Mantente al día con el canal de WhatsApp de CriptoTendencia: Noticias al instante sobre Bitcoin, Altcoins, DeFi, NFT, Blockchain y Metaverso. ¡Suscríbete!

Tras un largo periodo de vulnerabilidad, la blockchain ha evolucionado para reforzar considerablemente los métodos de seguridad en los contratos inteligentes. La madurez en el sector es evidente, lo que mantiene con pocas posibilidades a los piratas informáticos a la hora de atacar los códigos. ¿Por qué continúan los robos en el sector de Web3?

En una reciente investigación de Sentora se aborda este fenómeno y se repasan las nuevas tendencias de los delincuentes informáticos. El trabajo muestra algunos ejemplos de cómo los atacantes están cambiando sus objetivos principales a la hora de abordar una plataforma. Al no poder vulnerar los smart contracts, los hackers atacan los eslabones débiles de esta cadena. 

Los puntos débiles de las plataformas son los humanos y sus errores habituales, así como todo el entramado relacionado con la Web2.

La evolución de la seguridad en los contratos inteligentes

El fin de la era de los errores de código marca un salto fundamental en el proceso evolutivo de la blockchain. Durante el auge de las finanzas descentralizadas (DeFi) en 2021, los protocolos se lanzaban con prisa para aprovechar la exposición a un mercado que crecía a ritmo acelerado. 

La improvisación, la prisa y la falta de experiencia de los desarrolladores daba como resultado códigos cargados de vulnerabilidades lógicas. Entre estas se encontraban los errores de redondeo y de reentrada, que costaron miles de millones de dólares de los inversores. 

Para principios de 2026 se puede decir con seguridad que esa época ya forma parte del pasado. El citado reporte destaca elementos como la estandarización de librerías de código abierto como OpenZeppelin, la adopción masiva de auditorías rigurosas y el uso de verificación formal, los cuales blindaron el corazón técnico de los proyectos.

Ahora, los desarrolladores no opera a ciegas, sino que usan bloques probados en batalla y lo que ahora se pueden considerar como impenetrables. Esta nueva era de seguridad de los contratos inteligentes obliga a los hackers a abandonar el análisis de estos códigos para buscar debilidades en otros lugares de este proceso.

Pero lo que queda claro es que los smart contracts ya no son el eslabón débil de la cadena, sino su cimiento más sólido. 

El nuevo epicentro de las «OpSec Gap» o brechas de seguridad

Como se menciona arriba, las «OpSec Gap» que ahora están en la mira de los piratas informáticos son los errores humanos y la infraestructura Web2. Las cifras que muestra el reporte de Sentora confirman plenamente este cambio de rumbo de los atacantes. 

Por ejemplo, destacan que en 2025 cerca del 70% de las pérdidas no estuvieron relacionadas con fallos en los smart contracts, sino en fallos tradicionales de seguridad.

Entretanto, los vectores principales de las pérdidas fueron los ataques de ingeniería social (phishing), robo de llaves privadas y vulnerabilidades en las carteras de firmas múltiples (multisig).

la seguridad en contratos inteligentes y los bugs de la Web2.
Ataques a los protocolos de Web3 por sector en 2025. Fuente: Sentora

Algunos ejemplos de vulneraciones

El trabajo remarca algunos casos que dejan en evidencia que el epicentro de los ataques se movió desde la Web3 hacia la Web2. Se trata de incidentes en los que el robo dejó detrás códigos técnicamente sanos, pero fallas garrafales por parte de factores externos. 

Entre los ejemplos más conocidos se destacan los siguientes:

  • Caso Lazarus Group (ingeniería social): una tendencia de interés de 2025 es cómo algunos grupos como Lazarus dejaron de buscar problemas en los códigos para enfocarse en empleados clave de algunos protocolos. Por ejemplo, envían enlaces por LinkedIn con malwares que al ser abiertos permiten el acceso a los ordenadores de los empleados.
  • Ataques a la interfaz (Front-end Hijacking): se citan casos donde el contrato inteligente era 100% seguro, pero los hackers lograron comprometer el servidor web del protocolo. Al hacer esto, inyectaron un código malicioso en el botón de «Conectar Cartera». El usuario creía que estaba interactuando con el protocolo real, pero en realidad estaba enviando sus fondos directamente a la cartera del atacante.
  • Compromiso de gobernanza (Multisig): el informe resalta incidentes donde el ataque no fue técnico, sino logístico: los hackers obtuvieron el control de la mayoría de las firmas necesarias (por ejemplo, 3 de 5 llaves) en una cartera multisig mediante el robo de credenciales de los administradores, lo que les permitió autorizar «legalmente» el retiro de todos los fondos.

La contradicción que emana de la madurez

El reporte remarca que existe una paradoja particularmente llamativa en este nuevo entorno. Por un lado, se destaca el hecho de que los hackers son astutos y flexibles, lo que les permite moverse para encontrar el punto débil. Este es el punto negativo que genera preocupación.

Pero esto choca con el punto positivo relacionado con la evolución de la Web3. La tecnología blockchain demuestra que la seguridad de los contratos inteligentes puede alcanzar un estado cercano a la perfección. Esto llega hasta tal punto que gigantes de la piratería como Lazarus optan por acudir a la Web2 para no perder tiempo en la búsqueda de fallas en la Web3.

Las recomendaciones del informe para alcanzar la seguridad integral

Como se hace evidente, la robustez de la Web3 no es suficiente para garantizar la seguridad de los fondos de los usuarios de las plataformas DeFi. Ahora domina una realidad equivalente a la de reforzar la puerta con acero y al mismo tiempo dejar la ventana abierta

En ese sentido, el reporte de Sentora recomienda algunos pasos indispensables para generar un clima de seguridad íntegro que suplante la actual unilateralidad. Estos pasos se resumen en:

  • Enfoque en Seguridad Operativa (OpSec): las instituciones deben implementar controles de gestión de llaves más estrictos.
  • Educación del usuario: dado que el factor humano es ahora el objetivo principal, la protección debe centrarse en prevenir el phishing y el fraude social.
  • Monitoreo en tiempo real: uso de herramientas de riesgo para detectar anomalías antes de que un compromiso de llaves vacíe los fondos.

Evaluación de riesgos y estrategias

La transición de las amenazas desde el código hacia la infraestructura operativa exige un cambio radical en la gestión de riesgos de 2026. La evaluación de riesgos ya no debe limitarse a una auditoría estática del contrato inteligente. Ahora es imperativo realizar auditorías de OpSec que identifiquen vulnerabilidades en la custodia de llaves y el acceso a servidores, plantea el reporte.

La estrategia central debe basarse en el principio de privilegio mínimo y la descentralización de la gobernanza, evitando que el compromiso de un solo individuo ponga en jaque todo el protocolo.

Deja un comentario