El 23 de diciembre, CertiK, la compañía de seguridad Web3 más grande del mundo, publicó el "Informe de Seguridad Web3 Skynet Hack3D 2025", que sistematiza los principales eventos de seguridad y tendencias de riesgo en el campo Web3 durante el año pasado. El informe señala que la industria Web3 se está acelerando en un entorno de mercado en recuperación y con expectativas regulatorias más claras, pero los riesgos de seguridad no se han aliviado, sino que aún enfrenta desafíos de seguridad sistémicos.
El informe muestra que en 2025 ocurrieron 630 incidentes de seguridad en el campo Web3, causando un total de aproximadamente 3.35 mil millones de dólares en pérdidas, un aumento del 37% interanual en comparación con 2024; aunque la cantidad de incidentes disminuyó en 137 en comparación con el año anterior, la pérdida promedio por ataque alcanzó los 5.322 millones de dólares, un aumento drástico del 66.6%, lo que destaca la tendencia de los atacantes a concentrarse en objetivos de alto valor.
Los Ataques a la Cadena de Suministro Aumentan las Pérdidas Anuales
En términos de tipos de ataque, los ataques a la cadena de suministro se convirtieron en la mayor fuente de riesgo en 2025 en cuanto a pérdidas. Aunque solo se registraron dos incidentes relacionados durante todo el año, las pérdidas acumuladas ascendieron a 1.45 mil millones de dólares, casi la mitad de las pérdidas totales del año. Entre ellos, el incidente de Bybit ocurrido en febrero representó la gran mayoría de las pérdidas.
Según el informe, el incidente de seguridad que Bybit enfrentó en febrero de 2025 causó aproximadamente 1.4 mil millones de dólares en pérdidas, considerado como uno de los robos de activos cifrados más grandes hasta la fecha. El atacante no irrumpió directamente en el sistema del exchange, sino que infiltró el entorno de desarrollo de un proveedor de servicios de carteras multifirma de terceros e implantó código malicioso en el proceso de firma, eludiendo así el mecanismo de aprobación múltiple.
CertiK señaló en el informe que incidentes similares reflejan que los atacantes están concentrando sus recursos en proveedores de servicios críticos y herramientas subyacentes, en lugar de en un protocolo único en sí, y que la seguridad de la cadena de suministro se ha convertido en un riesgo sistémico que no puede ignorarse.
Alta Frecuencia de Ataques de Phishing, la IA se Convierte en un "Amplificador"
En cuanto a la frecuencia de ataques, el phishing sigue siendo la amenaza de seguridad más común en 2025. El informe muestra que se registraron 248 incidentes de ataques de phishing durante el año, causando aproximadamente 723 millones de dólares en pérdidas, ligeramente por encima de los ataques por vulnerabilidades de código (240 incidentes).
Vale la pena señalar que CertiK cree que esta cifra aún podría estar subestimada. Una gran cantidad de incidentes de phishing y estafas dirigidos a usuarios individuales no se han divulgado formalmente, especialmente los ataques de ingeniería social con pérdidas menores o que ocurren fuera de la cadena.
El informe enfatiza que la popularización de la inteligencia artificial está reduciendo significativamente el umbral técnico de los ataques de phishing. Los atacantes están comenzando a utilizar IA para generar sitios web de phishing altamente realistas, ventanas emergentes de carteras y mensajes de estafa multilingües, combinándolos con datos en cadena y contenido de redes sociales para una "distribución precisa". Las formas de defensa tradicionales que dependen de errores gramaticales o características de plantilla para la identificación están perdiendo efectividad gradualmente.
Mayor Claridad Regulatoria, la Seguridad está Pasando de ser un "Costo" a una "Infraestructura"
Mientras los riesgos aumentan, el informe también nota cambios positivos en el entorno regulatorio global. Los avances legislativos en Estados Unidos en torno a las stablecoins y la transparencia de los activos digitales están liberando señales políticas más claras para la industria; el marco MiCA de la Unión Europea y los sandboxes regulatorios en Singapur y Hong Kong también están impulsando a Web3 hacia una etapa de desarrollo más estandarizada.
CertiK señaló en el informe que, a medida que las instituciones y los fondos conformes continúan ingresando, la capacidad de seguridad se está transformando de un "remedio posterior" a un elemento de infraestructura en el diseño y operación de proyectos. Tanto para los proyectos como para los usuarios individuales, la seguridad ya no es una opción, sino una variable clave que afecta la viabilidad a largo plazo.
El informe finalmente proyecta que, en el próximo año, los ataques de suplantación impulsados por IA, las infiltraciones complejas en la cadena de suministro y los ataques de ingeniería social dirigidos a usuarios individuales continuarán evolucionando. En este contexto, solo los proyectos que integren la seguridad en el diseño de la arquitectura, los procesos de desarrollo y la experiencia del usuario podrán destacarse en la nueva ronda de competencia de Web3.
Informe completo: https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a
