Informe Anual de Seguridad de CertiK: Las Pérdidas en Web3 Aumentaron un 37% Interanual en 2025, los Ataques de Phishing y los Incidentes de la Cadena de Suministro se Convierten en las Principales Amenazas

marsbitPublicado a 2025-12-25Actualizado a 2025-12-25

Resumen

El informe de Seguridad Web3 2025 de CertiK revela que las pérdidas en el ecosistema aumentaron un 37% interanual, alcanzando 3350 millones de dólares. Aunque el número de incidentes disminuyó a 630, la pérdida promedio por ataque se incrementó un 66,6%, llegando a 5,32 millones de dólares, lo que indica que los atacantes se enfocan en objetivos de alto valor. Los ataques a la cadena de suministro fueron la mayor fuente de pérdidas, con dos eventos que totalizaron 1450 millones de dólares, casi la mitad del total anual. El incidente de Bybit en febrero, con 1400 millones en pérdidas, fue el más significativo, donde se comprometió un proveedor de servicios de cartera multisig. El phishing siguió siendo la amenaza más frecuente, con 248 incidentes y 723 millones en pérdidas. La inteligencia artificial está facilitando estos ataques, generando sitios web falsos altamente realistas y mensajes de estafa multilingües para un targeting preciso. A pesar del aumento de riesgos, el informe destaca un entorno regulatorio más claro en EE.UU., UE y Asia. La seguridad se está convirtiendo en una infraestructura esencial, integrada en el diseño y las operaciones, crucial para la supervivencia a largo plazo en Web3.

El 23 de diciembre, CertiK, la compañía de seguridad Web3 más grande del mundo, publicó el "Informe de Seguridad Web3 Skynet Hack3D 2025", que sistematiza los principales eventos de seguridad y tendencias de riesgo en el campo Web3 durante el año pasado. El informe señala que la industria Web3 se está acelerando en un entorno de mercado en recuperación y con expectativas regulatorias más claras, pero los riesgos de seguridad no se han aliviado, sino que aún enfrenta desafíos de seguridad sistémicos.

El informe muestra que en 2025 ocurrieron 630 incidentes de seguridad en el campo Web3, causando un total de aproximadamente 3.35 mil millones de dólares en pérdidas, un aumento del 37% interanual en comparación con 2024; aunque la cantidad de incidentes disminuyó en 137 en comparación con el año anterior, la pérdida promedio por ataque alcanzó los 5.322 millones de dólares, un aumento drástico del 66.6%, lo que destaca la tendencia de los atacantes a concentrarse en objetivos de alto valor.

Los Ataques a la Cadena de Suministro Aumentan las Pérdidas Anuales

En términos de tipos de ataque, los ataques a la cadena de suministro se convirtieron en la mayor fuente de riesgo en 2025 en cuanto a pérdidas. Aunque solo se registraron dos incidentes relacionados durante todo el año, las pérdidas acumuladas ascendieron a 1.45 mil millones de dólares, casi la mitad de las pérdidas totales del año. Entre ellos, el incidente de Bybit ocurrido en febrero representó la gran mayoría de las pérdidas.

Según el informe, el incidente de seguridad que Bybit enfrentó en febrero de 2025 causó aproximadamente 1.4 mil millones de dólares en pérdidas, considerado como uno de los robos de activos cifrados más grandes hasta la fecha. El atacante no irrumpió directamente en el sistema del exchange, sino que infiltró el entorno de desarrollo de un proveedor de servicios de carteras multifirma de terceros e implantó código malicioso en el proceso de firma, eludiendo así el mecanismo de aprobación múltiple.

CertiK señaló en el informe que incidentes similares reflejan que los atacantes están concentrando sus recursos en proveedores de servicios críticos y herramientas subyacentes, en lugar de en un protocolo único en sí, y que la seguridad de la cadena de suministro se ha convertido en un riesgo sistémico que no puede ignorarse.

Alta Frecuencia de Ataques de Phishing, la IA se Convierte en un "Amplificador"

En cuanto a la frecuencia de ataques, el phishing sigue siendo la amenaza de seguridad más común en 2025. El informe muestra que se registraron 248 incidentes de ataques de phishing durante el año, causando aproximadamente 723 millones de dólares en pérdidas, ligeramente por encima de los ataques por vulnerabilidades de código (240 incidentes).

Vale la pena señalar que CertiK cree que esta cifra aún podría estar subestimada. Una gran cantidad de incidentes de phishing y estafas dirigidos a usuarios individuales no se han divulgado formalmente, especialmente los ataques de ingeniería social con pérdidas menores o que ocurren fuera de la cadena.

