Web3 hacks cost $464M in Q1 as phishing drives majority of losses: Hacken

El phishing venció al código

El Problema Ya No Está Solo En La Cadena

En Web3, las pérdidas más caras ya no provienen únicamente de un error en el contrato. Provienen de un enlace falso, una clave comprometida, un proceso interno mal diseñado o una decisión tomada demasiado rápido. Hacken estimó $464,5 millones perdidos en 43 incidentes durante el Q1 2026, y el patrón es claro: phishing, social engineering y compromisos de claves están superando a los exploits puramente técnicos como principal vector de daño. Eso cambia por completo la conversación sobre riesgo.

La vieja idea de que una auditoría basta para “arreglar” la seguridad ya quedó corta. El terreno de ataque ahora incluye wallets administrativos, endpoints de empleados, servicios en la nube y flujos multisig. El mercado sigue hablando mucho del código, pero el dinero suele salir por la puerta operativa. Y ahí es donde la narrativa cómoda de la descentralización se rompe: un sistema puede ser resistente en teoría y frágil en la práctica si su capa humana está mal protegida.

Qué Dicen Los Datos

Hacken atribuyó alrededor de $306 millones de las pérdidas del trimestre a phishing y social engineering, la categoría dominante. Los exploits de smart contracts sumaron unos $86,2 millones, mientras que los fallos de control de acceso y las brechas de infraestructura agregaron una parte sustancial del resto. Un gran scam de hardware wallet sesgó el trimestre al alza, pero el punto importante no es el caso aislado. Lo importante es que el daño económico se está concentrando cada vez más fuera del contrato y dentro de la operación.

Esta lectura encaja con la dirección que ya mostraban reportes recientes del sector. Hacken venía señalando que los fallos operativos y el acceso comprometido eran responsables de gran parte de las pérdidas en Web3. En otras palabras, los atacantes no necesitan romper la criptografía de la blockchain para ganar. Les basta con romper personas, permisos y secuencias de aprobación. Es una estrategia más barata, más rápida y, en muchos casos, más rentable que atacar el código directamente.

Por Qué El Mercado Sigue Mirando Donde No Debe

Muchos equipos siguen invirtiendo demasiado en la capa visible y demasiado poco en la capa aburrida. Un buen audit sirve, sí, pero no protege una clave filtrada, una extensión de navegador maliciosa o un acceso cloud reutilizado sin control. Esa es la parte que varios ejecutivos todavía prefieren no admitir en público. El resultado es previsible: la seguridad se trata como una condición de lanzamiento, no como un coste operativo permanente.

También hay una implicación regulatoria. A medida que crecen la tokenización, la custodia institucional y la infraestructura de activos digitales, cae la tolerancia a los errores en gestión de claves y gobierno interno. Un protocolo puede sobrevivir a un bug; lo que le cuesta sobrevivir es la repetición de fallos en acceso o en gobernanza. La verdad incómoda es que “descentralizado” no significa “autoprotegido”. En la práctica, Web3 sigue dependiendo de la calidad del proceso humano, y ahí es donde hoy se concentra el ataque.

Lo Que Significa Para Los Inversores

Para los inversores, la lectura es directa: el riesgo de seguridad ya no es un cisne negro, sino un coste operativo recurrente que debe incorporarse al análisis. Un proyecto con buen código pero mala custodia, mala gestión de accesos o gobernanza débil no es un activo sólido; es una estructura incompleta. Y eso importa tanto como la liquidez, el mercado objetivo o el crecimiento de usuarios.

Lo próximo a vigilar no es solo el siguiente hack, sino cómo reaccionan los equipos. Hay que observar la arquitectura de gestión de claves, la velocidad de respuesta a incidentes, la solidez de los multisig, la seguridad de los dispositivos y la autoridad real del equipo de seguridad. Si los reguladores empiezan a tratar los fallos operativos como problemas de gobernanza, el sector tendrá que madurar a la fuerza.

Focus: En Web3, los grandes robos cada vez empiezan más con una persona que con una línea de código.

Adam McCauley, Senior Blockchain Analyst, The Chain Journal

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia ahora

adopcion crypto en Turquia
Adopcion Crypto En Turquia Vuelve A Estambul
bitcoin analisis macro
Bitcoin Analisis Macro: El Dólar Sigue Mandando
politica crypto
Politica Crypto: Minnesota Abre Custodia Bancaria
analisis solana hoy
Analisis Solana Hoy: Funding Negativo Y Riesgo
Support The Chain Journal ₿ On-Chain and ⚡ Lightning