Informe de incidentes de seguridad en el mundo de las criptomonedas 2025: pérdidas de 2,9 mil millones de dólares, la IA deepfake se convierte en la nueva arma de los hackers

El informe anual de Slow Mist Technology muestra que, en 2025, los incidentes de seguridad en blockchain disminuyeron de 410 a 200, pero las pérdidas totales se dispararon un 46% hasta alcanzar los 2,935 millones de dólares. Los hackeos a CEX con 1,46 mil millones de dólares lideran, la tecnología de deepfake AI engañó a KYC convirtiéndose en una nueva amenaza, el Grupo Lazarus de Corea del Norte robó 1,645 millones de dólares en los primeros nueve meses, y el Grupo Huione de Camboya fue sancionado por EE. UU. por ayudar en lavado de dinero.

CEX con 1,46 mil millones de dólares en hackeos reescriben récords de pérdidas

El incidente de seguridad más impactante de 2025 fue el hackeo a CEX, con una pérdida de 1,46 mil millones de dólares, estableciendo un nuevo récord histórico. Los hackers probablemente aprovecharon permisos de firma múltiple en Safe Wallet para lanzar el ataque, exponiendo vulnerabilidades de gobernanza incluso en los exchanges más top.

Ben Zhou, CEO de CEX, recordó que la crisis ocurrió en la madrugada del fin de semana, y que el equipo respondió en pocas horas, incluyendo el congelamiento de direcciones sospechosas, el activamiento de fondos de respaldo y la colaboración con empresas de análisis en cadena para rastrear los fondos. Sin embargo, la escala de pérdida de 1,46 mil millones de dólares excede lo que una sola empresa puede soportar, generando una reflexión profunda sobre la seguridad en la custodia centralizada.

Las otras nueve mayores pérdidas incluyen a Cetus Protocol, que perdió 230 millones de dólares por vulnerabilidades en su mecanismo de contrato, y la principal DEX del ecosistema Sui, que tras el golpe perdió un 83% en TVL. Balancer V2 sufrió pérdidas de 121 millones de dólares por errores en el cálculo del camino de intercambio en Stable Pool, y la complejidad de los protocolos DeFi volvió a ser una vulnerabilidad de seguridad. La bolsa iraní Nobitex fue atacada por un grupo de hackers pro israel, destruyendo aproximadamente 100 millones de dólares en activos, extendiendo el conflicto geopolítico al ámbito de las criptomonedas.

Deepfake AI y ingeniería social, la combinación mortal

El cambio más notable en las técnicas de ataque en 2025 fue la penetración profunda de la tecnología AI. Los hackers utilizan deepfake para falsificar voces e imágenes de altos ejecutivos en videoconferencias. Un empleado de la constructora multinacional Arup en Hong Kong fue engañado y transfirió grandes sumas bajo instrucciones del “CEO” en un video. Lo más aterrador es que los hackers también usan identidades falsas generadas por AI para evadir la verificación KYC en exchanges, haciendo que la autenticación, que era la primera línea contra el lavado de dinero, sea prácticamente inútil.

Seis nuevas técnicas de ataque en 2025

1. Generación dinámica de código malicioso por AI

· Generación en tiempo real de variantes de código malicioso

· Evasión de detección por firmas en software de seguridad tradicionales

· Cada ataque tiene una huella digital diferente

2. Estafas en entrevistas de empleo

· Falsificación de reclutamiento en empresas Web3

· Inducción a descargar repositorios o proyectos de prueba con puertas traseras

· Robo de claves privadas y datos sensibles en los ordenadores de los desarrolladores

3. Ataques de phishing Clickfix

· Inducir a los usuarios a ejecutar comandos maliciosos en sus sistemas

· Falsificación de soporte técnico o actualizaciones del sistema

· Evasión de advertencias de seguridad del navegador para ejecutar comandos directamente

4. Manipulación de permisos en Solana

· Modificación del permiso Owner de la cuenta a la dirección del hacker

· Incluso con la clave privada, el control de los activos es imposible

· Aprovechando el diseño especial del modelo de cuentas de Solana

5. Abuso de permisos con EIP-7702

· Uso de las nuevas características de abstracción de cuentas en Ethereum

· Robo masivo de fondos en wallets autorizados por EIP-7702

· La wallet de inversores WLFI fue vaciada por esto

6. Ataques de envenenamiento en la cadena de suministro

· Inserción de puertas traseras en herramientas de código abierto populares en GitHub

· Dirigido a proyectos de alto tráfico como los bots de transacción en Solana

· Infección automática en entornos de desarrollo mediante actualizaciones de paquetes NPM

El éxito de los ataques de ingeniería social supera ampliamente a la explotación de vulnerabilidades técnicas. Muchas víctimas no son por fallos en contratos inteligentes o claves rotas, sino por engaños cuidadosamente diseñados y identidades falsificadas. Cuando los hackers pueden imitar voces en tiempo real y crear videos de cualquier escenario con AI, la confianza en la vista se vuelve inútil.

Los ataques de envenenamiento en la cadena de suministro son aún más discretos. Los hackers no atacan directamente a los objetivos, sino que infectan las herramientas y bibliotecas en las que dependen los desarrolladores. Cuando miles de desarrolladores actualizan paquetes NPM o clonan repositorios en GitHub, el código malicioso se introduce automáticamente en sus entornos de desarrollo. Lo aterrador es que los afectados ni siquiera saben que han sido infiltrados hasta que sus activos son robados, y ya es demasiado tarde.

Cibercriminales norcoreanos y redes internacionales de lavado de dinero

El grupo de hackers norcoreano Lazarus Group sigue siendo el mayor riesgo de seguridad en 2025, con aproximadamente 1,645 millones de dólares robados en los primeros nueve meses. Esta cifra supera el PIB de muchos países pequeños y medianos, demostrando la capacidad terrorífica de recursos a nivel estatal. Lazarus ha industrializado sus procesos de lavado, transfiriendo fondos ilícitos entre cadenas mediante puentes cruzados, usando mezcladores como Tornado Cash para enmascarar el origen del dinero, y mezclando fondos en múltiples incidentes para dificultar el rastreo.

El Grupo Huione de Camboya fue sancionado por el Departamento del Tesoro de EE. UU. por presunta ayuda en el movimiento de fondos fraudulentos a gran escala. Esto marca la entrada en una fase de aplicación transnacional de regulaciones contra el lavado de dinero. En el pasado, el sudeste asiático era considerado una zona gris en regulación de criptomonedas, con muchos nodos de lavado allí. Pero la jurisdicción extraterritorial de EE. UU. ha cortado el acceso de estas organizaciones al sistema financiero internacional, debilitando severamente su operación.

Según Slow Mist, en 2025 la tendencia será de sistemas de ataque más especializados, conexiones criminales más ocultas y una regulación más fuerte. La seguridad y el cumplimiento ya no son solo protección, sino requisitos para la supervivencia empresarial. El futuro del sector Web3 dependerá de si se puede establecer un control interno de seguridad más robusto y modelos transparentes de gobernanza de fondos.