Informe Anual de Seguridad de CertiK: Las Pérdidas en Web3 Aumentaron un 37% Interanual en 2025, los Ataques de Phishing y los Incidentes de la Cadena de Suministro se Convierten en las Principales Amenazas

marsbitPublicado a 2025-12-25Actualizado a 2025-12-25

Resumen

El informe de Seguridad Web3 2025 de CertiK revela que las pérdidas en el ecosistema aumentaron un 37% interanual, alcanzando 3350 millones de dólares. Aunque el número de incidentes disminuyó a 630, la pérdida promedio por ataque se incrementó un 66,6%, llegando a 5,32 millones de dólares, lo que indica que los atacantes se enfocan en objetivos de alto valor. Los ataques a la cadena de suministro fueron la mayor fuente de pérdidas, con dos eventos que totalizaron 1450 millones de dólares, casi la mitad del total anual. El incidente de Bybit en febrero, con 1400 millones en pérdidas, fue el más significativo, donde se comprometió un proveedor de servicios de cartera multisig. El phishing siguió siendo la amenaza más frecuente, con 248 incidentes y 723 millones en pérdidas. La inteligencia artificial está facilitando estos ataques, generando sitios web falsos altamente realistas y mensajes de estafa multilingües para un targeting preciso. A pesar del aumento de riesgos, el informe destaca un entorno regulatorio más claro en EE.UU., UE y Asia. La seguridad se está convirtiendo en una infraestructura esencial, integrada en el diseño y las operaciones, crucial para la supervivencia a largo plazo en Web3.

El 23 de diciembre, CertiK, la compañía de seguridad Web3 más grande del mundo, publicó el "Informe de Seguridad Web3 Skynet Hack3D 2025", que sistematiza los principales eventos de seguridad y tendencias de riesgo en el campo Web3 durante el año pasado. El informe señala que la industria Web3 se está acelerando en un entorno de mercado en recuperación y con expectativas regulatorias más claras, pero los riesgos de seguridad no se han aliviado, sino que aún enfrenta desafíos de seguridad sistémicos.

El informe muestra que en 2025 ocurrieron 630 incidentes de seguridad en el campo Web3, causando un total de aproximadamente 3.35 mil millones de dólares en pérdidas, un aumento del 37% interanual en comparación con 2024; aunque la cantidad de incidentes disminuyó en 137 en comparación con el año anterior, la pérdida promedio por ataque alcanzó los 5.322 millones de dólares, un aumento drástico del 66.6%, lo que destaca la tendencia de los atacantes a concentrarse en objetivos de alto valor.

Los Ataques a la Cadena de Suministro Aumentan las Pérdidas Anuales

En términos de tipos de ataque, los ataques a la cadena de suministro se convirtieron en la mayor fuente de riesgo en 2025 en cuanto a pérdidas. Aunque solo se registraron dos incidentes relacionados durante todo el año, las pérdidas acumuladas ascendieron a 1.45 mil millones de dólares, casi la mitad de las pérdidas totales del año. Entre ellos, el incidente de Bybit ocurrido en febrero representó la gran mayoría de las pérdidas.

Según el informe, el incidente de seguridad que Bybit enfrentó en febrero de 2025 causó aproximadamente 1.4 mil millones de dólares en pérdidas, considerado como uno de los robos de activos cifrados más grandes hasta la fecha. El atacante no irrumpió directamente en el sistema del exchange, sino que infiltró el entorno de desarrollo de un proveedor de servicios de carteras multifirma de terceros e implantó código malicioso en el proceso de firma, eludiendo así el mecanismo de aprobación múltiple.

CertiK señaló en el informe que incidentes similares reflejan que los atacantes están concentrando sus recursos en proveedores de servicios críticos y herramientas subyacentes, en lugar de en un protocolo único en sí, y que la seguridad de la cadena de suministro se ha convertido en un riesgo sistémico que no puede ignorarse.

Alta Frecuencia de Ataques de Phishing, la IA se Convierte en un "Amplificador"

En cuanto a la frecuencia de ataques, el phishing sigue siendo la amenaza de seguridad más común en 2025. El informe muestra que se registraron 248 incidentes de ataques de phishing durante el año, causando aproximadamente 723 millones de dólares en pérdidas, ligeramente por encima de los ataques por vulnerabilidades de código (240 incidentes).

