19 mil millones de contraseñas comprometidas revelan por qué el verdadero problema de seguridad en las criptomonedas no es el código, sino las personas

La narrativa en torno a la seguridad en criptomonedas está cambiando de maneras que la industria no anticipaba. Mientras que 2025 estableció un récord sombrío como el peor año para hackeos en criptomonedas, la revelación preocupante no radica en exploits sofisticados de contratos inteligentes o vulnerabilidades elegantes en el código. En cambio, 19 mil millones de contraseñas comprometidas y fallos operativos al estilo Web2—credenciales robadas, empleados manipulados, canales de soporte falsos—representan la gran mayoría de las pérdidas. Este cambio de enfoque importa profundamente porque sugiere algo contraintuitivo: a medida que la seguridad en cadena se fortalece, los atacantes se adaptan apuntando a la vulnerabilidad más fácil en cualquier sistema: los seres humanos.

Mitchell Amador, CEO de la plataforma de seguridad en cadena Immunefi, cristalizó este cambio en una conversación exclusiva: “A pesar de que 2025 fue el peor año para hackeos en la historia, esos hackeos provienen de fallos operativos Web2, no del código en cadena.” La distinción va al corazón del panorama de amenazas en evolución en el mundo cripto. Mientras las pérdidas aumentaban a lo largo de 2025, la seguridad en cadena paradójicamente mejoraba—una divergencia que probablemente definirá la próxima era de protección de activos digitales.

El factor humano se convierte en el eslabón más débil de la criptoseguridad

La evidencia es clara. Aproximadamente 17 mil millones de dólares en criptomonedas fueron sustraídos mediante estafas y fraudes en 2025, con tácticas de suplantación y esquemas habilitados por IA emergiendo como vectores devastadoramente efectivos. El Informe de Crimen Cripto 2026 de Chainalysis documenta un cambio sísmico en el comportamiento de los atacantes: las estafas de suplantación explotaron un 1,400% año tras año, mientras que los esquemas potenciados por IA resultaron ser un 450% más rentables que los métodos tradicionales de fraude.

Esto no es abstracto—el daño es concreto. Solo el mes pasado, el investigador de blockchain ZachXBT expuso un robo por ingeniería social de 282 millones de dólares donde los atacantes manipularon a un objetivo para que entregara 2.05 millones de LTC y 1,459 BTC. El botín fue lavado inmediatamente a través de intercambios instantáneos enfocados en la privacidad hacia Monero, ilustrando cómo los fallos en seguridad operativa se propagan por todo el ecosistema.

Lo que hace estos ataques particularmente insidiosos es su bajo umbral técnico. Un correo de phishing convincente, un agente de soporte falso o credenciales comprometidas superan cualquier firewall y la auditoría de contratos sofisticada que el dinero puede comprar. Los 19 mil millones de contraseñas comprometidas que circulan en diversos rincones oscuros de internet representan una superficie de ataque en constante expansión—una que las defensas automatizadas luchan por contener.

La suplantación y las estafas con IA superan los ataques tradicionales a la infraestructura

El cálculo criminal ha cambiado. Donde antes los atacantes se centraban en encontrar errores oscuros en contratos de tokens o implementaciones de capa-2, ahora priorizan la psicología social y la manipulación a gran escala. Los datos de Chainalysis revelan este cambio tectónico: las estafas y fraudes ahora superan las brechas directas en infraestructura como el principal vector para extraer valor del ecosistema cripto.

Amador explica por qué la explotabilidad del código está disminuyendo: “Con el código siendo menos explotable, la principal superficie de ataque en 2026 serán las personas.” Los protocolos DeFi han mejorado drásticamente su postura de seguridad mediante auditorías, programas de recompensas por errores y arquitecturas defensivas. Sin embargo, este progreso crea una estructura de incentivos perversa—los atacantes simplemente se desplazan a blancos más blandos: usuarios individuales, empleados corporativos y procesos operativos.

La escala es notable. Solo las estafas de suplantación representan no solo una categoría dentro del fraude, sino ahora un vector de amenaza dominante. Combinadas con esquemas de ingeniería social habilitados por IA, que pueden sintetizar identidades convincentes y manipulaciones personalizadas a velocidad de máquina, la focalización en individuos se ha vuelto más eficiente y rentable que nunca.

Por qué la seguridad en contratos inteligentes no puede detener la ingeniería social

Una estadística reveladora subraya la paradoja: más del 90% de los proyectos cripto aún albergan vulnerabilidades críticas y explotables en su código. Pero incluso esta dura realidad oculta una verdad más profunda. La vulnerabilidad no es el contrato sin parchear—es la contraseña de la billetera escrita en una nota adhesiva, la USB dejada en un taxi, el empleado que hace clic en un enlace malicioso.

