Las pérdidas por phishing en criptomonedas en 2025 caen drásticamente un 83%, pero los atacantes están cambiando a una estrategia de "red de difusión amplia"

Según el último informe de Scam Sniffer, plataforma de seguridad Web3, las pérdidas por phishing relacionadas con carteras en 2025 cayeron un 83%, hasta 83,85 millones de dólares. Sin embargo, la disminución en el total de pérdidas oculta una tendencia más oculta: los atacantes están abandonando la “caza de ballenas” y se están inclinando hacia una estrategia de “tirar la red” dirigida a usuarios minoristas.

El informe señala que el ecosistema sigue activo, y que nuevos vectores de ataque han surgido con las actualizaciones de Ethereum, lo que indica que la seguridad y la defensa entrarán en una fase más compleja. Al mismo tiempo, aunque en diciembre las pérdidas totales por hackers disminuyeron un 60% respecto al mes anterior, la evolución de los ataques de phishing, como amenaza persistente, merece mayor vigilancia por parte de los inversores comunes.

La sombra tras la euforia del mercado: alta correlación entre pérdidas por phishing y ciclos

A pesar de que los datos anuales muestran una caída drástica en las pérdidas totales, un análisis más profundo de los datos mensuales revela que las actividades de phishing en criptomonedas no han desaparecido, sino que muestran una sincronización sorprendente con la volatilidad del mercado. El informe de Scam Sniffer revela que las pérdidas por phishing son en esencia una “función de probabilidad” de la actividad en la cadena de usuarios: cuando el entusiasmo del mercado está en auge y las transacciones en la cadena son frecuentes, el número absoluto de víctimas también aumenta. Esta regla se confirmó en el tercer trimestre de 2025, que coincidió con la fase de mayor crecimiento de Ethereum en el año, alcanzando un pico de pérdidas por phishing de 31 millones de dólares, con solo agosto y septiembre contribuyendo con casi el 29% del total anual.

Desde un punto de vista de datos específicos, la influencia del mercado en la magnitud de las pérdidas es significativa. En diciembre, cuando el mercado estuvo más tranquilo, las pérdidas mensuales por phishing fueron solo 2,04 millones de dólares; en cambio, en agosto, cuando la actividad alcanzó su punto máximo, esta cifra se disparó a 12,17 millones de dólares, casi seis veces más. Esta fuerte correlación advierte a los inversores: el bullicio de un mercado alcista no solo es un signo de crecimiento de la riqueza, sino también una señal de que los actores maliciosos están más activos en su caza. Nos recuerda que la vigilancia en seguridad no debe relajarse por el estado de ánimo del mercado, sino que debe intensificarse en momentos de FOMO.

Detrás de estas olas cíclicas de ataques, se encuentra un ecosistema subterráneo maduro e industrializado de “robos como servicio”. La modularidad y disponibilidad de herramientas y scripts de ataque permiten que incluso criminales con poca capacidad técnica puedan lanzar ataques rápidamente cuando el mercado está en auge. Por ello, la conclusión del informe de que “el ecosistema de robos sigue activo” no es una exageración, sino una descripción objetiva de un mercado oscuro que se adapta y busca beneficios. Los viejos robos pueden abandonar el mercado por acciones legales o por obsolescencia tecnológica, pero siempre surgen nuevos actores para llenar el vacío, esperando el próximo ciclo de mercado.

Evolución de estrategias: de “cazar ballenas” a “pescar en red” en una estrategia de reducción

El cambio más notable en el phishing en criptomonedas en 2025 no es solo la reducción en las pérdidas, sino un cambio fundamental en las estrategias de ataque. Antes, los atacantes solían planear “explosiones precisas” dirigidas a individuos o instituciones de alto valor, con casos que robaban decenas de millones de dólares en una sola operación, causando conmoción en el mercado y amplia cobertura mediática. Sin embargo, los datos de este año muestran que ese patrón de “caza de ballenas” está en declive. Solo 11 casos de pérdidas superiores a 1 millón de dólares en todo el año, en comparación con 30 en 2024.