Vale la pena señalar que CertiK cree que esta cifra aún podría estar subestimada. Una gran cantidad de incidentes de phishing y estafas dirigidos a usuarios individuales no se han divulgado formalmente, especialmente los ataques de ingeniería social con pérdidas menores o que ocurren fuera de la cadena.

El informe enfatiza que la popularización de la inteligencia artificial está reduciendo significativamente el umbral técnico de los ataques de phishing. Los atacantes están comenzando a utilizar IA para generar sitios web de phishing altamente realistas, ventanas emergentes de carteras y mensajes de estafa multilingües, combinándolos con datos en cadena y contenido de redes sociales para una "distribución precisa". Las formas de defensa tradicionales que dependen de errores gramaticales o características de plantilla para la identificación están perdiendo efectividad gradualmente.

Mayor Claridad Regulatoria, la Seguridad está Pasando de ser un "Costo" a una "Infraestructura"

Mientras los riesgos aumentan, el informe también nota cambios positivos en el entorno regulatorio global. Los avances legislativos en Estados Unidos en torno a las stablecoins y la transparencia de los activos digitales están liberando señales políticas más claras para la industria; el marco MiCA de la Unión Europea y los sandboxes regulatorios en Singapur y Hong Kong también están impulsando a Web3 hacia una etapa de desarrollo más estandarizada.

CertiK señaló en el informe que, a medida que las instituciones y los fondos conformes continúan ingresando, la capacidad de seguridad se está transformando de un "remedio posterior" a un elemento de infraestructura en el diseño y operación de proyectos. Tanto para los proyectos como para los usuarios individuales, la seguridad ya no es una opción, sino una variable clave que afecta la viabilidad a largo plazo.

El informe finalmente proyecta que, en el próximo año, los ataques de suplantación impulsados por IA, las infiltraciones complejas en la cadena de suministro y los ataques de ingeniería social dirigidos a usuarios individuales continuarán evolucionando. En este contexto, solo los proyectos que integren la seguridad en el diseño de la arquitectura, los procesos de desarrollo y la experiencia del usuario podrán destacarse en la nueva ronda de competencia de Web3.

Informe completo: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

Preguntas relacionadas

Q¿Cuál fue el aumento porcentual en las pérdidas de Web3 en 2025 en comparación con 2024, según el informe de CertiK?

ALas pérdidas en el sector Web3 aumentaron un 37% en 2025 en comparación con 2024.

Q¿Qué tipo de ataque fue la mayor fuente de pérdidas en 2025 y cuál fue el incidente más destacado?

AEl ataque a la cadena de suministro fue la mayor fuente de pérdidas. El incidente más destacado fue el de Bybit en febrero, que resultó en una pérdida de aproximadamente 1400 millones de dólares.

Q¿Cuántos incidentes de phishing se registraron en 2025 y por qué el informe sugiere que esta cifra podría estar subestimada?

ASe registraron 248 incidentes de phishing. La cifra podría estar subestimada porque muchos ataques de ingeniería social dirigidos a usuarios individuales, especialmente aquellos con pérdidas menores o que ocurren fuera de la cadena, no se denuncian formalmente.

Q¿Cómo está afectando la inteligencia artificial (IA) a los ataques de phishing según el informe?

ALa inteligencia artificial está reduciendo significativamente la barrera técnica para los ataques de phishing. Los atacantes utilizan IA para generar sitios de phishing altamente realistas, ventanas emergentes de billeteras y mensajes de estafa multilingües, y los combinan con datos on-chain y contenidos de redes sociales para una 'distribución precisa'.

QSegún CertiK, ¿cómo está cambiando el papel de la seguridad en el ecosistema Web3 frente a la evolución regulatoria?

ALa seguridad se está transformando de un 'remedio posterior' a un elemento fundamental de infraestructura en el diseño y operación de los proyectos. Con la entrada continua de instituciones y capital conforme a la normativa, la seguridad ya no es una opción, sino una variable clave que afecta la viabilidad a largo plazo, tanto para los proyectos como para los usuarios individuales.