El informe enfatiza que la popularización de la inteligencia artificial está reduciendo significativamente el umbral técnico de los ataques de phishing. Los atacantes están comenzando a utilizar IA para generar sitios web de phishing altamente realistas, ventanas emergentes de carteras y mensajes de estafa multilingües, combinándolos con datos en cadena y contenido de redes sociales para una "distribución precisa". Las formas de defensa tradicionales que dependen de errores gramaticales o características de plantilla para la identificación están perdiendo efectividad gradualmente.

Mayor Claridad Regulatoria, la Seguridad está Pasando de ser un "Costo" a una "Infraestructura"

Mientras los riesgos aumentan, el informe también nota cambios positivos en el entorno regulatorio global. Los avances legislativos en Estados Unidos en torno a las stablecoins y la transparencia de los activos digitales están liberando señales políticas más claras para la industria; el marco MiCA de la Unión Europea y los sandboxes regulatorios en Singapur y Hong Kong también están impulsando a Web3 hacia una etapa de desarrollo más estandarizada.

CertiK señaló en el informe que, a medida que las instituciones y los fondos conformes continúan ingresando, la capacidad de seguridad se está transformando de un "remedio posterior" a un elemento de infraestructura en el diseño y operación de proyectos. Tanto para los proyectos como para los usuarios individuales, la seguridad ya no es una opción, sino una variable clave que afecta la viabilidad a largo plazo.

El informe finalmente proyecta que, en el próximo año, los ataques de suplantación impulsados por IA, las infiltraciones complejas en la cadena de suministro y los ataques de ingeniería social dirigidos a usuarios individuales continuarán evolucionando. En este contexto, solo los proyectos que integren la seguridad en el diseño de la arquitectura, los procesos de desarrollo y la experiencia del usuario podrán destacarse en la nueva ronda de competencia de Web3.

Informe completo: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

Preguntas relacionadas

Q¿Cuál fue el aumento porcentual en las pérdidas de Web3 en 2025 en comparación con 2024, según el informe de CertiK?

ALas pérdidas en el sector Web3 aumentaron un 37% en 2025 en comparación con 2024.

Q¿Qué tipo de ataque fue la mayor fuente de pérdidas en 2025 y cuál fue el incidente más destacado?

AEl ataque a la cadena de suministro fue la mayor fuente de pérdidas. El incidente más destacado fue el de Bybit en febrero, que resultó en una pérdida de aproximadamente 1400 millones de dólares.

Q¿Cuántos incidentes de phishing se registraron en 2025 y por qué el informe sugiere que esta cifra podría estar subestimada?

ASe registraron 248 incidentes de phishing. La cifra podría estar subestimada porque muchos ataques de ingeniería social dirigidos a usuarios individuales, especialmente aquellos con pérdidas menores o que ocurren fuera de la cadena, no se denuncian formalmente.

Q¿Cómo está afectando la inteligencia artificial (IA) a los ataques de phishing según el informe?

ALa inteligencia artificial está reduciendo significativamente la barrera técnica para los ataques de phishing. Los atacantes utilizan IA para generar sitios de phishing altamente realistas, ventanas emergentes de billeteras y mensajes de estafa multilingües, y los combinan con datos on-chain y contenidos de redes sociales para una 'distribución precisa'.

QSegún CertiK, ¿cómo está cambiando el papel de la seguridad en el ecosistema Web3 frente a la evolución regulatoria?

ALa seguridad se está transformando de un 'remedio posterior' a un elemento fundamental de infraestructura en el diseño y operación de los proyectos. Con la entrada continua de instituciones y capital conforme a la normativa, la seguridad ya no es una opción, sino una variable clave que afecta la viabilidad a largo plazo, tanto para los proyectos como para los usuarios individuales.

Lecturas Relacionadas

Los modelos lingüísticos más avanzados comienzan a ser controlados como uranio enriquecido

