias crypto que excedan €1.000, alineando crypto con los requisitos de transferencias bancarias tradicionales.
Cumplimiento por diseño — el monitoreo de sanciones OFAC se está incorporando cada vez más directamente en smart contracts e interfaces de usuario, impidiendo que direcciones sancionadas interactúen con protocolos a nivel de contrato.

MiCA

El Reglamento de Mercados de Criptoactivos es el marco regulatorio integral de la Unión Europea para la regulación de criptomonedas. Entrando en plena aplicación el 1 de junio de 2026, MiCA establece requisitos de licencia, reglas de adecuación de capital y estándares de protección al consumidor para todos los proveedores de servicios de criptoactivos que operen en la UE. Es el marco regulatorio específico para crypto más significativo a nivel global y se espera que influya en los enfoques regulatorios de otras jurisdicciones.

11. Lo que esto significa para ti

Los datos de 2025 cuentan una historia clara: la superficie de ataque se ha desplazado decisivamente del código a las personas y las operaciones. Para usuarios individuales y gestores de portafolios, las implicaciones prácticas son significativas.

Tus mayores riesgos no están donde crees. Las aprobaciones de tokens olvidadas, los entornos de firma comprometidos y la ingeniería social son ahora más peligrosos que los bugs de smart contracts. Si alguna vez otorgaste aprobaciones ilimitadas de tokens a un protocolo que ya no usas, esas aprobaciones permanecen activas y explotables. Revísalas y revócalas.

Las hardware wallets protegen contra malware y extracción remota de claves, pero no pueden protegerte de revelar tu frase semilla a un suplantador convincente. El robo de $282 millones del usuario de Trezor es la ilustración más costosa de esta distinción. Ningún dispositivo de hardware puede anular la decisión de un usuario de entregar su frase de recuperación.

La autocustodia combinada con una descentralización real sigue siendo el modelo de defensa más fuerte — si gestionas el riesgo humano. Los protocolos que sobrevivieron intactos a 2025 fueron aquellos con descentralización genuina: gestión distribuida de claves, gobernanza con bloqueo temporal y ningún punto único de fallo humano. Para orientación sobre cómo evaluar estas propiedades, consulta Entender el riesgo en DeFi.

Herramientas como CleanSky existen para ayudarte a ver tu exposición completa: todas las posiciones, todas las aprobaciones de tokens, todos los riesgos de protocolos en cada chain — en una sola vista. Cuando la superficie de ataque es tan amplia, la visibilidad es la primera línea de defensa.

La perspectiva institucional también es relevante como contexto. Para finales de 2026, se espera que el 76% de los inversores institucionales aumenten su exposición a activos digitales. El capital que fluye hacia crypto está creciendo, lo que significa que tanto el valor en riesgo como la sofisticación de los atacantes continuarán aumentando. El panorama de seguridad de 2025 es la nueva línea base, no el pico.

          12. Conclusiones clave
          Menos hackeos, mayor daño. La era de los mega-ataques dirigidos ha llegado. Aproximadamente 200 incidentes causaron más daño que los 410 del año anterior.
Los CEX y la infraestructura humana son ahora los objetivos principales, no el código DeFi. Los exchanges centralizados sufrieron pérdidas de $1.800 millones. Los exploits de protocolos DeFi en realidad cayeron un 37%.
Corea del Norte por sí sola robó $2.000 millones. Los actores patrocinados por estados son la mayor amenaza individual para el ecosistema crypto, y el problema está empeorando.
La IA está haciendo la ingeniería social dramáticamente más efectiva. Deepfakes, suplantación con LLM y operaciones de fraude automatizadas extraen 4,5 veces más por ataque que los operadores humanos.
La regulación (MiCA) está forzando estándares de seguridad de grado institucional. Prueba de reservas, segregación de activos y licencias formales se están volviendo obligatorias en las principales jurisdicciones.
El monitoreo en tiempo real y la pausa de protocolos salvaron fondos en múltiples casos. El modelo de Venus Protocol — detección temprana, pausa basada en gobernanza y recuperación coordinada — se está convirtiendo en el modelo para defensa proactiva.
La autocustodia es poderosa pero requiere vigilancia constante contra la ingeniería social. Las hardware wallets no pueden proteger contra el error humano. La mayor pérdida individual de 2026 fue un usuario que reveló voluntariamente su frase semilla.

        

Lecturas adicionales:

Ve tu exposición completa — escanea cualquier wallet con CleanSky. Todas las posiciones, todas las aprobaciones, todos los riesgos en cada chain. Sin registro necesario.

Prueba CleanSky Gratis →

Independencia editorial. CleanSky es un proyecto independiente. Este artículo no contiene enlaces de afiliados ni contenido patrocinado. Leer nuestra política editorial.