Aviso: cierre de cifras del primer semestre de 2026 con datos del informe de TRM Labs publicado el 3 de julio de 2026, contrastados con The Block, UPI y BeInCrypto. Es un análisis editorial de CleanSky sobre incidentes públicos y estimaciones de terceros —la atribución a Corea del Norte es una tesis de firmas forenses, no un hecho confirmado por un tribunal—, no una guía de seguridad ni asesoramiento financiero. CleanSky no recibe comisiones ni pagos por referral de ninguna de las firmas o protocolos citados.

El primer semestre de 2026 cerró con un récord incómodo: 207 hackeos de criptomonedas, el número más alto jamás registrado por TRM Labs en un semestre, y aun así solo 972 millones de dólares robados —menos de la mitad de los 2.300 millones del mismo periodo de 2025. Más ataques, menos dinero: la frecuencia y la severidad se han desacoplado, y la explicación cabe en dos cifras. Corea del Norte (a través del grupo estatal Lazarus) concentró unos 643 millones de dólares, el 66 % del total, en apenas dos golpes de abril. El hackeo mediano del semestre, en cambio, costó 219.000 dólares. A fecha de 5 de julio de 2026, con el informe consolidado ya sobre la mesa, este artículo hace el cierre de libros del semestre: qué dicen las cifras definitivas, por qué la cuenta de incidentes se dispara mientras el botín se hunde, y qué revela ese desacople sobre una seguridad DeFi que madura a dos velocidades. No reargumentamos aquí que el ataque se ha movido del contrato al perímetro —eso ya lo defendimos con datos parciales en junio—; ponemos la cifra de cierre y la paradoja frecuencia-severidad como lo que de verdad distingue a este semestre.

¿Cuánto se robó en cripto en el primer semestre de 2026?

La foto de conjunto la firma TRM Labs, una firma de análisis on-chain (que rastrea el dinero directamente sobre la cadena de bloques) cuyos informes semestrales sirven de referencia al sector. Su cierre del 3 de julio pone dos números sobre la mesa que, leídos juntos, parecen contradecirse: 207 incidentes individuales —el semestre con más hackeos jamás contabilizado— y 972 millones de dólares robados en total, por debajo de la barrera psicológica de los mil millones y menos de la mitad de lo perdido un año antes.

El contraste con 2025 es la clave para entender el semestre. En el primer semestre de 2025 hubo 83 incidentes y se robaron 2.300 millones de dólares. En el mismo tramo de 2026, el número de incidentes se ha multiplicado por dos y medio, pero el dinero robado ha caído a menos de la mitad. Un ecosistema con muchísimos más ataques está perdiendo mucho menos dinero. Esa es la paradoja que ordena todo lo demás.

Métrica (primer semestre) 2025 2026 Variación
Incidentes registrados 83 207 +149 %
Pérdidas totales 2.300 millones de dólares 972 millones de dólares −58 %
Atribuido a Corea del Norte ~1.700 millones de dólares ~643 millones de dólares −62 %
Cuota de Corea del Norte ~74 % 66 % −8 pp

Conviene leer la última columna con cuidado: que Corea del Norte haya robado menos dinero en términos absolutos no significa que el ecosistema haya expulsado al actor más peligroso. Significa que un solo semestre depende tanto de un puñado de operaciones grandes que basta con que ese actor tenga un semestre «flojo» —dos golpes en lugar de cinco— para que la cifra agregada de todo el sector se desplome. La seguridad de DeFi, medida en dólares robados, sigue rehén de lo que haga un puñado de operadores estatales.

¿Por qué hubo más ataques pero menos dinero robado?

La respuesta corta es que se están sumando dos poblaciones de ataques que casi no se tocan. Por un lado, una masa creciente de exploits de contratos inteligentes (fallos en el código que gobierna los fondos) de bajo valor: muchos, baratos de ejecutar, y con botines modestos. Por otro, un puñado de compromisos de infraestructura —robo de claves privadas, envenenamiento de la operativa que rodea al código— que son raros pero devastadores. La primera población infla la cuenta de incidentes; la segunda infla la cuenta de dólares. Casi nunca son el mismo ataque.

El dato que mejor captura esto no es un total, sino la distancia entre la media y la mediana. La pérdida media por incidente en el primer semestre de 2026 fue de 4,7 millones de dólares. La pérdida mediana —la del hackeo que deja exactamente a la mitad de los casos por encima y a la mitad por debajo— fue de apenas 219.000 dólares. Cuando la media multiplica por veintiuno a la mediana, la distribución no tiene forma de campana: tiene forma de rascacielos rodeado de casetas. Unos pocos golpes gigantescos arrastran el promedio hacia arriba mientras la inmensa mayoría de los incidentes son, en términos de dinero, casi ruido de fondo.