Lecturas Relacionadas

Los mayores bancos de Japón prevén el lanzamiento de una stablecoin en el año fiscal 2026 ante el impulso regulatorio

Las tres principales entidades bancarias de Japón —MUFG Bank, Sumitomo Mitsui Banking Corp. y Mizuho Bank— planean lanzar una stablecoin conjunta antes del 31 de marzo de 2027 (fin del año fiscal 2026). Han establecido un consejo voluntario para desarrollar el marco operativo y de gobernanza, y explorarán su uso en múltiples casos prácticos y posibles colaboraciones. El impulso regulatorio en Japón, con la modificación de la Ley de Servicios de Pago en 2022, permite que solo entidades autorizadas emitan tokens respaldados por yen. Recientemente, el partido gobernante ha instado a promover las stablecoins en yen para su uso en liquidaciones en Asia, coincidiendo con la próxima reunión anual del Banco Asiático de Desarrollo en Japón el próximo año.

bitcoinistHace 5 min(s)

Los mayores bancos de Japón prevén el lanzamiento de una stablecoin en el año fiscal 2026 ante el impulso regulatorio

bitcoinistHace 5 min(s)

Tras la aprobación de la Ley GENIUS y la Ley CLARITY, ¿cuál es realmente la arquitectura correcta para los rendimientos en cadena?

El artículo analiza la evolución del crédito en blockchain, destacando tres categorías: préstamos cripto con sobrecolateralización, préstamos sin garantía y **crédito respaldado por activos (ABC)**. Este último es el de mayor crecimiento y la única solución creíble al problema de **selección adversa** en el ecosistema. Actualmente, el ABC en blockchain se implementa principalmente a través de fondos tokenizados, lo que no resuelve el problema de fondo, sino que traslada el riesgo del gestor del fondo. La propuesta clave es resolverlo a nivel de protocolo, codificando la evaluación, estructura y recuperación en la **bóveda (vault)** inteligente misma. El marco regulatorio estadounidense, con las leyes **GENIUS** y **CLARITY**, prohíbe que las stablecoins paguen rendimientos directamente. Esto convierte a las bóvedas (como las estándar ERC-4626) en el vehículo fundamental para ofrecer rendimientos de forma regulada y transparente. Por lo tanto, el diseño de estas bóvedas —su permisividad, contabilidad, divulgación y cumplimiento— se vuelve crítico. El futuro, en un plazo de 12 a 18 meses, dependerá de construir productos de ABC conformes, centrados en Estados Unidos y diseñados desde su base para la nueva era regulatoria, aprovechando la enorme base de capital existente en stablecoins.

Foresight NewsHace 20 min(s)

Tras la aprobación de la Ley GENIUS y la Ley CLARITY, ¿cuál es realmente la arquitectura correcta para los rendimientos en cadena?

Foresight NewsHace 20 min(s)

TechFlow 情报局：Nuevo modelo Fable de Anthropic genera polémica por limitar la investigación en bioseguridad, el IPC de EE.UU. sube a 4.2%, máximo en tres años

**Resumen:** La compañía de IA Anthropic enfrenta críticas por limitaciones "silenciosas" en sus modelos Fable y Mythos para investigación en ciencias biológicas, alegando motivos de seguridad. Tras el escándalo, anunciaron que informarán a los usuarios sobre ajustes futuros. En otro episodio de la pugna entre gigantes de IA, Dario Amodei, cofundador de Anthropic, reveló que su salida de OpenAI se debió a la deshonestidad de Sam Altman, no a desacuerdos sobre seguridad. Mientras tanto, OpenAI planea recortes de precios agresivos para competir. En cripto, BlackRock avanza con su ETF de Bitcoin con generación de rendimientos, mientras el CEO de Bank of America advierte que las stablecoins podrían drenar billones de dólares en depósitos bancarios. A pesar de una inflación estadounidense (IPC) en 4.2% (máximo en 3 años) y el cierre del estratégico Estrecho de Ormuz por Irán, el Bitcoin cayó, cuestionando su narrativa como "activo refugio". En hardware, Nvidia y AMD intensifican su rivalidad con nuevos modelos de IA y arquitecturas para desafiar el dominio de CUDA. Un fallo judicial alemán marcó un hito al declarar a Google legalmente responsable por las respuestas incorrectas de su AI Overviews. La tensión geopolítica escaló con Irán cerrando el Estrecho de Ormuz, amenazando el 20% del transporte global de petróleo y provocando ataques de represalia de EE.UU. Los mercados reaccionaron con caídas en acciones y oro, mientras el petróleo subía. Tres desarrollos subrayan los dilemas de nuestro tiempo: las restricciones de Anthropic a la investigación, la responsabilidad legal de Google por su IA y el primer caso reportado de un dron autónomo que mata a un soldado, delinean la urgente necesidad de definir los límites éticos y legales de la IA. La tecnología avanza, pero debe navegar un mundo real de inflación, conflicto e incertidumbre económica.

marsbitHace 34 min(s)

TechFlow 情报局：Nuevo modelo Fable de Anthropic genera polémica por limitar la investigación en bioseguridad, el IPC de EE.UU. sube a 4.2%, máximo en tres años

marsbitHace 34 min(s)

Otra nueva división empresarial de Alibaba, ¿qué señal es?

