La mayoría de las vulneraciones de criptomonedas en el próximo año no serán causadas por un error de día cero en tu protocolo favorito, según expertos en seguridad de criptomonedas. Será causado por ti.
Eso es porque 2025 ha demostrado que la mayoría de los hackeos no comienzan con código malicioso; comienzan con una conversación, dijo Nick Percoco, director de seguridad de la exchange de criptomonedas Kraken, a Cointelegraph.
Desde enero hasta principios de diciembre de 2025, los datos de Chainalysis muestran que la industria de las criptomonedas fue testigo de más de $3,4 mil millones en robos, con el compromiso de Bybit en febrero representando casi la mitad de ese total.
Más de $3,4 mil millones fueron robados por actores maliciosos este año. Fuente: ChainalysisDurante el ataque, los actores maliciosos obtuvieron acceso a través de ingeniería social, inyectaron una carga maliciosa de JavaScript que les permitió modificar los detalles de las transacciones y desviar fondos.
¿Qué es la ingeniería social?
La ingeniería social es un método de ciberataque que manipula a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad.
Percoco dijo que el campo de batalla para la seguridad de las criptomonedas estará en la mente, no en el ciberespacio.
Consejo 1: Usa la automatización siempre que sea posible
Los compromisos de la cadena de suministro también han demostrado ser un desafío clave este año, según Percoco, ya que una brecha aparentemente menor puede resultar devastadora más adelante, porque "es una torre digital de Jenga, y la integridad de cada bloque importa."
En el próximo año, Percoco recomienda reducir los puntos de confianza humana a través de acciones como automatizar las defensas cuando sea posible y verificar cada interacción digital mediante autenticación en un "cambio de defensa reactiva a prevención proactiva".
"En las criptomonedas especialmente, el eslabón más débil sigue siendo la confianza humana, amplificada por la codicia y el FOMO. Esa es la grieta que los atacantes explotan cada vez. Pero ninguna tecnología reemplaza los buenos hábitos", agregó.
Consejo 2: Aísla la infraestructura
Lisa, la líder de operaciones de seguridad de SlowMist, dijo que los actores maliciosos atacaron cada vez más los ecosistemas de desarrolladores este año, lo que, combinado con fugas de credenciales en la nube, creó oportunidades para inyectar código malicioso, robar secretos y envenenar actualizaciones de software.
"Los desarrolladores pueden mitigar estos riesgos fijando versiones de dependencias, verificando la integridad de los paquetes, aislando entornos de construcción y revisando actualizaciones antes del despliegue", dijo.
De cara a 2026, Lisa predice que las amenazas más significativas probablemente provendrán de operaciones cada vez más sofisticadas de robo de credenciales e ingeniería social.
Fuente: SlowMist"Los actores de amenazas ya están aprovechando deepfakes generados por IA, phishing personalizado e incluso falsas pruebas de contratación de desarrolladores para obtener claves de billeteras, credenciales en la nube y tokens de firma. Estos ataques se están volviendo más automatizados y convincentes, y esperamos que esta tendencia continúe", dijo.
Para mantenerse seguro, el consejo de Lisa para las organizaciones es implementar un fuerte control de acceso, rotación de claves, autenticación respaldada por hardware, segmentación de infraestructura y detección y monitoreo de anomalías.
Los individuos deben confiar en billeteras de hardware, evitar interactuar con archivos no verificados, verificar identidades a través de canales independientes y tratar enlaces o descargas no solicitadas con precaución.
Consejo 3: Prueba de personalidad para combatir los deepfakes de IA
Steven Walbroehl, cofundador y director de tecnología de la firma de ciberseguridad blockchain Halborn, predice que la ingeniería social mejorada con IA jugará un papel significativo en los manuales de los hackers de criptomonedas.
En marzo, al menos tres fundadores de criptomonedas reportaron haber frustrado un intento de presuntos hackers norcoreanos de robar datos sensibles a través de llamadas falsas de Zoom que usaban deepfakes.
