Por Canuto Las pérdidas en Web3 durante el primer trimestre de 2026 llegaron a USD $482 millones en 44 incidentes, pero el dato más relevante no es solo el monto: según Hacken, los ataques más costosos están migrando desde el código onchain hacia errores humanos, compromisos de claves y fallas operativas que muchas auditorías tradicionales no cubren.
***
- Hacken calculó pérdidas por USD $482 millones en 44 incidentes de Web3 durante el Q1 de 2026.
- El phishing y la ingeniería social explicaron USD $306 millones, incluida una estafa de hardware wallet por USD $282 millones.
- MiCA, DORA y otros marcos regulatorios están elevando la presión sobre monitoreo continuo y respuesta a incidentes.
Los proyectos de Web3 perdieron USD $482 millones por hacks y estafas durante el primer trimestre de 2026, en un período marcado por 44 incidentes y por un cambio relevante en la naturaleza de las amenazas. Más que una ola de megahacks aislados, el trimestre mostró una mayor cantidad de eventos de tamaño medio, con un fuerte peso de ataques de phishing, ingeniería social y compromisos de infraestructura.
El dato surge del informe trimestral de Hacken, que concluye que las fallas más costosas ya no aparecen únicamente dentro del código de contratos inteligentes. En cambio, se están desplazando hacia capas operativas y de infraestructura que a menudo quedan fuera del alcance de las auditorías tradicionales, un punto que también empieza a llamar la atención de reguladores y contrapartes institucionales.
Para lectores menos familiarizados con este mercado, Web3 agrupa aplicaciones y servicios construidos sobre redes blockchain, desde protocolos DeFi hasta plataformas de wallets, puentes y soluciones de custodia. En ese ecosistema, un fallo de seguridad puede surgir tanto en un contrato inteligente como en un servidor, una clave privada, una integración en la nube o incluso en un engaño dirigido a empleados.
El phishing fue la principal fuente de pérdidas
De los USD $482 millones reportados en el trimestre, USD $306 millones correspondieron a ataques de phishing e ingeniería social. Eso convierte a esta categoría en la más dañina del período, por encima de los exploits de contratos inteligentes y de las fallas de control de acceso.
Una sola estafa ocurrida en enero, vinculada a una hardware wallet, provocó pérdidas por USD $282 millones. Ese caso por sí solo explicó más de la mitad del daño total registrado entre enero y marzo, lo que ilustra cómo una sola operación bien dirigida puede distorsionar el balance completo del trimestre.
El informe también menciona una falsa videollamada con un capitalista de riesgo dirigida contra Step Finance, vinculada a Corea del Norte, que terminó en pérdidas por USD $40 millones. A eso se sumó un compromiso del servicio de gestión de claves de AWS en Resolv Labs, con un impacto de USD $25 millones.
Según Yev Broshevan, CEO y cofundador de Hacken, las fallas más costosas “ocurren fuera de la capa de código”. Esa afirmación resume la tesis central del reporte: el riesgo se está moviendo hacia procesos humanos, controles de acceso y piezas de infraestructura conectadas al negocio diario de los proyectos.
Menos megahacks, pero más incidentes medianos
El trimestre quedó catalogado como el segundo primer trimestre con menos pérdidas desde 2023. La explicación principal no fue una mejora definitiva de la seguridad, sino la ausencia de un megahack comparable al de Bybit en el primer trimestre de 2025, cuando la plataforma perdió USD $1.460 millones.
En otras palabras, la comparación interanual luce más favorable porque no hubo un evento extremo de esa magnitud. Sin embargo, el volumen de incidentes y la diversidad de vectores de ataque sugieren que el ecosistema sigue expuesto a un entorno complejo, donde los ataques medianos pueden acumular daños muy significativos.
Este matiz es importante para evitar lecturas superficiales. Una caída en el total anual no implica necesariamente que el entorno sea más seguro, sobre todo si el riesgo se dispersa en múltiples incidentes operativos y humanos que no siempre reciben la misma atención pública que un gran exploit.
El mapeo de incidentes de Hacken apunta precisamente a eso. Los fallos más grandes están apareciendo cada vez más fuera del código onchain, en capas que exigen monitoreo continuo, políticas internas estrictas y capacidades rápidas de contención.
