$1.5 mil millones. Desaparecidos en una tarde. Eso fue Bybit, febrero de 2025. El Lazarus Group de Corea del Norte no intentó romper la criptografía de Ethereum. En su lugar, inyectaron JavaScript malicioso en la interfaz de la billetera que usaba el equipo de Bybit, robaron un token de sesión de AWS, eludieron la autenticación multifactor y se llevaron 401.347 ETH. El FBI lo confirmó en cuestión de semanas.
Esto pone las cosas en perspectiva: fue más dinero que todos los exploits de DeFi en 2025 juntos. Un error operacional en un intercambio y $1.5 mil millones desaparecieron. Chainalysis reportó $3.4 mil millones en robos de blockchain para 2025, 55% más que los $2.2 mil millones del año anterior. El blockchain en sí funcionó bien. Los humanos que lo operaban no.
Cómo blockchain mantiene tus transacciones seguras#
Un blockchain es un libro mayor distribuido, una base de datos copiada en miles de computadoras alrededor del mundo. Cuando envías Bitcoin o interactúas con un contrato inteligente en Ethereum, la red valida esa transacción antes de que se vuelva permanente. Tres cosas hacen que manipularlo sea difícil.
El hash criptográfico vincula cada bloque con el anterior. Cada bloque contiene un hash, una huella digital matemática de los datos del bloque anterior. Para alterar una transacción, tendrías que recalcular cada hash en la cadena que viene después. En Bitcoin, con millones de mineros ejecutando cálculos SHA-256, eso requiere más poder computacional del que existe en la mayoría de los países.
La descentralización distribuye el libro mayor entre miles de nodos. Una base de datos bancaria tradicional vive en servidores en un sitio. Hackeas esos servidores y posees los datos. Un blockchain no tiene un único punto de fallo. El libro mayor existe en todas partes. Para comprometer la red tendrías que comprometer la mayoría de esos nodos simultáneamente, en diferentes países, redes y operadores.
Los mecanismos de consenso fuerzan a la red a estar de acuerdo antes de registrar algo. Los mineros de Bitcoin queman electricidad resolviendo acertijos criptográficos para validar transacciones. Los validadores de Ethereum arriesgan su propio ETH como garantía: si aprueban una transacción fraudulenta, pierden su dinero. Ambos enfoques encarecen el fraude. Atacar Bitcoin costaría miles de millones en hardware y electricidad. Atacar Ethereum significaría comprar y arriesgar miles de millones en ETH.
Esas tres capas juntas son la razón por la que nadie ha hackeado nunca el blockchain de Bitcoin o Ethereum. Pero la infraestructura que la gente construye encima es otra historia.
Los diferentes tipos de blockchain tienen diferentes compensaciones de seguridad#
La gente dice "blockchain" como si fuera una sola cosa. No lo es. Hay diferentes tipos con suposiciones de seguridad muy distintas.
| Tipo | Quién se une | Quién valida | La seguridad depende de | Utilizado por |
|---|---|---|---|---|
| Público | Cualquiera | Todos los nodos | Costo económico del ataque | Bitcoin, Ethereum |
| Privado | Solo invitados | Nodos seleccionados | Controles de acceso, confianza | Hyperledger Fabric |
| Con permiso | Miembros aprobados | Validadores designados | Gobernanza e identidad | Ripple, Corda |
| Híbrido | Tanto público como privado | Varía | Enfoque combinado | Dragonchain |
Las redes blockchain públicas tienen miles de validadores verificándose mutuamente. Para atacar Bitcoin necesitarías gastar más que toda la industria minera. Nadie lo ha hecho. El costo es la velocidad: toda esa validación distribuida es lenta.
JPMorgan ejecuta un blockchain privado porque necesita controlar quién participa. Para un banco, eso tiene sentido. Pero un blockchain empresarial con 20 validadores es muy diferente de uno con 20.000. Compromete un puñado de nodos y posees la red. Ese es el tradeoff de elegir privado sobre público.
Los blockchains híbridos dicen ofrecer lo mejor de ambos. En la práctica, también traen las debilidades de ambos.
