Seguridad y cumplimiento de blockchain del primer trimestre de 2026 de Hacken Informepublicado el 14 de abril de 2026, muestra una pérdida de 482,6 millones de dólares en 44 incidentes, una actualización de una estimación inicial de 464,5 millones de dólares después de un caso de ingeniería social confirmado tardíamente. Sin embargo, la historia más importante radica en cuán predecibles y repetibles fueron la mayoría de las pérdidas.
Esta no es una historia sobre vulnerabilidades desconocidas o técnicas de ataque novedosas. Se trata de explotar una y otra vez debilidades familiares.
Los mismos problemas, siguen funcionando
La pregunta central de Hacken es directa: ¿por qué la industria sigue perdiendo dinero por problemas que ya comprende?
Los números ofrecen una respuesta clara.
Aproximadamente 306 millones de dólares de pérdidas totales provinieron del phishing y la ingeniería social. Sin embargo, esa cifra necesita contexto. A solo incidente—una estafa de billetera de hardware de 282 millones de dólares que implicó una llamada falsa de soporte de TI— representó más de la mitad de las pérdidas totales del trimestre y aproximadamente el 92 % de la categoría de phishing.
Eso no hace que el phishing sea menos importante. En todo caso, resalta cuán dañino puede ser un solo ataque exitoso cuando fallan los controles operativos.
La conclusión es sencilla: los mayores riesgos siguen ligados al comportamiento humano y la gestión del acceso, no sólo al código.
Un cambio en los patrones de ataque
Hay un cambio notable en cómo se distribuyen las pérdidas.
El primer trimestre de 2026 registró 44 incidentes, con menos infracciones masivas que acaparan los titulares y más ataques repetibles de tamaño mediano. Esto crea un tipo diferente de perfil de riesgo: menos dramático, pero más persistente.
Al mismo tiempo, vale la pena señalar que las pérdidas totales siguieron siendo las segundas más bajas en el primer trimestre desde 2023. La ausencia de un evento de la magnitud del incidente de phishing de Bybit de 1.460 millones de dólares en el primer trimestre de 2025 jugó un papel importante en ello.
Entonces, si bien los incidentes aumentaron, la pérdida promedio por ataque disminuyó. Esto sugiere que los atacantes se están inclinando por la coherencia en lugar de la escala.
Desglosando las pérdidas
Si miramos más allá de las cifras de los titulares, obtenemos una imagen más clara:
Phishing e ingeniería social: ~$306 millones
Explotaciones de contratos inteligentes: 86,2 millones de dólares en 28 incidentes (un aumento del 213 % año tras año)
Fallos en el control de acceso: ~71,9 millones de dólares (incluidas claves e infraestructura comprometidas)
Esta distribución refuerza un punto clave: la mayoría de las pérdidas no provienen de fallas técnicas desconocidas. Provienen de debilidades en el acceso, la autenticación y los procesos operativos.
La capa más débil sigue siendo la identidad
Muchos de los métodos de ataque descritos (llamadas de inversión falsas, actualizaciones de software malicioso, dispositivos de empleados comprometidos) son tácticas bien conocidas.
Sólo los grupos vinculados a Corea del Norte (RPDC) fueron responsables de más de 40 millones de dólares en pérdidas utilizando estos enfoques.
Estos no son exploits específicos de blockchain. Son extensiones de los métodos tradicionales de ciberataque aplicados a un entorno que a menudo carece de capas defensivas maduras.
El resultado es un desajuste: activos de alto valor protegido mediante criptografía sólida, pero se accede a ellos a través de sistemas humanos y operativos comparativamente débiles.
Las auditorías no te están salvando
Uno de los hallazgos más reveladores es que varios protocolos explotados ya habían sido auditados. En total, seis proyectos auditados se vieron comprometidos, lo que provocó pérdidas por valor de 37,7 millones de dólares. Uno de ellos había sido auditado 18 veces, otro cinco veces por diferentes empresas.
En muchos casos, el problema no fue una vulnerabilidad pasada por alto en el código auditado. En cambio, aparecieron problemas en la infraestructura fuera de la cadena, la gestión de claves, los cambios posteriores a la auditoría o el código heredado.