Walbroehl advierte que los hackers están usando IA para crear ataques altamente personalizados y conscientes del contexto que evaden la capacitación tradicional de conciencia de seguridad.
Para combatir esto, sugiere implementar pruebas criptográficas de personalidad para todas las comunicaciones críticas, autenticación basada en hardware con vinculación biométrica, sistemas de detección de anomalías que establezcan patrones de transacciones normales y establecer protocolos de verificación usando secretos o frases precompartidas.
Consejo 4: Mantén tus criptomonedas para ti
Los ataques físicos, o ataques físicos a poseedores de criptomonedas, también fueron un tema destacado de 2025, con al menos 65 instancias registradas, según la lista de GitHub del cypherpunk y OG de Bitcoin Jameson Lopp. El último pico del mercado alcista en 2021 fue previamente el peor año registrado, con un total de 36 ataques registrados
Un usuario de X bajo el identificador Beau, un ex oficial de la CIA, dijo en una publicación de X el 2 de diciembre que los ataques físicos todavía son relativamente raros, pero aún recomienda que los usuarios de criptomonedas tomen precauciones al no hablar sobre riqueza o divulgar tenencias de criptomonedas o estilos de vida extravagantes en línea como comienzo.
Fuente: BeauTambién sugiere convertirse en un "objetivo difícil" usando herramientas de limpieza de datos para ocultar información personal privada, como direcciones de domicilio, e invertir en defensas del hogar como cámaras de seguridad y alarmas.
Consejo 5: No escatimes en los consejos de seguridad probados y verdaderos
David Schwed, un experto en seguridad que ha trabajado en Robinhood como director de seguridad de la información, dijo que su principal consejo es apegarse a negocios reputados que demuestren prácticas de seguridad vigilantes, incluyendo auditorías de seguridad rigurosas y regulares de terceros de toda su pila, desde contratos inteligentes hasta infraestructura.
Sin embargo, independientemente de la tecnología, Schwed dijo que los usuarios deben evitar usar la misma contraseña para múltiples cuentas, optar por usar un token de hardware como método de autenticación multifactor y proteger la frase de recuperación cifrándola de forma segura o almacenándola fuera de línea en una ubicación física segura.
También aconseja usar una billetera de hardware dedicada para tenencias significativas y minimizar las tenencias en exchanges.
Relacionado: El phishing dirigido es la principal táctica de los hackers norcoreanos: Cómo mantenerse seguro
"La seguridad depende de la capa de interacción. Los usuarios deben permanecer hipervigilantes al conectar una billetera de hardware a una nueva aplicación web y deben validar minuciosamente los datos de transacción mostrados en la pantalla del dispositivo de hardware antes de firmar. Esto previene la 'firma ciega' de contratos maliciosos", agregó Schwed.
Lisa dijo que sus mejores consejos son usar solo software oficial, evitar la interacción con URLs no verificadas y separar fondos en configuraciones calientes, tibias y frías.
Para contrarrestar la creciente sofisticación de estafas como la ingeniería social y el phishing, Percoco de Kraken recomienda "escepticismo radical" en todo momento, verificando la autenticidad y asumiendo que cada mensaje es una prueba de conciencia.
"Y una verdad universal permanece: ninguna empresa, servicio u oportunidad legítima jamás pedirá tu frase de recuperación o credenciales de inicio de sesión. En el momento en que lo hagan, estás hablando con un estafador", agregó Percoco.
Mientras tanto, Walbroehl recomienda generar claves usando generadores de números aleatorios criptográficamente seguros, segregación estricta entre entornos de desarrollo y producción, auditorías de seguridad regulares y planificación de respuesta a incidentes con simulacros regulares.
Magazine: Cuando las leyes de privacidad y AML entran en conflicto: La elección imposible de los proyectos de criptomonedas
Fuente: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