Los contratos inteligentes siguen siendo un problema, sobre todo en código heredado
Aunque el phishing dominó el trimestre, los exploits de contratos inteligentes todavía generaron pérdidas por USD $86,2 millones. A esto se sumaron otros USD $71,9 millones asociados a fallas de control de acceso, incluidas claves comprometidas y servicios en la nube.
Hacken indicó que, incluso cuando el origen del problema estuvo en contratos inteligentes, los errores más costosos a menudo aparecieron en implementaciones heredadas y en vulnerabilidades conocidas desde hace tiempo. Eso sugiere que parte del riesgo actual no responde a técnicas totalmente nuevas, sino a deuda técnica acumulada.
Entre los casos citados, Truebit perdió USD $26,4 millones por un error en un contrato de Solidity implementado hace alrededor de cinco años. Venus Protocol, por su parte, fue afectado por un patrón de ataque por donación documentado desde 2022.
El informe también resalta que seis proyectos auditados representaron aun así USD $37,7 millones en pérdidas. Entre ellos figura Resolv, con 18 auditorías, y Venus, evaluado por cinco firmas distintas. El punto de Hacken no es que las auditorías no sirvan, sino que los protocolos con mayor valor total bloqueado tienden a atraer atacantes más sofisticados y vectores menos convencionales.
La presión regulatoria empieza a redefinir la seguridad
El reporte sostiene que este cambio en la naturaleza de los ataques coincide con un endurecimiento del marco regulatorio. En la Unión Europea, el Reglamento de Mercados de Criptoactivos, conocido como MiCA, y la Ley de Resiliencia Operativa Digital, o DORA, avanzaron hacia una aplicación más activa durante el trimestre.
Fuera de Europa también hubo movimientos relevantes. En Dubái, la Virtual Assets Regulatory Authority endureció las expectativas en torno a su Technology and Information Rulebook. En Singapur, se aplicaron reglas de capital alineadas con Basilea junto con obligaciones de notificación de incidentes en una hora.
Además, la nueva Capital Market Authority de Emiratos Árabes Unidos asumió la supervisión federal de los activos digitales con poderes más amplios y sanciones más elevadas. El mensaje general es claro: la seguridad ya no se evalúa solo por la calidad del código, sino por la capacidad integral de detectar, reportar y contener incidentes.
Hacken vincula estos regímenes con un nuevo estándar para infraestructuras “listas para reguladores”. Entre los elementos señalados figuran atestaciones de prueba de reservas respaldadas por conciliación interna diaria, monitoreo onchain 24/7 sobre wallets de tesorería y roles privilegiados, e interruptores automáticos en funciones de emisión y gobernanza.
Detección rápida, bloqueo inmediato y una amenaza humana persistente
El informe propone objetivos “realistas” de conocimiento del incidente dentro de 24 horas, etiquetado dentro de cuatro horas y bloqueo en 30 segundos. También menciona metas “aspiracionales” mucho más exigentes, con detección en 10 minutos y bloqueo en 1 segundo, basadas en la orientación derivada de los datos Laundering Race 2025 de Global Ledger.
Detrás de estos tiempos hay una idea central para la industria: en muchos ataques modernos, cada minuto cuenta. Si un equipo tarda demasiado en reconocer una intrusión o en frenar movimientos de fondos, el margen de recuperación cae drásticamente y la trazabilidad se complica.
En la capa humana, Hacken identifica a los grupos norcoreanos como la amenaza operativa más consistente. La firma considera que el caso de Step Finance por USD $40 millones y la brecha de infraestructura de Bitrefill amplían un manual que ya venía observándose, basado en falsas aproximaciones de capitalistas de riesgo, herramientas maliciosas para videollamadas y endpoints de empleados comprometidos.
Ese mismo manual, según el reporte, extrajo aproximadamente USD $2.040 millones del sector durante 2025. La conclusión que deja el primer trimestre de 2026 es incómoda para la industria: proteger contratos sigue siendo indispensable, pero ya no basta. La superficie de ataque en Web3 se extendió a personas, procesos y sistemas conectados, justo donde muchas organizaciones todavía tienen más puntos ciegos.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Bolsas de Japón exploran ETF de opciones y cripto para atraer inversión global
billonarios
El padre de Elon Musk revela exposición familiar a Bitcoin y afirma: cripto es el futuro
Criptomonedas
Nominado a la FED, Kevin Warsh, reporta inversiones en SpaceX, Polymarket, cripto e IA
Bitcoin