El ecosistema de las criptomonedas vive uno de sus mejores momentos en términos de precio y adopción institucional. Y, como suele ocurrir cuando hay dinero en movimiento, también vive uno de sus peores momentos en términos de seguridad. La industria ya ha perdido más de 600 millones de dólares debido a hacks en lo que va de 2026, y la firma de ciberseguridad blockchain CertiK advierte que lo peor podría estar por venir. El diagnóstico de sus investigadores es claro y preocupante: el crimen cripto es cada vez mayor: phishing, los deepfakes, los ataques a la cadena de suministro y las vulnerabilidades entre cadenas serán los grandes vectores de los hackeos más dañinos del año.
El fantasma de Bybit sigue presente
Para entender la magnitud del problema conviene recordar lo ocurrido en febrero de 2025. El 21 de ese mes, hackers norcoreanos robaron 1.500 millones de dólares en criptomonedas del exchange Bybit, con sede en Dubái, en aproximadamente 30 minutos. No fue una hazaña técnica de ciencia ficción: no rompieron ningún cifrado ni forzaron ninguna clave privada por la fuerza. Los atacantes comprometieron la computadora portátil de un solo desarrollador de un proveedor de billeteras de terceros, esperaron pacientemente durante semanas y atacaron cuando los empleados de Bybit estaban aprobando lo que parecía una transferencia interna rutinaria.
Ese es el patrón que define la nueva era del crimen cripto: no asaltar la caja fuerte, sino infiltrarse en quien tiene la llave. CertiK señalaba en diciembre de 2025 que las violaciones de la cadena de suministro surgieron como la amenaza más dañina del año, contabilizando 1.450 millones de dólares en pérdidas en solo dos incidentes.
Corea del Norte, S.A.
Detrás de los ataques más sofisticados aparece, una y otra vez, el mismo actor: el régimen de Pyongyang. Entre enero de 2024 y septiembre de 2025, actores norcoreanos orquestaron robos de criptomonedas por un total de al menos 2.800 millones de dólares, a través de grupos de hackers respaldados por el Estado. No se trata de ciberdelincuentes oportunistas: es una industria estatal del robo, sofisticada y financiada, cuyos beneficios sirven para eludir sanciones internacionales y financiar el programa de armamento de Kim Jong-un.
El grupo Lazarus opera con un modelo industrializado: compromiso de accesos internos, uso de credenciales legítimas y dispersión rápida de los fondos para dificultar su rastreo. Una vez robados los activos, los fondos son lavados a través de una extensa red de banqueros clandestinos y brokers OTC que operan a través de diferentes cadenas, jurisdicciones y rieles de pago. En el caso Bybit, en menos de un mes habían convertido más del 86% del ETH robado en Bitcoin a través de múltiples plataformas intermediarias.
La IA: arma de doble filo
El elemento más inquietante del panorama actual es la irrupción de la inteligencia artificial en el arsenal de los atacantes. Según Natalie Newson, investigadora senior de CertiK, ahora existen deepfakes más convincentes, agentes de ataque autónomos e «inteligencia artificial agéntica» capaz de escanear contratos inteligentes en busca de errores, redactar código de explotación y ejecutar ataques a velocidad de máquina.
En abril pasado quedó documentado un ejemplo concreto: un actor de amenazas conocido como «Jinkusu» estaba vendiendo herramientas diseñadas para eludir los controles KYC en bancos y plataformas cripto, utilizando deepfakes y manipulación de voz. Y la billetera Zerion reveló que hackers norcoreanos usaron IA en un ataque de ingeniería social de largo alcance para infiltrarse en sus sistemas.
Pero la IA no solo ataca: también puede defender. Los reguladores están respondiendo: el Departamento del Tesoro de EE.UU., a través de la Oficina de Ciberseguridad y Protección de Infraestructura Crítica, anunció en abril que amplía su programa de identificación de amenazas para incluir a empresas de activos digitales.
Lo que puede hacer el inversor
Ante este panorama, los consejos de CertiK suenan casi domésticos, pero son esenciales: verificar siempre la autenticidad de las URL y los contratos inteligentes antes de firmar cualquier transacción, y no mantener activos en reposo dentro de exchanges. Usar billeteras frías permite mantener seguros los activos que no se utilizan con regularidad y firmar transacciones sin exponer nunca las claves privadas.
El mercado cripto madura. Sus atacantes también. La diferencia es que los segundos no necesitan reguladores, auditorías ni transparencia para innovar. Esa asimetría es, hoy por hoy, el mayor riesgo del ecosistema.
