Los hackeos de Web3 en 2025 alcanzaron un hito incómodo. Se perdieron casi 4 mil millones de dólares en criptomonedas, NFT y DeFi debido a fallas de seguridad, estafas y simples errores humanos. La cifra proviene del Informe Anual de Seguridad 2025. publicado por Hackeny pinta un panorama que la industria no puede ignorar.
Este no fue un año definido por errores oscuros escondidos en el código experimental. La mayor parte del daño provino de controles de acceso débiles, credenciales robadas e ingeniería social. En otras palabras, los mismos problemas sobre los que los equipos de seguridad han advertido durante años y que ahora se manifiestan a una escala mucho mayor.
Si posee NFT, comercia en intercambios centralizados o construye Web3, las lecciones de 2025 son más importantes que nunca.
Una prueba de realidad de 4.000 millones de dólares para Web3
El informe de Hacken sitúa las pérdidas totales para 2025 en 4.000 millones de dólares. Ese número incluye infracciones de intercambio, estafas de phishing, billeteras comprometidas, robos de alfombras y vulnerabilidades de protocolos.
Otras empresas, incluidas CertiK y Chainalysis, estimaron totales más bajos (entre 2.500 y 3.200 millones de dólares) dependiendo de sus modelos de atribución. Sin embargo, todas las fuentes importantes coinciden en que en 2025 se produjo un aumento tanto en la escala como en la sofisticación de los ataques.
Lo que destaca no es sólo el tamaño de las pérdidas. Es dónde de donde vinieron.
Los primeros ciclos criptográficos estuvieron dominados por errores de contratos inteligentes. En 2025, la balanza cambió. Los fallos operativos y los ataques sociales causaron más daño que el código roto. A medida que entraba más capital Web3los atacantes siguieron el dinero y se concentraron en los caminos más fáciles para ingresar.
Para los usuarios de NFT, este cambio cambia completamente el perfil de riesgo. Un contrato perfecto no ayuda si se abusa de la aprobación de una billetera o de una solicitud de firma.
Cómo se desarrolló el año
El primer trimestre lo cambió todo
El año empezó mal. Al final del primer trimestre, ya se habían perdido más de 2.000 millones de dólares. Eso convirtió al primer trimestre en el peor trimestre registrado para la seguridad Web3.
El mayor impulsor fue el incumplimiento de bybit. Los atacantes no explotaron un contrato inteligente. Comprometieron la cadena de suministro y alteraron la infraestructura inicial. Fue un recordatorio de que la seguridad de blockchain no se detiene en la cadena misma.
Después de ese incidente, las suposiciones de seguridad cambiaron rápidamente.
El ritmo disminuyó, pero la amenaza no
Las pérdidas disminuyeron durante el resto del año. En el cuarto trimestre, los daños totales del trimestre rondaron los 350 millones de dólares. Esa disminución reflejó una mayor conciencia y tiempos de respuesta más rápidos.
Aun así, el daño inicial no se pudo reparar. Los atacantes ajustaron su estrategia en lugar de retroceder. Menos ataques. Mayor impacto.
Dónde se perdió el dinero
El control de acceso fue el mayor fracaso
Más de la mitad de todas las pérdidas en 2025 se debieron a problemas de control de acceso. Claves privadas comprometidas. Carteras multifirma mal configuradas. Credenciales internas abusadas o filtradas.
Nada de esto requirió hazañas de vanguardia. En la mayoría de los casos, los atacantes simplemente obtuvieron acceso que no deberían haber tenido.
Los datos de Hacken muestran que 2.120 millones de dólares (o el 53 % de todas las pérdidas) se debieron a fallos en el control de acceso, lo que la convierte en la principal causa de robo de criptomonedas en 2025.
Una idea clave: las billeteras multifirma resultaron vulnerables cuando los firmantes usaban dispositivos cotidianos. El exploit UXLINK hizo que los firmantes comprometidos acuñaran billones de tokens, drenaran activos y los arrojaran al mercado.
