Los proyectos Web3 sufrieron pérdidas valoradas en 464,5 millones de dólares a causa de ataques informáticos y estafas durante el primer trimestre de 2026, mientras que los "megaataques" de miles de millones de dólares dieron paso a un mayor número de incidentes de mediana envergadura, según la empresa de seguridad blockchain Hacken.
Según el informe del primer trimestre de 2026 de Hacken, los ataques de phishing e ingeniería social dominaron el periodo, representando 306 millones de dólares en pérdidas en un trimestre en el que se registraron 43 incidentes en total. Una sola estafa de monederos hardware valorada en 282 millones de dólares en enero fue responsable del 81 % de los daños del trimestre.
Las vulnerabilidades de los contratos inteligentes sumaron 86,2 millones de dólares, mientras que los fallos en el control de acceso, incluyendo claves comprometidas y servicios en la nube, provocaron pérdidas adicionales por valor de 71,9 millones de dólares.
Estas pérdidas sitúan a este trimestre como el segundo primer trimestre con menores pérdidas desde 2023, y la ausencia de un único megaataque a la escala de Bybit —que perdió 1.460 millones de dólares en el primer trimestre de 2025— es el principal factor del descenso interanual.
El mapeo de incidentes de Hacken muestra que los fallos más graves se producen cada vez más fuera del código on-chain, en capas operativas y de infraestructura que las auditorías tradicionales rara vez abordan. Yev Broshevan, CEO y cofundador de Hacken, declaró a Cointelegraph que los fallos más costosos "ocurren completamente fuera de la capa de código".
Según Hacken, este cambio está suscitando un mayor escrutinio por parte de los reguladores y las contrapartes institucionales, con marcos normativos como el Reglamento sobre los mercados de criptoactivos (MiCA) y la Ley de Resiliencia Operativa Digital (DORA) en la Unión Europea avanzando hacia su aplicación y aumentando las expectativas en torno a la supervisión continua de la seguridad y la respuesta a incidentes.
Código heredado, llamadas falsas de capital riesgo y compromisos de claves
Broshevan señaló 306 millones de dólares en phishing, una llamada falsa de un inversor de capital riesgo (VC) vinculada a Corea del Norte contra Step Finance valorada en 40 millones de dólares, y un compromiso del servicio de gestión de claves de AWS valorado en 25 millones de dólares en Resolv Labs. Incluso cuando la culpa era de los contratos inteligentes, los errores más costosos solían encontrarse en implementaciones heredadas y clases de vulnerabilidades conocidas. Truebit perdió 26,4 millones de dólares por un error en un contrato Solidity implementado hace unos cinco años, mientras que Venus Protocol se vio afectado por un patrón de ataque de donaciones documentado desde 2022.
Seis proyectos auditados, entre ellos Resolv con 18 auditorías y Venus con cinco firmas distintas, siguieron representando 37,7 millones de dólares en pérdidas. De media, esa cifra fue superior a la de sus homólogos no auditados, ya que los protocolos con un mayor valor total bloqueado (TVL) atraen a atacantes y exploits más sofisticados.
Los organismos reguladores mundiales endurecen las expectativas en materia de respuesta a incidentes
En el primer trimestre, MiCA y DORA en la UE avanzaron hacia una aplicación más activa de la normativa; el regulador de Dubái, la Autoridad Reguladora de Activos Virtuales, endureció las expectativas en torno a su Reglamento de Tecnología e Información; Singapur aplicó normas de capital alineadas con Basilea y de notificación de incidentes en el plazo de una hora; y la nueva Autoridad del Mercado de Capitales de los Emiratos Árabes Unidos asumió la supervisión federal de los activos digitales con poderes más amplios y sanciones más severas.
Hacken vincula esos regímenes a un nuevo punto de referencia para las pilas "listas para los reguladores" que incluye certificaciones de prueba de reservas respaldadas por una conciliación interna diaria, supervisión en cadena 24/7 de las carteras de tesorería y los roles privilegiados, cortacircuitos automatizados en las funciones de acuñación y gobernanza, y relojes de notificación de incidentes calibrados según el estándar aplicable más estricto.
El informe destaca objetivos "realistas" de detección en 24 horas, identificación en cuatro horas y bloqueo en 30 segundos, con metas "aspiracionales" de tan solo 10 minutos para la detección y 1 segundo para el bloqueo, basadas en las directrices de los datos de la "Laundering Race 2025" de Global Ledger.
En el ámbito humano, Hacken señala a los clústeres norcoreanos como la amenaza operativa más constante, dada la pérdida de 40 millones de dólares de Step Finance y la brecha en la infraestructura de Bitrefill ampliando un manual de estrategias que incluye contactos falsos con capital riesgo, herramientas maliciosas de videollamadas y terminales de empleados comprometidos que extrajeron aproximadamente 2.040 millones de dólares del sector en 2025.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