En su lugar, surge una estrategia más oculta, persistente y dirigida a un público más amplio de usuarios minoristas: una estrategia de “tirar la red”. La manifestación más clara de este cambio es la reducción significativa en la pérdida media por víctima. En 2025, la pérdida promedio por víctima cayó a 790 dólares, en contraste con años anteriores, donde las pérdidas individuales alcanzaban decenas o incluso millones de dólares. La lógica de los atacantes cambió radicalmente: en lugar de arriesgarse y usar recursos complejos para apuntar a una “ballena” bien protegida, prefieren usar herramientas automatizadas para atacar a miles de usuarios comunes con costos marginales muy bajos. Aunque la tasa de éxito no sea alta, la gran base de víctimas puede generar ganancias acumuladas considerables.

Datos clave en la evolución de estrategias en 2025

• Pérdida media por operación: 790 dólares (reducción significativa, dirigida a usuarios minoristas)
• Casos de más de un millón de dólares: 11 (una disminución del 63% respecto a 2024, con 30 casos)
• Pérdida máxima anual por phishing: 6,5 millones de dólares (usando firma maliciosa Permit)
• Pérdidas por nuevos vectores de ataque EIP-7702: 2,54 millones de dólares (solo en dos casos en agosto)

Este cambio de estrategia plantea nuevos desafíos para el ecosistema de seguridad. Los robos de gran cuantía suelen activar respuestas rápidas por parte de proyectos, exchanges y empresas de seguridad, mediante rastreo en la cadena y congelación de fondos, dificultando el lavado de dinero. Sin embargo, las pérdidas dispersas en cantidades de cientos de dólares, suelen ser difíciles de denunciar, con altos costos de persecución y recuperación, y los atacantes tienden a ocultar sus rastros tras el robo. Esto indica que el phishing está evolucionando de una amenaza “impulsada por noticias” a un riesgo más normalizado y difuso en todo el ecosistema cripto, con un alcance que no debe subestimarse.

La doble cara de la actualización tecnológica: Permit y EIP-7702, nuevos campos minados

Mientras las estrategias de ataque se “reducen en dimensión”, las técnicas de ataque avanzan rápidamente, siguiendo el ritmo de las evoluciones tecnológicas en Ethereum y otras cadenas principales. Los casos de 2025 muestran claramente cómo los atacantes aprovechan rápidamente nuevos protocolos y estándares para lanzar ataques. Entre ellos, las autorizaciones maliciosas basadas en firmas Permit y Permit2 siguen siendo las armas más peligrosas. La mayor operación de phishing en 2025 ocurrió en septiembre, con una pérdida de 6,5 millones de dólares, aprovechando una firma maliciosa Permit. En más del 38% de los casos con pérdidas superiores a 1 millón de dólares, se relacionan con ataques basados en Permit.

La peligrosidad de Permit radica en su conveniencia para el usuario, que puede firmar una autorización una sola vez y permitir que terceros operen sus tokens sin pagar gas en cada transacción. Originalmente, esto buscaba mejorar la eficiencia en interacciones DeFi. Pero si un usuario firma sin entender completamente, puede estar autorizando a un contrato malicioso para vaciar su wallet. La característica de “firma única, autorización ilimitada” la convierte en una trampa preferida en phishing.

Más adelante, la aparición de EIP-7702 representa un nuevo campo minado. Este estándar, lanzado junto con la actualización de Ethereum Pectra, busca mejorar la abstracción de cuentas. Sin embargo, en muy poco tiempo, los atacantes ya han desarrollado firmas maliciosas basadas en EIP-7702. Lo alarmante es que permite a los atacantes combinar múltiples operaciones peligrosas en una sola firma, por ejemplo, autorización, transferencia y cambios de permisos, en una sola transacción aparentemente normal. En agosto de 2025, dos casos relacionados causaron pérdidas totales de 2,54 millones de dólares, evidenciando la rapidez con que los atacantes adaptan sus armas a cambios en el protocolo. Esto no solo revela vulnerabilidades técnicas, sino que plantea un problema de seguridad en el ecosistema: cada actualización destinada a mejorar rendimiento y experiencia puede ser rápidamente aprovechada por actores maliciosos, creando nuevas armas en el bosque oscuro.

Factores múltiples detrás de la caída de pérdidas y lecciones para la industria

La significativa reducción en las pérdidas por phishing en 2025 no se debe a una sola causa, sino a una interacción de factores en el ecosistema, infraestructura de seguridad, educación de usuarios y entorno de mercado. En primer lugar, los principales exchanges centralizados y proveedores de wallets han reforzado en los últimos años sus medidas de seguridad integradas, como advertencias de riesgo de autorización, bloqueo de contratos sospechosos y funciones de simulación de transacciones. Estas medidas actúan como “barreras de velocidad” antes de que los usuarios realicen operaciones críticas, evitando muchas acciones impulsivas.