Los ejemplos incluyen:
Esto refuerza una distinción importante: las auditorías evalúan el código en un momento específico. No tienen en cuenta cómo evolucionan, se integran o funcionan los sistemas a lo largo del tiempo.
Dónde se concentra el riesgo
Los datos de auditoría interna de Hacken muestran que el riesgo no está distribuido de manera uniforme.
Una proporción desproporcionada de problemas críticos y de alta gravedad provino de un pequeño subconjunto de auditorías, particularmente aquellas que involucran arquitecturas más nuevas como la abstracción de cuentas, DEX complementos y extensiones de protocolo avanzadas.
También hay un problema recurrente con la aplicación de la ley. En el 38,5% de las auditorías de monedas estables, los mecanismos de cumplimiento estaban presentes en el código, pero no se aplicaban de manera consistente en todas las rutas de ejecución.
Esa brecha entre la intención y la ejecución crea oportunidades que los atacantes pueden aprovechar.
La seguridad todavía se trata como una fase
Una cuestión estructural fundamental permanece sin cambios.
Muchos equipos todavía siguen un enfoque lineal:
Construir → Auditoría → Lanzar → Continuar
Los atacantes operan de manera diferente:
Sondear → Adaptar → Explotar → Repetir
Esta diferencia de enfoque crea una exposición continua. La seguridad no es algo que se pueda completar antes del lanzamiento. Requiere seguimiento, validación y respuesta continuos.
Sin eso, incluso los sistemas bien auditados pueden volverse vulnerables con el tiempo.
La regulación y la IA están cambiando el panorama
El informe destaca el primer trimestre de 2026 como un punto de inflexión tanto para la regulación como para la tecnología.
Marcos como el MiCA y DORA de Europa se han aplicado activamente, junto con la nueva legislación estadounidense sobre monedas estables, una supervisión ampliada en Dubai y estándares más estrictos en Singapur. Los reguladores se centran cada vez más en el monitoreo en tiempo real, la detección rápida de incidentes y controles ejecutables.
Al mismo tiempo, AI está empezando a influir tanto en las estrategias de desarrollo como de ataque. El informe documenta uno de los primeros exploits conocidos que involucran tecnología generada por IA. contrato inteligente código, junto con riesgos más amplios como la manipulación del firmante de billetera y la exposición relacionada con MEV.
Estos desarrollos están empujando a la industria hacia sistemas que puedan operar y defender en tiempo real, en lugar de depender de controles estáticos.
El verdadero problema no es la conciencia
Ninguno de estos problemas es nuevo.
La industria comprende los riesgos del phishing. Reconoce las limitaciones de las auditorías. Es consciente de los desafíos que presentan los sistemas complejos y componibles.
La brecha está en la ejecución.
Con demasiada frecuencia, la seguridad sigue siendo tratada como un punto de control en lugar de una función continua. Las defensas operativas van por detrás de las salvaguardias técnicas. Las reglas están definidas pero no siempre se aplican.
Hasta que se aborden esas brechas, seguirán apareciendo patrones similares.
Lo que necesita cambiar
Si hay una conclusión clara de este informe, es que la seguridad debe funcionar como un sistema continuo.
Eso incluye:
Desarrollar capacidades de seguimiento y respuesta desde el principio
Tratar la gestión de identidades y accesos como infraestructura crítica
Extender las prácticas de seguridad más allá del código a las operaciones y los procesos humanos
Garantizar que las reglas de cumplimiento se apliquen de manera consistente en todas las rutas de ejecución.
Diseñar sistemas teniendo en cuenta escenarios de falla
Incorporar mecanismos de seguimiento en tiempo real y respuesta automatizada como infraestructura central.
Los equipos que adoptan este enfoque están empezando a separarse de aquellos que no lo hacen.
Pensamiento final
Las pérdidas registradas en el primer trimestre de 2026 no fueron aleatorias. Siguieron los patrones de la industria. ha visto antes.
Eso es lo que los hace significativos.
El desafío que tenemos por delante no es descubrir nuevos riesgos, sino abordar los que ya se conocen bien.