El viernes pasado, la administración estadounidense emitió una orden de control de exportaciones que prohibía a cualquier ciudadano extranjero acceder a los modelos de IA Fable 5 y Mythos 5 de Anthropic. Esto llevó a la empresa a desconectar globalmente estos modelos, recién lanzados, al no poder verificar en tiempo real la nacionalidad de los usuarios. Por primera vez, una entidad de inteligencia en forma de bits se incluye en un marco de control similar al del uranio enriquecido. Históricamente, los controles se aplicaban a objetos físicos o fórmulas (por ejemplo, centrifugadoras o algoritmos). Sin embargo, Fable 5 es un conjunto de parámetros digitales, infinitamente replicable y sin fronteras físicas. Lo que realmente se controla es la "densidad de capacidades" que estos parámetros condensan: habilidades de generación de código, razonamiento y conocimiento multidisciplinar. La analogía es clara: así como el uranio natural no está controlado pero su versión enriquecida sí, las capacidades de IA, dispersas en bibliotecas de código abierto, son libres, pero su concentración en un único punto de acceso las convierte en un objetivo de restricción. Este evento prefigura tres posibles desarrollos en la próxima década: 1) La institucionalización de la revisión de capacidades de los modelos, con listas y umbrales que activarían controles automáticos. 2) La expansión y difuminación de la jurisdicción, donde las leyes estadounidenses podrían aplicarse extraterritorialmente a usuarios globales. 3) Una bifurcación tecnológica, con un camino de modelos cerrados (avanzados pero con riesgo de desconexión) y otro de modelos abiertos o locales (más fiables por no estar sujetos a esos riesgos). El episodio revela una crisis más profunda: la falta de un régimen de propiedad intelectual para la "inteligencia" digital. Legalmente, los modelos se venden como un servicio revocable. Las empresas que los integran en sus procesos productivos asumen un riesgo enorme, ya que su inversión queda desprotegida frente a una posible desconexión. El mundo digital podría dividirse permanentemente, donde la utilidad y claridad de propiedad de un modelo lleguen a ser más importantes que su mera superioridad técnica puntual.

marsbitHace 11 min(s)

Los modelos lingüísticos más avanzados comienzan a ser controlados como uranio enriquecido

marsbitHace 11 min(s)

ETF de Bitcoin registró una salida récord de 4.400 millones de dólares, con fondos regresando por primera vez en tres semanas

**Resumen en español europeo:** Los ETFs de Bitcoin en EE.UU. acaban de sufrir la mayor salida de capital desde su lanzamiento: una retirada neta de aproximadamente 4.400 millones de dólares durante 13 sesiones consecutivas, del 15 de mayo al 3 de junio, más del doble del récord anterior. Esta salida, combinada con la caída del precio del Bitcoin, redujo el patrimonio total de los ETFs de 1.043 a 828 mil millones de dólares en tres semanas. El 12 de junio, sin embargo, se observó una señal de posible cambio: los 12 fondos registraron colectivamente un flujo de entrada neto de 85,84 millones de dólares, sin salidas netas en ninguno. Geoff Kendrick, de Standard Chartered, señala este dato como una de las pruebas de que el Bitcoin podría haber tocado fondo en este ciclo, declarando que "el invierno ha terminado". Aunque esta entrada puntual no compensa la gran salida anterior, marca un posible punto de inflexión en la presión vendedora. Los analistas consideran este episodio como una significativa reversión de impulso más que un colapso estructural, ya que los flujos acumulados netos desde enero de 2024 siguen superando los 55 mil millones de dólares.

marsbitHace 26 min(s)

ETF de Bitcoin registró una salida récord de 4.400 millones de dólares, con fondos regresando por primera vez en tres semanas

marsbitHace 26 min(s)

El CEO de Microsoft escribe un extenso artículo: En el futuro habrá dos tipos de capital, capital humano + capital Token

El CEO de Microsoft, Satya Nadella, publicó un extenso hilo en X titulado "Una frontera sin un ecosistema no es estable", que superó los 28 millones de visitas. En él, reflexiona sobre el futuro de las empresas en la era de la IA y advierte sobre un cambio fundamental: la IA puede "absorber" y "comercializar" los conocimientos especializados de las empresas, centralizando el valor en unos pocos modelos dominantes. Nadella argumenta que, para prosperar, cada empresa debe construir dos formas de capital: el Capital Humano (conocimiento, juicio, relaciones y creatividad de los empleados) y el Capital Token (capacidades de IA propias y controladas). La clave no es elegir el mejor modelo, sino establecer un "ciclo de aprendizaje" donde ambos tipos de capital se potencien mutuamente, creando una ventaja competitiva única y compuesta. Este sistema, comparable a un "simulador de escalada", permitiría a las empresas conservar su propiedad intelectual y conocimiento acumulado incluso si cambian los modelos de IA subyacentes. Nadella advierte firmemente contra un futuro donde unas pocas IA capturen todo el valor económico, vaciando industrias enteras, un escenario que considera social y políticamente insostenible. El llamado final es a construir un "ecosistema fronterizo" donde el valor fluya ampliamente. Las plataformas deben generar más valor del que capturan internamente, permitiendo que cada organización innove y cree su propio valor, beneficiando a sus empleados y a la economía en su conjunto para lograr un equilibrio estable.

marsbitHace 39 min(s)

El CEO de Microsoft escribe un extenso artículo: En el futuro habrá dos tipos de capital, capital humano + capital Token

marsbitHace 39 min(s)

De una valoración de 300 millones a una «venta» por unos pocos millones: ¿qué le pasó a Messari?