Esa es la textura real del semestre. Un titular que dijera «se robó una media de 4,7 millones por hackeo» describiría un ecosistema que no existe: el hackeo típico de 2026 no roba millones, roba unos cientos de miles. Y un titular que dijera «el hackeo típico cuesta 219.000 dólares» ocultaría que dos operaciones se llevaron más que las otras doscientas cinco juntas. Solo las dos cifras leídas a la vez cuentan la verdad: frecuencia y severidad viven ya en planetas distintos.

¿Qué papel jugó Corea del Norte en las pérdidas de 2026?

El rascacielos de esa distribución tiene nombre. De los 972 millones robados en el semestre, unos 643 millones —el 66 % del total— los atribuye TRM Labs a actores vinculados a Corea del Norte, y prácticamente todo ese dinero salió por dos puertas abiertas en un mismo mes. El 1 de abril de 2026, Drift Protocol perdió unos 285 millones de dólares tras una operación de ingeniería social de meses en la que los atacantes se hicieron pasar por una firma de trading cuantitativo para ganarse el acceso. Semanas después, el 18 de abril, KelpDAO perdió unos 292 millones a través del exploit de su bridge (el puente que mueve activos entre cadenas). Juntos: unos 577 millones en dieciocho días.

No reconstruimos aquí la mecánica de esos dos golpes —lo hicimos incidente a incidente en cómo Lazarus robó 577 millones de DeFi en 18 días sin explotar un solo bug—. Lo que importa para el cierre de libros es la aritmética de la concentración: dos incidentes de doscientos siete explican casi seis de cada diez dólares robados en todo el semestre.

Segmento del semestre Incidentes Pérdidas % del total
Drift + KelpDAO (abril, atribuidos a Corea del Norte) 2 ~577 millones de dólares ~59 %
Resto del semestre 205 ~395 millones de dólares ~41 %
Total primer semestre 2026 207 972 millones de dólares 100 %

La cifra que da la dimensión histórica es acumulada: según TRM Labs, el robo de criptomonedas atribuido a Corea del Norte desde 2017 supera ya los 6.000 millones de dólares. No es oportunismo ni delincuencia común; los paneles de expertos de Naciones Unidas llevan años describiendo el saqueo de cripto como una línea de financiación estatal que alimenta el programa de armamento del régimen. Por eso el actor no «se retira» cuando tiene un semestre discreto: vuelve. Y una parte del reto posterior es qué hace con el dinero una vez robado, un problema de blanqueo que tocamos en el caso de THORChain y los fondos de Lazarus.

¿Por qué el hackeo mediano cuesta 219.000 dólares y la media 4,7 millones?

La brecha entre esas dos cifras no es una curiosidad estadística: es el retrato de dos economías del ataque que conviven bajo la misma etiqueta de «hackeo cripto». Vale la pena separarlas por vector, porque el informe de TRM permite hacerlo con números.

Vector de ataque Cuota de incidentes Cuota de pérdidas
Compromiso de infraestructura y claves privadas ~15 % ~76 %
Exploits de contrato inteligente ~60 % (125 de 207) cuota pequeña
Otros vectores ~25 % resto

La lectura es casi especular. Un 15 % de los incidentes —los compromisos de infraestructura, donde el atacante roba la clave privada o secuestra la operativa que rodea al código— se llevó cerca del 76 % de todo el dinero. En el otro extremo, 125 de los 207 incidentes fueron exploits de contrato inteligente, la mayoría del recuento, y entre todos apenas movieron la aguja en dólares. Los exploits de código son ahora el ruido de fondo de alta frecuencia; los compromisos de infraestructura, los pocos disparos que aciertan en la caja fuerte.

Aquí es donde este cierre de semestre enlaza con una tesis que ya defendimos y que no vamos a repetir en detalle: que el objetivo del gran robo se ha desplazado del contrato auditado al perímetro que lo rodea. Lo argumentamos con los datos parciales de abril en por qué los hacks de 2026 atacan la infraestructura, no el contrato. El informe consolidado del semestre no contradice aquella lectura: la confirma con la cifra definitiva. El 76 % de las pérdidas por compromiso de infraestructura en apenas el 15 % de los casos es, precisamente, el desplazamiento del locus del ataque medido a seis meses vista.

¿Está mejorando o empeorando la seguridad de DeFi?