Los mayores ataques a blockchain y qué salió realmente mal#
Mira los números y notarás algo. Casi ninguno de estos fue un ataque al protocolo blockchain en sí. Fueron fallos operacionales. Alguien reutilizó una contraseña. Alguien dejó una clave privada en un servidor. Alguien desplegó un contrato inteligente sin verificarlo correctamente.
| Ataque | Cantidad | Año | Causa raíz |
|---|---|---|---|
| Bybit | $1.5B | 2025 | JS malicioso en UI de billetera, tokens AWS secuestrados |
| DMM Bitcoin | $305M | 2024 | Compromiso de clave privada en exchange japonés |
| PlayDapp | $290M | 2024 | Vulnerabilidad de clave privada, plataforma de juegos |
| WazirX | $230M | 2024 | Exploit de billetera multi-firma a través de interfaz de custodia |
| Cetus DEX | $223M | 2025 | Verificación de desbordamiento faltante en código de exchange |
| Balancer | $128M | 2025 | Bug de dirección de redondeo |
| Orbit Chain | $80M | 2024 | Puente entre cadenas drenado |
Los compromisos de billetera y el robo de claves privadas explicaron el 69% de todos los valores robados en la primera mitad de 2025. Las cuentas de empleados comprometidas causaron el 55.6% de todos los incidentes en 2024. Nadie rompió ningún cifrado. Las personas hicieron clic en el enlace equivocado, reutilizaron contraseñas o dejaron claves donde no deberían haberlas dejado. Errores aburridos y prevenibles que cuestan cientos de millones cada uno.
Vulnerabilidades comunes de blockchain que debes conocer#
Después de quince años, nadie ha roto el registro blockchain central. Lo que sigue siendo roto es todo lo que está conectado a él.
Los contratos inteligentes están en la parte superior de la lista. Son fragmentos de código que se ejecutan automáticamente en cadena, y una vez implementados, no puedes actualizarlos como una aplicación normal. Un error en un contrato inteligente y cualquiera en el mundo puede explotarlo. The DAO aprendió esto en 2016 cuando un bug de reentrancy costó $60 millones. Nueve años después, sigue pasando. En 2024, el 8.5% de todos los robos vinieron de vulnerabilidades de contratos inteligentes. Un análisis de los 100 principales hacks de DeFi encontró que la verificación de entrada defectuosa causó el 34.6%.
| Vulnerabilidad | Qué sucede | Escala de daños |
|---|---|---|
| Ataque del 51% | Una entidad toma control mayoritario de la validación de la red | Ethereum Classic fue golpeado múltiples veces en 2020 |
| Ataque Sybil | Nodos falsos inundan la red para interrumpir el consenso | Común en blockchains más pequeños con pocos validadores |
| Phishing | Usuarios engañados para firmar transacciones maliciosas o revelar claves | $410M perdidos en H1 2025 en 132 incidentes |
| Exploit de préstamo flash | Fondos prestados manipulan precios de tokens dentro de una única transacción | Euler Finance — $197M, el más grande jamás registrado |
| Hack de puente | Las vulnerabilidades del puente entre cadenas permiten acuñar tokens sin respaldo | Las pérdidas bajaron de $338M (2023) a $114M (2024) |
| Rug pull | Los desarrolladores promocionan un token y luego drenan toda la liquidez | 1.9% del total de pérdidas en 2024 |
Aquí está la cifra que no puedo olvidar. De los protocolos que fueron hackeados en incidentes principales de DeFi, solo el 19% usaba billeteras multi-firma. El 2.4% tenía almacenamiento en frío. Un banco de mediano tamaño sería cerrado por los reguladores por operar así. La mayoría de los proyectos en cripto se lanzaron sin ninguno de los dos y simplemente esperaron lo mejor.
Mejores prácticas de seguridad en blockchain que realmente previenen hacks#
¿Qué diferencia a los proyectos que sobreviven de los que terminan en la lista de "mayores hacks"? Algunas cosas básicas, ninguna de ellas sorprendente.
Las auditorías de contratos inteligentes son lo primero. Pagas a una firma de seguridad independiente para que revise tu código antes de desplegarlo. Buscan bugs de reentrancia, errores de desbordamiento, fallos de control de acceso que resulten en pérdidas de $200 millones. Sí, cuesta dinero.
| Tipo de proyecto | Costo de auditoría |
|---|---|
| Token básico o NFT | $5,000 - $15,000 |
| Protocolo de staking o gobernanza | $15,000 - $40,000 |
| Protocolo DeFi completo (DEX, préstamos) | $40,000 - $100,000 |
| Sistema empresarial multi-cadena | $100,000 - $200,000+ |
CertiK, Hacken, OpenZeppelin, Trail of Bits son firmas que hacen este trabajo. Vale aclarar: los contratos auditados todavía han sido explotados. Pero los no auditados se colapsan con frecuencia mucho mayor.
Las billeteras multi-sig deberían ser obligatorias para cualquier cosa que maneje dinero real. Con dos o tres claves requeridas para firmar, una clave comprometida no te arruina completamente. Bybit usaba multi-sig y aun así fue atacado porque los atacantes fueron por la interfaz de firma en lugar de las claves. Entonces multi-sig es una capa de protección, no la única defensa.
