Los hacks de Web3 golpean $4B en 2025: Lo que los NFTs, DeFi y criptomonedas deben aprender | Noticias NFT de hoy

Los hacks en Web3 en 2025 alcanzaron un hito incómodo. Casi $4 mil millones se perdieron en criptomonedas, NFTs y DeFi debido a fallos de seguridad, estafas y errores humanos simples. La cifra proviene del Informe de Seguridad Anual de 2025 publicado por Hacken, y pinta un panorama que la industria no puede ignorar.

Este no fue un año definido por errores oscuros escondidos en código experimental. La mayor parte del daño provino de controles de acceso débiles, credenciales robadas y ingeniería social. En otras palabras, los mismos problemas que los equipos de seguridad han advertido durante años—ahora ocurriendo a una escala mucho mayor.

Si posees NFTs, operas en exchanges centralizados o construyes en Web3, las lecciones de 2025 importan más que nunca.

Un chequeo de realidad de $4 Mil millones para Web3

El informe de Hacken sitúa las pérdidas totales de 2025 en $4 mil millones. Esa cifra incluye brechas en exchanges, estafas de phishing, wallets comprometidas, rug pulls y exploits en protocolos.

Otras firmas, como CertiK y Chainalysis, estimaron totales menores—entre $2.5B y $3.2B—dependiendo de sus modelos de atribución. Sin embargo, todas las fuentes principales coinciden en que 2025 vio un aumento tanto en escala como en sofisticación de los ataques.

Lo que destaca no es solo el tamaño de las pérdidas. Es dónde provinieron.

Los ciclos anteriores de criptomonedas estaban dominados por errores en contratos inteligentes. En 2025, el equilibrio cambió. Fallos operativos y ataques sociales causaron más daño que el código roto. A medida que más capital fluía hacia Web3, los atacantes siguieron el dinero—y se centraron en los caminos más fáciles.

Para los usuarios de NFT, este cambio altera completamente el perfil de riesgo. Un contrato perfecto no ayuda si una aprobación de wallet o una solicitud de firma se abusa.

Cómo se desarrolló el año

Q1 Lo cambió todo

El año empezó mal. Para finales del primer trimestre, ya se habían perdido más de $2 mil millones. Eso convirtió al Q1 en el peor trimestre en seguridad de Web3 registrado.

El mayor impulsor fue la brecha en Bybit. Los atacantes no explotaron un contrato inteligente. Comprometieron la cadena de suministro y manipularon la infraestructura del front-end. Fue un recordatorio de que la seguridad en blockchain no termina en la cadena misma.

Tras ese incidente, las suposiciones de seguridad cambiaron rápidamente.

El ritmo se desaceleró, pero la amenaza no

Las pérdidas disminuyeron durante el resto del año. Para el Q4, el daño total del trimestre rondaba los $350 millones. Esa caída reflejaba una mejor conciencia y tiempos de respuesta más rápidos.

Aún así, el daño temprano no pudo ser revertido. Los atacantes ajustaron su estrategia en lugar de retirarse. Menos ataques. Impacto mayor.

Dónde se perdió el dinero

La mayor falla fue en el control de acceso

Más de la mitad de todas las pérdidas en 2025 provinieron de problemas en el control de acceso. Claves privadas comprometidas. Wallets multisig mal configurados. Credenciales internas abusadas o filtradas.

Nada de esto requirió exploits de última generación. En la mayoría de los casos, los atacantes simplemente obtuvieron acceso que no deberían haber tenido.

Los datos de Hacken muestran que $2.12 mil millones—o el 53% de todas las pérdidas—provienen de fallos en el control de acceso, convirtiéndolo en la principal causa de robo de criptomonedas en 2025.

Una idea clave: los wallets multisig demostraron ser vulnerables cuando los firmantes usaron dispositivos cotidianos. El exploit UXLINK vio a firmantes comprometidos acuñar trillones de tokens, drenar activos y vender en el mercado.

Es incómodo admitirlo, pero también es útil. Estos son problemas que los equipos pueden solucionar con mejores procesos.

El phishing se volvió más difícil de detectar

El phishing y la ingeniería social representaron casi $1 mil millones en pérdidas. Envenenamiento de wallets, mensajes falsos de soporte y estafas de suplantación evolucionaron continuamente.

La IA hizo que estos ataques fueran más convincentes. Entrevistas de trabajo falsas. Llamadas de video con deepfake. Mensajes que parecían exactamente algo que un proyecto real enviaría.

Un usuario perdió $50 millón en una sola transacción por envenenamiento de dirección—confundiendo la wallet de un estafador con una familiar. Otro perdió $330 millón en Bitcoin tras un largo engaño de ingeniería social.

Los traders de NFT eran objetivos frecuentes, especialmente en comunidades de Discord y Telegram.

Los exploits en contratos inteligentes no desaparecieron

Los errores en contratos aún causaron daños, sumando aproximadamente $512 millón en pérdidas. La mayoría de esos golpes fueron en protocolos DeFi, con proyectos basados en Ethereum siendo los más afectados.

Exploits notables incluyeron: Balancer v2 ($128M por un error de redondeo), GMX v1 ($42M por un bug de reentrancy), y Yearn yETH ($9M por acuñación infinita).

Las auditorías ayudaron a reducir la frecuencia, pero los casos límite y las integraciones siguieron creando riesgos. La seguridad del código mejoró. Pero no fue suficiente por sí sola.

Exchanges vs DeFi: diferentes puntos débiles

Las plataformas centralizadas sufrieron los mayores golpes

Los exchanges centralizados representaron más de la mitad de todas las pérdidas. El caso más visible fue Bybit, donde los atacantes explotaron el acceso front-end en lugar de la lógica de blockchain.