En junio, Alibaba anunció su tercera reorganización de IA en 2026, fusionando sus dos principales equipos de IA, el Departamento de Modelo Grande Tongyi y el Laboratorio de Vida Futura, para formar el nuevo Departamento de Token Foundry. Este departamento, dirigido personalmente por el CEO del grupo, Wu Yongming, tiene como objetivo centralizar recursos y acelerar la comercialización de la IA. La reorganización también incluye el nombramiento de Zhou Jingren, fundador del sistema Qwen, como Científico Jefe del grupo para liderar el nuevo Instituto de Investigación del Futuro de la IA de Alibaba. El departamento Token Foundry ("Fábrica de Tokens") refleja la estrategia de Alibaba de actuar como proveedor fundamental en la era de la IA, enfocándose en la creación y aplicación de "tokens" de IA. Esta movida sigue a la creación previa del grupo de negocio ATH (Alibaba Token Hub) y el Comité de Tecnología del grupo, señalando una transición desde la fase de "integración de recursos" hacia la de "aceleración de la implementación". La nueva estructura organizativa de cuatro niveles (investigación, modelo base, plataforma de servicios, productos de aplicación) busca equilibrar la innovación a largo plazo con las necesidades comerciales a corto plazo. El cambio de rol de Zhou Jingren hacia la investigación de vanguardia, liberado de la gestión operativa, junto con el enfoque comercial del Token Foundry dirigido por el CEO, muestra la estrategia dual de Alibaba: competir en el presente mientras invierte en el futuro. Este ajuste se produce cuando Alibaba declara que su negocio de IA ha entrado en una fase de retorno comercial, con ingresos recurrentes anuales (ARR) relacionados con la IA proyectados para superar los 30.000 millones de yuanes a fin de año. La reorganización de Alibaba refleja una tendencia global entre los grandes jugadores tecnológicos (Google, Microsoft, Meta, Amazon) de consolidar sus equipos de IA bajo un mando unificado y directo del CEO para reducir la fricción interna y acelerar el desarrollo. Esto ocurre en un contexto de creciente competencia en el campo de MaaS (Modelo como Servicio) y de reducción de la ventana de oportunidad en la industria de la IA, donde la carrera ha pasado de ser solo sobre parámetros de modelos a incluir capacidades de ingeniería, comercialización y ecosistema.

marsbitHace 58 min(s)

Otra nueva división empresarial de Alibaba, ¿qué señal es?

marsbitHace 58 min(s)

Del regreso a la dimisión: Los 437 días de Chen Hang en DingTalk

Durante 437 días, Chen Hang, fundador de DingTalk, regresó como CEO con la misión de transformar la plataforma de trabajo en la principal aplicación de IA para empresas de Alibaba. Su gestión se caracterizó por una disciplina férrea, con medidas controvertidas como horarios estrictos y auditorías de productividad, que generaron malestar interno y críticas públicas. Bajo su liderazgo, DingTalk lanzó AI DingTalk 1.0, presentando el proyecto "ONE" como nueva entrada interactiva basada en IA, y posteriormente la versión 2.0 con la plataforma empresarial nativa de IA "Wukong". Este último implicó una reescritura completa del código base para permitir que la IA ejecute tareas automáticamente, cambiando el enfoque de la herramienta. Sin embargo, la presión por resultados rápidos, combinada con los intensos métodos de gestión, culminó en dos artículos virales escritos por empleados que exponían una cultura laboral tóxica. Esto llevó a una inusual reprimenda pública del Comité de Socios de Alibaba. Como consecuencia, Chen Hang fue reemplazado el 11 de junio por Chen Yusen, un técnico de 32 años conocido por su estilo más colaborativo. Aunque Chen Hang sentó las bases tecnológicas para la estrategia de IA de Alibaba, su partida marca un cambio hacia una cultura corporativa más abierta e inclusiva, mientras DingTalk busca reinventarse en la nueva era de la inteligencia artificial.

marsbitHace 1 hora(s)

Del regreso a la dimisión: Los 437 días de Chen Hang en DingTalk