Los hallazgos de Chainalysis e Immunefi convergen en una realidad incómoda. Las herramientas defensivas que podrían reducir drásticamente el riesgo permanecen subutilizadas. Menos del 1% de la industria implementa firewalls. Menos del 10% ha adoptado sistemas de detección impulsados por IA. Estas brechas no son fallos técnicos; son fallos organizacionales. La infraestructura existe para prevenir la mayoría de los desastres operativos que definieron 2025, pero la adopción sigue siendo pésima.

La perspectiva de Amador enmarca este desafío en términos humanos: “El factor humano ahora es el eslabón débil que los expertos en seguridad en cadena y los actores de Web3 deben priorizar.” Esto no es una exageración. Una contraseña comprometida, a diferencia de un error en un contrato inteligente, no requiere investigación sofisticada de vulnerabilidades para ser explotada. Es distribución a escala, manipulación trivializada por IA y la maleabilidad eterna de la psicología humana.

La carrera armamentística de IA: defensores vs. atacantes a velocidad de máquina

Si 2025 fue el año de los criminales aprendiendo a explotar a las personas a escala, 2026 será el año de la tecnología que habilita y contrarresta esa explotación a velocidad de máquina. “La IA cambiará el ritmo de la seguridad en ambos lados,” explica Amador. Los defensores desplegarán sistemas de monitoreo y respuesta impulsados por IA que operan a velocidad de máquina, detectando anomalías y bloqueando ataques en milisegundos. Simultáneamente, los atacantes usarán herramientas idénticas para investigación de vulnerabilidades, ingeniería de exploits y campañas masivas de ingeniería social.

Esta carrera armamentística introduce una categoría de riesgo para la cual pocos en la industria están adecuadamente preparados. A medida que la seguridad del código se fortalece, la frontera de vulnerabilidad se desplaza de contratos estáticos a interfaces humanas-máquina dinámicas. La interfaz entre usuario, billetera, intercambio y protocolo se convierte en el nuevo campo de batalla—uno donde la IA permite tanto defensas sin precedentes como engaños sin precedentes.

Los agentes en cadena introducen nuevas vulnerabilidades

Quizá el riesgo más visionario que identificó Amador va más allá de los paradigmas convencionales de ciberseguridad. A medida que los agentes autónomos en cadena y los sistemas de IA adquieren la capacidad de ejecutar decisiones y transferir activos sin intermediación humana, surge una superficie de ataque novedosa. “Los agentes de IA en cadena pueden ser más rápidos y poderosos que los operadores humanos, y son particularmente vulnerables a la manipulación si sus caminos de acceso o capas de control son comprometidos,” advirtió.

Esto representa un cambio cualitativo en el riesgo. Las fallas de seguridad anteriores requerían que un atacante comprometiera una billetera o cuenta de intercambio—activos discretos e identificables. Los agentes de IA, en cambio, operan con autoridad delegada en protocolos y pools de liquidez. Compromete la capa de control de un solo agente y el atacante obtiene acceso algorítmico a los flujos de capital a velocidad de máquina. “Todavía estamos en las primeras etapas de aprender cómo asegurar correctamente a los agentes,” reconoce Amador, “y esa será uno de los desafíos de seguridad que definirán el próximo ciclo.”

El camino por delante: seguridad más allá del código

El consenso emergente entre los expertos en seguridad es llamativo. La seguridad en cadena está mejorando de manera demostrable, pero las pérdidas totales siguen aumentando. Esta aparente contradicción se disuelve cuando el enfoque cambia del código a las operaciones. El adversario no es un programador astuto que encuentra un error de reentrancy—es un criminal sofisticado que usa 19 mil millones de contraseñas comprometidas, identidades sintetizadas y manipulación psicológica para extraer valor de individuos.

La respuesta de la industria cripto determinará si 2026 revierte el daño de 2025. Requiere inversión en sistemas defensivos de IA, gestión de contraseñas de nivel empresarial, controles de firma múltiple y educación. Requiere cerrar la brecha de adopción que deja al 99% de los proyectos sin protección básica de infraestructura de seguridad. Y, más fundamental aún, requiere reconocer que la criptografía más fuerte del mundo no significa nada si el eslabón más débil sigue siendo el juicio humano, la vulnerabilidad y el engaño.

La batalla por la seguridad ya no se pelea en cadena. Se pelea en las interfaces de usuario, controles de acceso corporativos, paneles de monitoreo y los espacios entre la intención humana y la ejecución automatizada. Y en esa arena, la parte que combine sofisticación tecnológica con disciplina operativa prevalecerá finalmente.