THE CHAIN JOURNAL
Independent Crypto Editorial
Una capa oculta en la pila de IA
El riesgo más reciente para la seguridad crypto no proviene de un fallo en un smart contract ni de un puente vulnerado. Proviene de una capa intermedia que muchos equipos apenas observan: los LLM routers. Estos sistemas deciden a dónde se envían los prompts y las tool calls, y ahora los investigadores advierten que algunos routers pueden inyectar instrucciones maliciosas, exfiltrar credenciales y modificar en silencio el comportamiento de un agente. En crypto, eso importa porque los asistentes de IA que ayudan con código, flujos de trading y operaciones de wallets también pueden tocar seed phrases, private keys y secretos API.
Lo peligroso es que el ataque puede ser invisible. Un router malicioso no necesita romper la criptografía ni atacar un wallet de forma directa. Solo tiene que situarse entre el usuario y el modelo, y alterar el tráfico de una manera lo bastante normal como para pasar una revisión superficial. En la práctica, eso significa que un asistente de programación, un bot de soporte o un agente de automatización puede convertirse en un vehículo de robo si la capa de enrutamiento está comprometida o mal auditada.
Qué encontraron los investigadores
La evidencia académica reciente refuerza la alerta. Un estudio publicado este mes analizó 28 routers de pago y 400 routers gratuitos, y detectó que una parte de ellos inyectaba código malicioso, activaba comportamientos evasivos o tocaba credenciales canary controladas por los investigadores. El trabajo también reportó al menos un caso en el que un router drenó ETH de una private key perteneciente a un investigador. Otro estudio relacionado, publicado a comienzos de año, mostró que los ataques de cadena de suministro y la manipulación de instrucciones pueden subvertir sistemas autónomos en varias fases de la cadena de ataque.
Chaofan Shou, uno de los investigadores citados en el reporte, resumió el problema de forma contundente: “26 LLM routers are secretly injecting malicious tool calls and stealing creds.” El número exacto importa menos que la implicación. El perímetro de defensa ya no es solo el modelo. Es toda la capa de orquestación: routing, herramientas, logs y permisos. Para los equipos crypto, eso supone un cambio importante, porque el límite entre proveedor y usuario ya no basta como frontera de seguridad.
Por qué las crypto son el primer objetivo
Las crypto son especialmente vulnerables porque dependen de secretos de alto valor y de acciones rápidas e irreversibles. Cada vez más desarrolladores usan agentes de IA para redactar smart contracts, revisar transacciones, automatizar soporte e interactuar con infraestructura de wallets. Esa comodidad es exactamente lo que buscan los atacantes. Si un router puede modificar en silencio una tool call, puede desviar una transferencia, exponer una credencial o recolectar datos que más tarde desbloqueen un wallet o una cuenta en un exchange. No es un caso extremo teórico; es una vía directa desde la productividad hacia la pérdida financiera.
La lección de fondo es que muchos fallos de seguridad en IA parecen, al principio, simples atajos operativos. Los equipos reutilizan routers de terceros, encadenan herramientas de distintos proveedores y conceden permisos amplios para que el agente “simplemente funcione”. En un contexto crypto, esa velocidad puede salir muy cara. Las mismas suposiciones de confianza que hacen útil la automatización también la vuelven frágil, porque un solo intermediario comprometido puede afectar todo el flujo sin tocar la blockchain.
El nuevo problema de confianza
Esta historia trata, en realidad, de arquitectura de confianza. En mi opinión, muchos equipos crypto están entrando demasiado rápido en flujos agenticos sin tratar la capa de routing como una frontera de seguridad real. El sector ha invertido años en reforzar custody, multisig y ejecución onchain, pero la IA introduce un blanco más blando: la ruta de software antes de que la transacción exista siquiera. Si el intermediario puede reescribir comandos, ningún monitoreo posterior al trade puede deshacer por completo el daño.
La conclusión más importante es que los equipos de seguridad no deben asumir que un router es neutral solo porque es invisible. La investigación sugiere que la manipulación oculta puede ocurrir tanto en ecosistemas gratuitos como de pago, así que el precio no es un indicador suficiente de seguridad. Una defensa seria hoy exige permisos estrictos, allowlists de routers, simulación de transacciones, verificación de resultados y aislamiento agresivo de credenciales. Sin eso, la puerta queda abierta a un compromiso silencioso.
Qué significa esto para los inversores
Para los inversores, la implicación inmediata es clara: los productos crypto con IA merecen más due diligence de la que suelen sugerir sus materiales de marketing. La pregunta ya no es solo si una app usa un buen modelo. La verdadera pregunta es si todo el camino desde el prompt hasta la acción ha sido auditado, segmentado y restringido. Fondos, mesas de tesorería y traders que usen sistemas agenticos deberían asumir que una sola integración débil puede crear un riesgo operativo desproporcionado.
Lo próximo a vigilar es si los proveedores de wallets, exchanges y herramientas para desarrolladores empiezan a publicar divulgaciones sobre seguridad de routers, estándares de permisos y auditorías independientes. Si no lo hacen, es probable que el mercado termine imponiendo el tema tras una pérdida real. En crypto, la confianza suele construirse en público solo después de que algo se rompe.
Focus: Los routers de IA maliciosos convierten la capa de orquestación en un nuevo vector de robo para claves, credenciales y actividad de wallets.
Adam McCauley, Blockchain Security Analyst, The Chain Journal