El 12 de junio, la plataforma líder de datos y capitales de cripto Blockworks anunció la adquisición de su competidor de largo tiempo, Messari, por un valor que supera los 10 millones de dólares. Messari había alcanzado una valoración de aproximadamente 300 millones en 2022, por lo que el precio de venta actual representa un fuerte descuento, reflejando las presiones que enfrentan las startups con alta valoración en el profundo mercado bajista y la ola de consolidación en el sector de infraestructura de datos. Blockworks, fundada en 2018, ha evolucionado de un enfoque en medios y eventos hacia una plataforma de inteligencia de mercados de capitales on-chain, con fortalezas en la relación con emisores, cumplimiento normativo y herramientas institucionales. Messari, también fundada en 2018, se especializó en investigación y análisis de datos de criptomonedas de grado profesional, alcanzando gran reconocimiento. La transacción integra los activos centrales de Messari, incluida su plataforma de datos y API, en el ecosistema de Blockworks. El objetivo declarado es construir un "sistema de registro único" para los mercados on-chain, combinando las capacidades de datos y API de Messari con las ventajas de Blockworks en divulgación de emisores, relaciones con inversores y flujos de trabajo de cumplimiento. El fondo detrás de la operación apunta a una corrección de las valoraciones infladas durante la etapa alcista, y a la creciente necesidad del mercado de datos estandarizados, accesibles y confiables, especialmente con la aceleración de la adopción institucional y el auge de sectores como las monedas estables y los RWA. La consolidación en el ámbito de los datos e investigación de cripto parece ser un camino para navegar la volatilidad del ciclo y construir ventajas competitivas duraderas.

marsbitHace 40 min(s)

De una valoración de 300 millones a una «venta» por unos pocos millones: ¿qué le pasó a Messari?

marsbitHace 40 min(s)

Si la burbuja de la IA ya está estallando, ¿quiénes quedarán realmente?

La burbuja de la IA: ¿quién sobrevivirá cuando estalle? La burbuja de la IA se está convirtiendo en el consenso más divisivo del mercado global. Por un lado, existe un claro sobrecalentamiento especulativo, con una inversión masiva en infraestructura (centros de datos, energía, módulos ópticos, GPUs) que aún no se refleja plenamente en los ingresos de las aplicaciones. Por otro, la revolución de la productividad impulsada por la IA es una realidad incipiente, comparable al inicio de la era de internet. El debate actual recuerda a la burbuja de las puntocom del año 2000. Aunque aquel estallido provocó una caída masiva del mercado y la desaparición de muchas empresas, dejó una infraestructura física clave (fibra óptica, redes de banda ancha) que impulsó la próxima generación de gigantes tecnológicos. De manera similar, hoy se observa una desconexión: se proyecta que el gasto de capital en infraestructura de IA para 2026 alcance los 690.000 millones de dólares, mientras que los ingresos de las principales empresas de IA pura apenas rozarían los 40.000 millones. Sin embargo, un factor crucial modifica la ecuación: el desplome del costo de la inteligencia. El precio por procesar un millón de tokens ha caído más de un 99.7% desde 2023, acercando el coste marginal de la "inteligencia" a casi cero. Esto no ha reducido el gasto empresarial en IA, sino que lo ha multiplicado, ya que desbloquea una demanda masiva de aplicaciones de larga cola anteriormente inviables. Las empresas ya no se preguntan si usar IA, sino cómo optimizar su integración en flujos de trabajo reales de código, medicina, finanzas, legal o investigación. El mercado ya está en un proceso de purga, eliminando a empresas sin propuesta de valor real ("capas de API" o "PPT"). La evolución profunda pasa de la euforia por la infraestructura (CapEx) a la creación de valor en la capa de aplicación (OpEx). Aquellas empresas capaces de resolver problemas verticales específicos y redefinir procesos empresariales con IA nativa serán las que perduren. En conclusión, aunque la burbuja especulativa puede desinflarse, la transformación subyacente es imparable. Al igual que tras el 2000 todas las industrias se volvieron digitales, ahora avanzamos irreversiblemente hacia una era en la que todas estarán impregnadas e impulsadas por la inteligencia artificial. El ruido de la burbuja pasará; el potencial transformador de la productividad perdurará.

marsbitHace 1 hora(s)

Si la burbuja de la IA ya está estallando, ¿quiénes quedarán realmente?

marsbitHace 1 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow