Las pérdidas en redes de criptomonedas por phishing en 2025 se redujeron a 83,85 millones de dólares, un descenso del 83%, y el número de víctimas se redujo a 106,000. Scam Sniffer advierte que el ecosistema sigue activo, y los atacantes se están orientando hacia estrategias de alta frecuencia y bajo monto, con una pérdida media de solo 790 dólares. Un nuevo ataque EIP-7702 logró engañar por 2,54 millones de dólares en una sola ocasión.
El tercer trimestre del mercado alcista se convierte en una zona de desastre por phishing
La disminución en pérdidas no indica una reducción en la actividad de ataques, sino que está estrechamente relacionada con los ciclos del mercado. La plataforma de seguridad Web3 Scam Sniffer analizó las detecciones de phishing basadas en características en la cadena de Ethereum Virtual Machine (EVM), observando que las pérdidas aumentan durante periodos de alta actividad en la cadena y disminuyen cuando el mercado se enfría. El tercer trimestre de 2025 coincidió con la subida más fuerte de Ethereum (ETH) en el año, con pérdidas por phishing en ese trimestre de hasta 31 millones de dólares, siendo casi el 29% de las pérdidas anuales entre agosto y septiembre.
El informe señala: «Cuando el mercado está activo, la actividad general de los usuarios aumenta, y también la proporción de usuarios afectados — la probabilidad de phishing está positivamente correlacionada con la actividad de los usuarios». Las pérdidas mensuales variaron desde 2,04 millones de dólares en diciembre, el mes más tranquilo, hasta 12,17 millones en agosto, el más activo, con una diferencia de hasta 6 veces. Esta correlación revela cómo los atacantes eligen el momento preciso para atacar, cuando los usuarios están más activos y distraídos.
Una razón más profunda es que durante el mercado alcista cambian los comportamientos de los usuarios. Cuando los precios de las criptomonedas suben, el FOMO (miedo a perderse algo) impulsa a los usuarios a comerciar con nuevos tokens, participar en airdrops y en minería de liquidez, actividades que requieren firmar autorizaciones con frecuencia, creando más oportunidades para el phishing. Los atacantes aprovechan la disminución de la capacidad de juicio en estados de excitación, mediante sitios falsos de proyectos populares, imitaciones de canales oficiales de Discord, entre otros métodos de engaño.
El pico del tercer trimestre también está relacionado con la actualización Pectra de Ethereum. La introducción de nuevas funciones en el protocolo suele ir acompañada de una insuficiente educación de los usuarios, y los atacantes rápidamente aprovechan esta ventana para desarrollar nuevos métodos de ataque. Este patrón de «innovación técnica que genera ventanas de seguridad» ha ocurrido varias veces en la historia de las criptomonedas, desde el verano DeFi hasta la fiebre NFT, cada avance técnico ha traído consigo nuevas estafas.
EIP-7702 abre la caja de Pandora
2025 marca la aparición de nuevas vías de ataque. Las firmas maliciosas basadas en EIP-7702 surgieron poco después de la actualización Pectra de Ethereum, con atacantes que utilizan mecanismos de cuentas abstractas para combinar múltiples operaciones maliciosas en una sola firma de usuario. En agosto, dos incidentes importantes de ataque EIP-7702 causaron pérdidas por 2,54 millones de dólares, evidenciando la rapidez con la que los atacantes se adaptan a los cambios en el protocolo.
EIP-7702 fue originalmente diseñado para mejorar la experiencia del usuario, permitiendo que cuentas externas (EOA) se conviertan temporalmente en cuentas inteligentes, facilitando transacciones en lote y recuperación social. Sin embargo, esta flexibilidad fue aprovechada por los atacantes. Falsifican solicitudes de autorización aparentemente normales, pero en realidad ocultan múltiples operaciones maliciosas en una sola firma, como transferencias de tokens autorizadas, cambios en permisos de cuentas y configuración de agentes maliciosos.
Lo más peligroso es que los ataques EIP-7702 son altamente discretos. La phishing tradicional suele involucrar autorizaciones de tokens evidentes, que usuarios experimentados pueden detectar. Pero los ataques EIP-7702 pueden disfrazarse como actualizaciones legítimas de cuentas o autorizaciones en transacciones en lote, engañando incluso a usuarios técnicos. La interfaz de las wallets a menudo no muestra claramente estas operaciones complejas, dificultando que los usuarios comprendan el significado real de las firmas.
Aunque las pérdidas de 2,54 millones de dólares no son enormes, esto es solo una prueba inicial de la nueva técnica. Los investigadores de Scam Sniffer advierten que, a medida que más wallets y DApps integren funciones EIP-7702, la escala y frecuencia de estos ataques podrían aumentar significativamente. Los atacantes están aprendiendo y perfeccionando estos métodos, y en el futuro podrían surgir variantes aún más sofisticadas.
De cazadores solitarios a estrategias de pesca en red
La transformación en las estrategias de phishing en redes de criptomonedas tiene una lógica económica profunda. Los ataques de gran volumen, aunque con altos beneficios por operación, conllevan mayores riesgos. Las víctimas son más propensas a denunciar, contratar análisis en cadena para rastrear fondos, y los atacantes enfrentan mayor exposición y riesgos legales. En cambio, los ataques pequeños y frecuentes, con menores beneficios por operación, suelen ser aceptados por las víctimas como mala suerte, y las autoridades tienen menos recursos para investigar cada caso menor.
Más aún, los ataques a pequeña escala son más escalables. Los atacantes pueden usar herramientas automatizadas para gestionar cientos de sitios de phishing simultáneamente, emplear IA para generar correos y mensajes en redes sociales convincentes, y procesar en masa a las víctimas. Este modo de «fraude industrializado» reduce los costos de cada ataque y aumenta la eficiencia general. El informe concluye: «El ecosistema de drenaje sigue activo — a medida que los antiguos drenadores se retiran, nuevos aparecen para llenar el vacío.»
Tres grandes cambios en los patrones de ataques de phishing en 2025
Reducción drástica en el número de grandes casos: en 2025, solo 11 casos superaron los 1,00 millones de dólares en pérdidas, frente a 30 en 2024. El mayor ataque de phishing individual ocurrió en septiembre, con 6,5 millones de dólares, involucrando firmas maliciosas Permit.
Pérdida media por víctima se desploma: la pérdida promedio por víctima cayó a 790 dólares, una reducción significativa respecto al año anterior. Esto indica que los atacantes han cambiado de la caza selectiva de «granitos» a una estrategia de amplio alcance dirigida a los pequeños inversores.
Las autorizaciones Permit siguen siendo predominantes: en los incidentes con pérdidas superiores a 1 millón de dólares, los ataques basados en autorizaciones Permit y Permit2 representaron el 38% del total, demostrando que esta técnica sigue siendo efectiva y ampliamente utilizada.
Tóxico de direcciones y vulnerabilidades en firmas múltiples, nuevos focos
En diciembre de 2025, las pérdidas por ataques cibernéticos y vulnerabilidades de seguridad en criptomonedas descendieron a aproximadamente 76 millones de dólares, un 60% menos que los 194 millones de noviembre. PeckShield documentó 26 incidentes importantes en ese mes, mostrando que, aunque la actividad de ataque continúa, las pérdidas totales se han desacelerado.
El caso más grande involucró un fraude de tóxico de direcciones por 500 millones de dólares, donde los atacantes usaron direcciones similares para engañar a las víctimas y hacer que transfirieran fondos a otras cuentas. Este tipo de ataque aprovecha las limitaciones visuales humanas, ya que la mayoría de las direcciones muestran solo los primeros y últimos caracteres, omitiendo la parte central. Los atacantes generan direcciones similares a las originales, enviando pequeñas cantidades de tokens para crear registros de transacciones, de modo que cuando las víctimas copian la dirección, puedan seleccionar por error la del atacante.
En otro incidente, la pérdida de 273 millones de dólares ocurrió por la exposición de claves privadas relacionadas con carteras multisig. Aunque en teoría las carteras multisig son más seguras, requieren múltiples firmas para aprobar transacciones. Pero si las claves privadas se gestionan mal, por ejemplo, almacenándolas en la nube, compartiéndolas por canales inseguros o internalmente, la protección se vuelve vulnerable. Este caso recuerda que la seguridad técnica depende en última instancia de la gestión humana.
Las pérdidas por phishing, aunque disminuyeron un 83%, no significan que la guerra haya terminado. La conclusión de Scam Sniffer es clara: el ecosistema sigue activo, y los atacantes solo han cambiado de táctica. Con la próxima ola de mercado alcista, las pérdidas podrían volver a dispararse.
