El año 2025 se ha consolidado como un período de profunda vulnerabilidad para el ecosistema de criptomonedas.
Los datos son alarmantes: solo en la primera mitad del año, los robos y fraudes totalizaron $2.17 mil millones, superando el valor desviado en todo el año 2024. Las proyecciones de ESET sugieren que las pérdidas podrían finalizar el año superando los $4 mil millones, marcando un máximo histórico.
Este escenario de pérdidas récord contrasta fuertemente con la institucionalización del sector, impulsada por entradas récord en ETF de criptomonedas y la inversión corporativa en Bitcoin.
Esta contradicción subraya una realidad crucial: la madurez financiera no ha ido de la mano con la madurez en ciberseguridad.
“La BBC señaló que el ataque de 1.500 millones de dólares al exchange Bybit, atribuido a hackers vinculados a Corea del Norte, fue el más grande de la historia, simbolizando así esta contradicción: incluso con avances regulatorios y técnicos, se siguen explotando fallas conocidas.” — Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Las Cuatro Principales Rutas de Explotación en 2025
El análisis de ESET detalla cómo vulnerabilidades de diferente naturaleza han permitido que ciberdelincuentes altamente especializados logren robos multimillonarios:
1. Ataques a Exchanges Centralizados (CEX) y Cadenas de Confianza
El caso más significativo del año fue el ataque al exchange Bybit, con una pérdida aproximada de $1.500 millones en Ethereum. La sofisticación del ataque reside en que no se violó directamente el servidor del exchange, sino a un proveedor externo.
Los atacantes comprometieron al proveedor e indujeron a Bybit a transferir los fondos a una dirección de billetera que creían propia, pero que en realidad pertenecía a los piratas informáticos.
Aprendizaje: Las integraciones externas y la cadena de suministro digital son ahora los puntos débiles críticos para las grandes plataformas.
2. Exploits y Errores Lógicos en Protocolos DeFi
El espacio de las Finanzas Descentralizadas (DeFi) sigue siendo un objetivo recurrente. El ataque a Balancer, que resultó en pérdidas superiores a $100 millones, demostró que pequeños errores en la lógica del código pueden tener consecuencias catastróficas.
Un error simple en el contrato inteligente permitió retiros no autorizados.
El impacto se extendió a otros proyectos derivados, como Beets Finance.
Aprendizaje: Urge la necesidad de auditorías continuas e independientes de código, un desafío para protocolos que priorizan la velocidad de lanzamiento.
3. Ingeniería Social y Phishing Dirigido al Usuario
A pesar de los ataques a gran escala, el usuario individual sigue siendo el blanco predilecto. Las estafas de phishing —engaños para que la víctima entregue sus credenciales voluntariamente— generaron $410 millones en pérdidas.
Los ataques dirigidos a individuos representaron el 23,35% de todos los fondos robados.
Aprendizaje: La ingeniería social se mantiene como una herramienta tan eficiente como cualquier intrusión técnica, destacando la falla humana.
4. Vulnerabilidades en “Puentes” (Bridges)
Aunque 2025 no registró un incidente de la magnitud de años anteriores, la memoria de ataques como el del puente Ronin (2022, $600 millones) sigue siendo una alerta. Los bridges, esenciales para la interconectividad entre redes, amplían peligrosamente la superficie de ataque. Un error de código en un puente puede generar un colapso sistémico.
La Profesionalización del Crimen Cripto
“Los ataques recientes revelan el creciente nivel de profesionalización de la ciberdelincuencia relacionada con las criptomonedas,” concluye Gutiérrez Amaya.
Si bien la industria ha madurado en regulación y transparencia, los ciberdelincuentes han demostrado ir un paso por delante, explotando:
Errores humanos.
Integraciones externas mal administradas.
Código no auditado en protocolos de rápida innovación.
La innovación por sí sola no elimina estas vulnerabilidades; la seguridad debe convertirse en la prioridad máxima para restaurar la confianza en el futuro del ecosistema cripto.