En segundo lugar, tras múltiples ciclos de mercado y casos dolorosos, la conciencia de seguridad de los usuarios de criptomonedas ha mejorado notablemente. Cada vez más usuarios usan wallets hardware para gestionar grandes fondos, revisan contratos con herramientas de seguridad antes de interactuar, y son más cautelosos con frases típicas como “transferencia sin gas” o “reclamar airdrops”. La cultura de seguridad comunitaria y la ayuda mutua, compartiendo dominios y direcciones sospechosas, también fortalecen la defensa.

Por otro lado, datos de instituciones como PeckShield muestran que en diciembre de 2025, las pérdidas totales en la industria por hackers y vulnerabilidades alcanzaron aproximadamente 76 millones de dólares, un descenso del 60% respecto a meses anteriores. Esto indica que la seguridad en el sector se ha fortalecido, y que las pérdidas por phishing, como parte de ello, también se ven favorecidas por un entorno más saludable. Sin embargo, debemos ser conscientes de que la “persistencia” de las actividades maliciosas no ha cambiado. Por ejemplo, en diciembre, dos incidentes importantes —una estafa con 50 millones de dólares en dirección y una filtración de claves de multisig por 27,3 millones— muestran que, ya sea mediante ingeniería social o vulnerabilidades técnicas, fondos sustanciales siguen en riesgo.

Por ello, para los inversores comunes, este período de relativa calma es la mejor oportunidad para consolidar hábitos de seguridad. No hay que interpretar la caída de datos como la desaparición de amenazas, sino como un equilibrio dinámico entre la estrategia de los atacantes y las defensas del sector. Este equilibrio es muy frágil, y una próxima fiebre del mercado o una nueva innovación tecnológica pueden romperlo.

La vanguardia de la defensa: guías prácticas de seguridad para usuarios de criptomonedas

Frente a amenazas de phishing en constante evolución y estrategias variadas, esperar pasivamente que las plataformas protejan no es suficiente; construir activamente un sistema de seguridad personal es una obligación para cada participante del mercado. En primer lugar, en la gestión de autorizaciones, se debe mantener un principio de minimalismo y limpieza periódica. Dejar de usar “autorizaciones ilimitadas”, y solo autorizar la cantidad mínima necesaria para cada interacción en DeFi o NFT, y revocar inmediatamente tras completar la operación. Utilizar funciones de revisión de “Token Approval” en exploradores como Etherscan o herramientas especializadas como Scam Sniffer para revisar y revocar autorizaciones innecesarias.

En segundo lugar, entender y ser cauteloso con los nuevos riesgos de firma es fundamental. Para cualquier transacción que requiera firma de “Permit”, “Permit2” o relacionadas con “EIP-7702”, se debe usar la función de simulación de transacciones del wallet para previsualizar todas las operaciones potenciales. No dejarse engañar por frases como “ahorrar gas” o “firma con un clic”; si no se comprende completamente la solicitud, se debe rechazar por alto riesgo. Recordar que cada firma en el mundo cripto equivale a poner un sello en un cheque en blanco, por lo que hay que asegurarse de qué se está autorizando.

Por último, construir una arquitectura de gestión de activos en capas. Esta es la estrategia de seguridad a nivel institucional adaptada a nivel personal. Mantener la mayor parte de los fondos a largo plazo (como Bitcoin, Ethereum) en carteras hardware completamente desconectadas, y solo una pequeña cantidad para transacciones diarias en wallets calientes (como MetaMask). Usar entornos o dispositivos independientes para operaciones frecuentes, evitando que sitios maliciosos comprometan las claves principales. Además, mantener la cautela ante “direcciones envenenadas” y verificar cuidadosamente cada carácter de las direcciones antes de realizar transferencias importantes.

La seguridad es una carrera sin fin. Los atacantes son cada vez más pacientes, dispersos y tecnológicos. Como usuarios, no podemos controlar las subidas y bajadas del mercado ni detener la aparición de nuevos vectores de ataque, pero sí podemos, mediante un aprendizaje sistemático y operaciones rigurosas, convertirnos en nodos resistentes en la red de seguridad. La caída de 2025 es un hito alentador, pero también una reflexión que nos permite entender la evolución de las amenazas y fortalecer nuestro dominio digital.