La respuesta honesta es: las dos cosas a la vez, en capas distintas. Si se mira el contrato inteligente, la seguridad ha mejorado de forma tangible. Que haya 125 exploits de contrato y que entre todos roben una fracción menor del botín total significa que auditorías, verificación formal y bug bounties (recompensas por reportar fallos) han encarecido tanto vaciar un protocolo serio por la vía del código que a los atacantes grandes ya no les compensa esa ruta. El contrato se ha endurecido, y las cifras lo demuestran.

Pero si se mira el perímetro —la infraestructura, las claves, los operadores humanos, la configuración de los puentes—, la seguridad no ha seguido el mismo ritmo. Ahí es donde salió el 76 % del dinero, y ahí es donde la defensa no dispone del equivalente a una auditoría de contrato. Es una madurez desigual: la industria blindó la parte que sabía blindar y dejó relativamente descubierta la que cambia a diario y casi nadie escruta con el mismo rigor. La caída del botín total es real y es una buena noticia; atribuirla a que «DeFi es más seguro» sin matices sería confundir un semestre flojo de Lazarus con una defensa que ha resuelto el problema de fondo.

Este informe, además, tiene precedente de formato. El cierre del primer trimestre ya apuntaba la misma dirección con menos datos; la comparativa está en el informe de seguridad DeFi del primer trimestre de 2026. Leídos en secuencia, trimestre y semestre cuentan la misma historia con creciente nitidez: sube el número de incidentes, baja el dinero por incidente, y el gran botín se concentra en muy pocas manos.

¿Es fiable la atribución a Corea del Norte?

Es la pregunta que un lector escéptico debe hacerse, y la respuesta requiere matiz. La atribución de los 643 millones a Corea del Norte es una estimación de firmas de análisis forense —TRM Labs a la cabeza, con coincidencias de otras casas—, construida a partir de patrones on-chain, reutilización de direcciones, técnicas de blanqueo y solapamientos con operaciones previas ya atribuidas. Es un método sólido y ampliamente aceptado en la industria, pero es inferencia estadística sobre el comportamiento del dinero, no una confesión ni una sentencia judicial.

Y hay disputa abierta. Corea del Norte ya rechazó en mayo de 2026 —en respuesta a un informe parcial anterior de TRM Labs— cualquier implicación, calificando las acusaciones de «calumnia absurda» y de herramienta política de Estados Unidos, sin entrar a rebatir el método forense; a fecha de 5 de julio no consta reacción pública suya al informe semestral del 3 de julio. Nada de esto invalida los números —la coincidencia entre firmas independientes es relevante—, pero obliga a enunciarlos con precisión: 643 millones atribuidos a actores vinculados a Corea del Norte, no 643 millones cuya autoría esté probada más allá de toda duda. El cierre de libros del semestre incluye también esta cautela: la cifra estrella descansa sobre una atribución que su presunto autor niega.

¿Qué queda como lección del semestre?

El primer semestre de 2026 deja un titular que se lee mal de un vistazo y bien con dos cifras en la mano. «Récord de hackeos» es cierto —207, nunca hubo tantos— y «mínimo de pérdidas en años» también —972 millones, por debajo de mil millones y de la mitad de 2025—. Ambas frases describen el mismo semestre porque miden cosas distintas: una cuenta ataques, la otra cuenta dinero, y en 2026 esas dos magnitudes se han divorciado.

Para quien construye protocolos, la lección es que el número de auditorías del contrato dice cada vez menos sobre el riesgo real: el dinero grande sale por el perímetro. Para quien usa DeFi, la lección es de exposición: el hackeo que probablemente te afecte no es el titular de 285 millones, sino uno de los doscientos cinco de mediana modesta, y la mejor defensa individual sigue siendo saber qué infraestructura respalda cada activo que tocas y detectar pronto cuando un incidente empieza a contaminarlo. Y para el sector en su conjunto, la lección es de humildad estadística: mientras un solo actor estatal pueda decidir con dos operaciones si el semestre cierra en 972 millones o en 2.300, hablar de «DeFi más seguro» exige mirar la mediana tanto como el total.

Fuentes y enlaces: TRM Labs — informe H1 2026 (207 incidentes, 972 millones de dólares, media/mediana) · The Block (Corea del Norte y robo acumulado >6.000 millones de dólares desde 2017) · UPI (dos tercios del robo del semestre) · crypto.news (Corea del Norte niega la atribución) · BeInCrypto (hacks de junio 2026)

Artículos relacionados: Cómo Lazarus robó 577 millones de DeFi en 18 días. Por qué los hacks de 2026 atacan la infraestructura, no el contrato. Informe de seguridad DeFi del primer trimestre de 2026. Monitoriza tus posiciones y la exposición de tu portfolio en CleanSky — el hackeo que te afecta rara vez es el titular, sino uno de los muchos de mediana modesta que pasan sin ruido.