La custodia concentra el riesgo. Herramientas internas, proveedores externos y acceso de empleados amplían la superficie de ataque. Cuando algo sale mal, las cifras se disparan rápidamente.

La infraestructura DeFi y NFT permaneció expuesta

Los exploits en DeFi superaron los $500 millones en decenas de incidentes. Drenajes de liquidez, fallos en puentes y errores matemáticos reaparecieron una y otra vez.

Ethereum fue la cadena más atacada, en gran parte porque allí reside mucha actividad. Las plataformas NFT a menudo compartían wallets, permisos o servicios back-end con protocolos DeFi, lo que permitía que los riesgos se filtraran.

El papel de Corea del Norte creció notablemente

Uno de los patrones más claros en 2025 fue el de los atacantes vinculados a estados. Grupos ligados a Corea del Norte fueron responsables de alrededor del 52% de las pérdidas totales, robando más de $2 mil millones durante el año.

De hecho, 9 de cada 10 ataques en control de acceso se rastrearon hasta grupos de DPRK, usando tácticas como perfiles falsos de reclutadores, repos de GitHub con malware y entrevistas deepfake.

Los investigadores vincularon gran parte de esta actividad con actores asociados al Lazarus Group y al grupo TraderTraitor. Su enfoque se centró en phishing, suplantación y acceso interno, en lugar de exploits técnicos.

En comparación con 2024, el valor robado por estos grupos aumentó más del 50%. La escala y la coordinación destacaron.

Por qué los poseedores de NFT sintieron el impacto

Los NFTs no generaron las cifras en dólares más altas, pero los coleccionistas fueron objetivos principales. Enlaces falsos para acuñar. aprobaciones maliciosas. cuentas de Discord comprometidas que se hacían pasar por administradores del proyecto.

Una vez comprometida una wallet, los NFTs se mueven al instante. No hay retroceso. Los permisos en marketplaces a menudo permanecen activos mucho después de que los usuarios olvidan que los tienen.

Para la seguridad en NFT, los hábitos de wallet importan tanto como las medidas de la plataforma.

La IA cambió la ecuación de seguridad

La IA jugó ambos lados en 2025.

Los atacantes usaron automatización, deepfakes y mensajes adaptativos para escalar las estafas más rápido que antes. Los defensores respondieron con mejor monitoreo, detección de anomalías y triage más rápido de incidentes.

Plataformas de bug bounty como Immunefi ayudaron a detectar problemas temprano, demostrando que los incentivos aún importan.

La brecha entre ofensiva y defensiva no se cerró. Se movió.

La regulación empezó a ponerse al día

Las expectativas de seguridad se fortalecieron en las principales jurisdicciones.

En EE. UU., los marcos de licencias cada vez más exigen pruebas de penetración y gestión de claves con hardware seguro. En Europa, MiCA enfatiza la segregación de custodia y auditorías independientes.

Estas reglas no eliminarán las brechas. Sin embargo, elevan la línea base y dificultan justificar atajos.

Qué ayuda realmente de cara al futuro

Para los usuarios:
Las wallets de hardware reducen la exposición. Dispositivos dedicados aún más. Libros de direcciones y vistas previas de transacciones previenen errores comunes.

Para los equipos de NFT y Web3:
Una auditoría no basta. Revisiones en capas detectan más problemas. Configuraciones multisig y MPC reducen puntos únicos de fallo. La monitorización debe continuar después del lanzamiento.

Para la industria:
Estándares claros generan confianza. La madurez en seguridad ahora influye en la adopción y el flujo de capital.

Un año costoso, pero con una señal clara

Las $4 mil millones perdidos en hacks de Web3 en 2025 reflejan un crecimiento bajo presión. Los atacantes perfeccionaron sus manuales. Los defensores aprendieron en público. La transparencia expuso debilidades, pero también obligó a mejorar.

La seguridad se ha convertido en credibilidad. Para NFTs, DeFi y las criptomonedas en general, la próxima fase depende menos de la velocidad y más de la disciplina.

Preguntas frecuentes

Aquí algunas preguntas frecuentes sobre este tema:

1. ¿Cuánto se perdió en hacks de Web3 en 2025?

Hacken reportó $4.004 mil millones en pérdidas totales. Otras firmas como CertiK y Chainalysis estimaron entre $2.5B y $3.2B, dependiendo de las metodologías.

2. ¿Cuáles fueron las principales fuentes de pérdidas en criptomonedas en 2025?

La mayoría provino de fallos en el control de acceso (53%), seguido de phishing (24%) y vulnerabilidades en contratos inteligentes (13%).

3. ¿Corea del Norte fue realmente responsable de la mayoría de los hacks en Web3?

Sí. Los grupos vinculados a Corea del Norte fueron responsables de alrededor del 52% de las pérdidas de 2025, usando tácticas como phishing y ingeniería social.

4. ¿Siguen siendo efectivas las auditorías de contratos inteligentes?

Las auditorías ayudan a reducir riesgos, pero no son infalibles. Muchos exploits de 2025 ocurrieron en protocolos auditados o probados en batalla debido a casos límite pasados por alto.

5. ¿Cómo impactó la IA en la seguridad de Web3 en 2025?

La IA fue utilizada tanto defensivamente (para monitoreo) como ofensivamente (deepfakes, automatización de estafas), introduciendo nuevos riesgos como ataques de inyección de prompts.

6. ¿Qué pueden hacer los usuarios para proteger sus activos?

Usar wallets de hardware, evitar firmar transacciones desconocidas, verificar direcciones y practicar una higiene digital estricta, especialmente en plataformas sociales.