El almacenamiento en frío es la mejor defensa para fondos que no necesitas mover ahora. Si una billetera nunca ha estado conectada a Internet, no puede ser hackeada en línea. Es así de simple. Cada intercambio que pasó 2024 y 2025 sin incidentes mantuvo la mayoría de los fondos de clientes sin conexión.
El monitoreo en tiempo real es donde se ve la diferencia. Venus Protocol tuvo un sistema que detectó llamadas sospechosas de contrato 18 horas antes de que llegara el ataque. Pausaron todo. Salvaron todo el dinero. El atacante incluso perdió dinero en tarifas de gas. Herramientas como Chainalysis Hexagate, Forta Network y OpenZeppelin Defender monitorean actividad en blockchain las 24 horas y detectan patrones que pasaríamos por alto.
Luego están las prácticas básicas que aún importan: módulos de seguridad de hardware para claves privadas, control de acceso basado en roles para que una sola persona no pueda autorizar transferencias grandes, rotación regular de credenciales, y un plan de respuesta a incidentes escrito antes de que algo salga mal.
DeFi se está volviendo más seguro, pero CeFi se está volviendo peor#
Los números de DeFi vs CeFi en 2024 son sorprendentes.
| Pérdidas 2024 | Incidentes | Año a año | |
|---|---|---|---|
| DeFi | $769M | 221 | Bajó 44.8% |
| CeFi | $726M | 11 | Subió 77.5% |
Eso otra vez: CeFi tuvo once incidentes. Once. Y perdieron casi tanto como DeFi con 221 incidentes. Un problema en un intercambio centralizado causa más daño que meses de exploits de DeFi combinados.
DeFi está mejorando. Las pérdidas de puentes bajaron. Más proyectos auditan antes de lanzar. Los programas de bug bounty de Immunefi pagan a hackers éticos para encontrar problemas primero, y funciona.
CeFi, en cambio, sigue empeorando. Los intercambios mantienen enormes cantidades de criptomonedas de clientes en un puñado de cuentas de empleados. Un correo de phishing que un desarrollador cae, y de repente hay otra pérdida de nueve dígitos. Bybit tuvo que reemplazar $1.5 mil millones en reservas de clientes en tres días después del incidente de febrero de 2025. Lo lograron, pero apenas. No todos lo harían.
El mercado de seguridad de blockchain está creciendo#
Fortune Business Insights valuó el mercado de seguridad de blockchain en $5 mil millones en 2025 y proyecta que llegará a $8.4 mil millones en 2026. Coherent Market Insights espera que alcance $128 mil millones en 2032, con un crecimiento anual del 57%.
Dos cosas están impulsando eso. Primero, hay más dinero en cadena cada año, lo que significa más dinero que proteger. Segundo, los reguladores dejaron de ser opcionales. El marco MiCA de la UE exige estándares de seguridad específicos de cualquier negocio de criptografía que opere en Europa. La CFTC de EE. UU. lanzó un programa piloto de activos digitales que acepta garantía tokenizada, pero solo de empresas con controles de seguridad serios. Si quieres dinero institucional, necesitas seguridad de grado institucional. Eso solía ser un punto de venta. Ahora es un requisito legal.
La tecnología también está mejorando. Anthropic ejecutó una prueba de seguridad y encontró $4.6 millones en vulnerabilidades de contratos inteligentes usando análisis de IA, el tipo de errores que habría tomado semanas para que auditores humanos detecten. Las pruebas de conocimiento cero permiten que las transacciones de cadena de bloques permanezcan privadas sin renunciar a la capacidad de verificarlas. La computación multiparte está apareciendo en la gestión de claves empresarial como alternativa a las configuraciones multi-sig tradicionales.
Qué significa esto para ti#
Si tienes criptografía, lo básico funciona: una cartera de hardware, tu frase semilla escrita en papel y guardada en un lugar seguro, autenticación de dos factores con una aplicación (no SMS), y desconfianza de cualquier enlace que afirme ser de tu intercambio. La mayoría de las personas que pierden criptografía la pierden por phishing o por almacenar mal las claves, no por vulnerabilidades de protocolo.
Si estás construyendo en cadena, necesitas un plan más complejo pero directo: audita antes de enviar, multi-sig en tu tesorería, monitoreo en tiempo real en tus contratos y un plan de respuesta a incidentes que escribas ahora, no a las 3 AM del sábado cuando todo se cae. La tecnología de libro mayor distribuido es sólida. Quince años de Bitcoin lo han probado. Pero los contratos inteligentes, puentes, carteras y seguridad operacional construidos sobre ella son tan buenos como las personas que los ejecutan. Y con $3.4 mil millones al año en pérdidas, está claro que no lo estamos haciendo bien.