Es incómodo admitirlo, pero también es útil. Estos son equipos problemáticos. poder arreglar con mejores procesos.
El phishing se volvió más difícil de detectar
El phishing y la ingeniería social representaron pérdidas de casi mil millones de dólares. El envenenamiento de billeteras, los mensajes de apoyo falsos y las estafas de suplantación de identidad siguieron evolucionando.
La IA hizo que estos ataques fueran más convincentes. Entrevistas de trabajo falsas. Videollamadas deepfake. Mensajes que se parecían exactamente a los que enviaría un proyecto real.
Un usuario perdió 50 millones de dólares en una sola transacción debido a un envenenamiento de direcciones: confundir la billetera de un estafador con una familiar. Otro perdió 330 millones de dólares en Bitcoin después de un largo ataque de ingeniería social.
Los comerciantes de NFT eran objetivos frecuentes, especialmente aquellos activos en las comunidades de Discord y Telegram.
Los exploits de contratos inteligentes no desaparecieron
Los errores contractuales aún causaron daños, sumando alrededor de 512 millones de dólares en pérdidas. Los protocolos DeFi recibieron la mayor parte de ese impacto, y los proyectos basados en Ethereum experimentaron la mayor concentración.
Los exploits notables incluyeron: Equilibrador v2 ($128 millones a través de un error de redondeo), GMX v1 ($42 millones a través de un error de reentrada) y Yearn yETH ($9 millones a través de acuñación infinita).
Las auditorías ayudaron a reducir la frecuencia, pero los casos extremos y las integraciones continuaron creando riesgos. Se mejoró la seguridad del código. Simplemente no fue suficiente por sí solo.
Exchanges vs DeFi: diferentes puntos débiles
Las plataformas centralizadas recibieron los mayores éxitos
Los intercambios centralizados representaron más de la mitad de todas las pérdidas. El caso más visible fue el de Bybit, donde los atacantes explotaron el acceso frontal en lugar de la lógica blockchain.
La custodia concentra el riesgo. Las herramientas internas, los proveedores externos y el acceso de los empleados amplían la superficie de ataque. Cuando algo sale mal, las cifras aumentan rápidamente.
La infraestructura DeFi y NFT permaneció expuesta
DeFi los exploits superaron los 500 millones de dólares en docenas de incidentes. Las pérdidas de liquidez, las fallas de puentes y los errores matemáticos aparecieron una y otra vez.
Ethereum fue la cadena más atacada, en gran parte porque allí se concentra mucha actividad. Plataformas NFT a menudo compartían billeteras, permisos o servicios de back-end con protocolos DeFi, lo que permitía que los riesgos se desbordaran.
El papel de Corea del Norte creció marcadamente
Uno de los patrones más claros en 2025 involucró a atacantes vinculados al Estado. Los grupos vinculados a Corea del Norte fueron responsables de alrededor del 52% de las pérdidas totales, robando más de 2.000 millones de dólares durante el año.
De hecho, 9 de cada 10 ataques de control de acceso se remontan a grupos de la RPDC, utilizando tácticas como perfiles de reclutadores falsos, repositorios de GitHub plagados de malware y profundo entrevistas.
Los investigadores vincularon gran parte de esta actividad a actores asociados con el Grupo Lazarus y el grupo TraderTraitor. Su enfoque se centró en el phishing, la suplantación de identidad y el acceso interno en lugar de ataques técnicos.
En comparación con 2024, el valor robado por estos grupos aumentó más del 50%. Destacaron la escala y la coordinación.
Por qué los titulares de NFT sintieron el impacto
Los NFT no generaron las mayores cifras de dólares, pero los coleccionistas fueron un gran objetivo. Enlaces nuevos falsos. Aprobaciones maliciosas. Cuentas de Discord comprometidas que se hacen pasar por administradores de proyectos.
Una vez que una billetera se ve comprometida, las NFT se mueven instantáneamente. No hay retroceso. Los permisos del Marketplace suelen permanecer activos mucho después de que los usuarios los olviden.
