Los protocolos descentralizados son objetivos vulnerables para los hackers norcoreanos

Los grupos de hackers norcoreanos han estado apuntando a las criptomonedas durante años. La explotación del puente Ronin por 625 millones de USD en 2022 fue una llamada de atención temprana, pero la amenaza solo ha evolucionado.

Solo en 2025, los atacantes afiliados a Corea del Norte han estado vinculados a una serie de campañas diseñadas para desviar valor y comprometer a jugadores clave en Web3: Han atacado activos por valor de 1.5 mil millones de USD en Bybit mediante campañas de captura de credenciales, con millones ya lavados. Han lanzado ataques de malware sobre usuarios de MetaMask y Trust Wallet, intentado infiltrarse en intercambios a través de candidatos falsos a empleos, y establecido empresas ficticias dentro de Estados Unidos para atacar desarrolladores de criptomonedas.

Y aunque los titulares a menudo se centran en robos a gran escala, la realidad es más simple y más condenatoria. La capa más débil de Web3 no son los contratos inteligentes, sino los humanos.

Los atacantes de estados-nación ya no necesitan encontrar vulnerabilidades zero-day en Solidity. Apuntan a las vulnerabilidades operativas de los equipos descentralizados: mala gestión de claves, procesos de incorporación inexistentes, colaboradores no verificados que envían código desde laptops personales y gobernanza del tesoro realizada mediante encuestas en Discord. A pesar de toda la charla de nuestra industria sobre resiliencia y resistencia a la censura, muchos protocolos siguen siendo objetivos fáciles para adversarios serios.

En Oak Security, donde hemos realizado más de 600 auditorías en ecosistemas principales, vemos consistentemente esta brecha: los equipos invierten mucho en auditorías de contratos inteligentes pero ignoran la seguridad operacional básica (OPSEC). El resultado es predecible. Los procesos de seguridad inadequados conducen a cuentas de colaboradores comprometidas, captura de gobernanza y pérdidas evitables.

La Ilusión del Contrato Inteligente: Código Seguro, Equipos Inseguros

A pesar de todo el dinero y talento invertidos en la seguridad de contratos inteligentes, la mayoría de los proyectos DeFi aún fallan en lo básico de la seguridad operacional. La suposición parece ser que si el código ha pasado una auditoría, el protocolo está seguro. Esa creencia no solo es ingenua, es peligrosa.

La realidad es que las explotaciones de contratos inteligentes ya no son el método preferido de ataque. Es más fácil y muchas veces más efectivo ir por las personas que gestionan el sistema. Muchos equipos DeFi no tienen líderes de seguridad dedicados, optando por manejar enormes tesorerías sin nadie formalmente responsable de OPSEC. Eso por sí solo debería ser motivo de preocupación.

Crucialmente, las fallas de OPSEC no se limitan a ataques de grupos patrocinados por estados. En mayo de 2025, Coinbase reveló que un agente de soporte extranjero —sobornado por ciberdelincuentes— accedió ilegalmente a datos de clientes, desencadenando una remediación y limbo de rescate de entre 180 y 400 millones de USD. Actores malintencionados hicieron intentos similares en Binance y Kraken. Estos incidentes no fueron causados por errores de codificación, sino por sobornos internos y fallas humanas en la primera línea.

Las vulnerabilidades son sistémicas. En la industria, los colaboradores comúnmente se incorporan vía Discord o Telegram, sin verificaciones de identidad, sin aprovisionamiento estructurado y sin dispositivos verificablemente seguros. Los cambios de código a menudo se envían desde laptops no verificadas, con poca o ninguna seguridad en endpoints o gestión de claves. Las discusiones sensibles de gobernanza ocurren en herramientas no seguras como Google Docs y Notion, sin registros de auditoría, cifrado ni controles de acceso adecuados. Y cuando algo falla inevitablemente, la mayoría de los equipos no tiene un plan de respuesta, ni un comandante de incidentes designado, ni un protocolo de comunicación estructurado—solo caos.

Esto no es descentralización. Es negligencia operacional. Hay DAOs que gestionan 500 millones de USD que fracasarían en una auditoría básica de OPSEC. Hay tesorerías protegidas por foros de gobernanza, encuestas en Discord y multisig de fin de semana—invitaciones abiertas para actores maliciosos. Hasta que la seguridad sea tratada como una responsabilidad integral —desde la gestión de claves hasta la incorporación de colaboradores— Web3 seguirá perdiendo valor por sus capas más débiles.

Lo que DeFi Puede Aprender de la Cultura de Seguridad TradFi

Las instituciones TradFi son objetivos frecuentes de ataques de hackers norcoreanos y otros — y como resultado, los bancos y empresas de pagos pierden millones cada año. Pero es raro ver que una institución financiera tradicional colapse o incluso suspenda operaciones frente a un ciberataque. Estas organizaciones operan bajo la suposición de que los ataques son inevitables. Diseñan defensas en capas que reducen la probabilidad de ataques y minimizan daños cuando ocurren exploits, impulsadas por una cultura de vigilancia constante que DeFi aún carece en gran medida.

En un banco, los empleados no acceden a los sistemas de trading desde laptops personales. Los dispositivos están reforzados y monitoreados continuamente. Los controles de acceso y la segregación de funciones aseguran que ningún empleado pueda mover fondos o desplegar código en producción unilateralmente. Los procesos de incorporación y desvinculación están estructurados; las credenciales se emiten y revocan cuidadosamente. Y cuando algo sale mal, la respuesta a incidentes es coordinada, practicada y documentada—no improvisada en Discord.

Web3 necesita adoptar una madurez similar, pero adaptada a las realidades de equipos descentralizados.

Eso comienza con hacer cumplir los manuales de OPSEC desde el primer día, realizando simulaciones de red team que prueben phishing, compromiso de infraestructura y captura de gobernanza — no solo auditorías de contratos inteligentes — y usando carteras multi-firma respaldadas por carteras de hardware individuales o gestión de tesorería. Los equipos deben verificar a los colaboradores y realizar verificaciones de antecedentes para cualquiera con acceso a sistemas de producción o controles de tesorería — incluso en equipos que se consideren completamente “descentralizados”.

Algunos proyectos comienzan a liderar en esto, invirtiendo en programas de seguridad estructurados y herramientas empresariales para la gestión de claves. Otros aprovechan herramientas avanzadas de Operaciones de Seguridad (SecOps) y consultores de seguridad dedicados. Pero estas prácticas siguen siendo la excepción, no la norma.

La Descentralización No Es Excusa para la Negligencia

Es hora de enfrentar la verdadera razón por la cual muchos equipos Web3 quedan rezagados en seguridad operacional: es difícil de implementar en organizaciones descentralizadas y distribuidas globalmente. Los presupuestos son ajustados, los colaboradores son transitorios y la resistencia cultural a los principios de ciberseguridad, que a menudo se malinterpreta como “centralización”, sigue siendo fuerte.

Pero la descentralización no es excusa para la negligencia. Los adversarios estatales entienden este ecosistema. Ya están dentro de las puertas. Y la economía global depende cada vez más de la infraestructura on-chain. Las plataformas Web3 necesitan con urgencia emplear y adherirse a prácticas disciplinadas de ciberseguridad, o arriesgarse a convertirse en una fuente de financiamiento permanente para hackers y estafadores que buscan socavarlas.

El código solo no nos defenderá. La cultura lo hará.