Para seguridad NFTlos hábitos de billetera importan tanto como las salvaguardas de la plataforma.
La IA cambió la ecuación de seguridad
La IA jugó en ambos bandos en 2025.
Los atacantes utilizaron la automatización, los medios deepfake y la mensajería adaptable para escalar las estafas más rápido que antes. Los defensores respondieron con un mejor monitoreo, detección de anomalías y una clasificación de incidentes más rápida.
Las plataformas de recompensas por errores como Immunefi ayudaron a sacar a la luz los problemas desde el principio, demostrando que los incentivos siguen siendo importantes.
La brecha entre ataque y defensa no se cerró. Se movió.
La regulación comenzó a ponerse al día
Las expectativas de seguridad se endurecieron en las principales jurisdicciones.
En Estados Unidos, los marcos de concesión de licencias exigen cada vez más pruebas de penetración y gestión de claves segura por hardware. En Europa, MiCA enfatiza la segregación de custodia y las auditorías independientes.
Estas reglas no eliminarán las infracciones. Aumentan la línea de base y hacen que los atajos sean más difíciles de justificar.
Lo que realmente ayuda a seguir adelante
Para usuarios:
Las carteras de hardware reducen la exposición. Los dispositivos dedicados ayudan aún más. Las libretas de direcciones y las vistas previas de transacciones evitan errores comunes.
Para equipos NFT y Web3:
Una auditoría no es suficiente. Las revisiones en capas detectan más problemas. Las configuraciones Multisig y MPC reducen los puntos únicos de falla. El seguimiento debe continuar después del lanzamiento.
Para la industria:
Los estándares claros generan confianza. La madurez de la seguridad ahora influye en la adopción y el flujo de capital.
Un año costoso, pero una señal clara
Los 4.000 millones de dólares perdidos por los ataques a la Web3 en 2025 reflejan un crecimiento bajo presión. Los atacantes perfeccionaron sus manuales de jugadas. Los defensores aprendieron en público. La transparencia expuso las debilidades, pero también obligó a mejorar.
La seguridad se ha convertido en credibilidad. Para las NFT, DeFi y las criptomonedas en su conjunto, la siguiente fase depende menos de la velocidad y más de la disciplina.
Preguntas frecuentes
A continuación se muestran algunas preguntas frecuentes sobre este tema:
1. ¿Cuánto se perdió por los hackeos de Web3 en 2025?
Hacken informó pérdidas totales de 4.004 millones de dólares. Otras empresas como CertiK y Chainalysis estimaron entre 2.500 y 3.200 millones de dólares, dependiendo de las metodologías.
2. ¿Cuáles fueron las mayores fuentes de pérdidas criptográficas en 2025?
La mayoría se debió a fallas en el control de acceso (53%), seguidas del phishing (24%) y vulnerabilidades de contratos inteligentes (13%).
3. ¿Fue Corea del Norte realmente responsable de la mayoría de los ataques a Web3?
Sí. Los grupos vinculados a Corea del Norte fueron responsables de alrededor del 52% de las pérdidas de 2025, a menudo utilizando tácticas de phishing e ingeniería social.
4. ¿Siguen siendo efectivas las auditorías de contratos inteligentes?
Las auditorías ayudan a reducir el riesgo, pero no son infalibles. Muchos exploits de 2025 ocurrieron en protocolos auditados o probados en batalla debido a casos extremos que se pasaron por alto.
5. ¿Cómo afectó la IA a la seguridad Web3 en 2025?
La IA se utilizó tanto de manera defensiva (para monitoreo) como ofensiva (deepfakes, automatización de estafas), introduciendo nuevos riesgos como ataques de inyección rápida.
6. ¿Qué pueden hacer los usuarios para proteger sus activos?
Utilice carteras de hardware, evite firmar transacciones desconocidas, verifique direcciones y practique una estricta higiene digital, especialmente en las plataformas sociales.