4 incidentes, un aumento del 20% respecto al año anterior y dos tercios de las pérdidas originadas por phishing. Seis protocolos auditados fueron explotados, incluyendo uno con 18 auditorías previas.
La firma de ciberseguridad blockchain, Hacken, publicó su reporte de seguridad y cumplimiento del primer trimestre de 2026, y los datos son contundentes: el ecosistema Web3 perdió $482,6 millones en 44 incidentes entre enero y marzo, lo que representa un aumento del 20% en pérdidas respecto al mismo período de 2025.
El phishing y la ingeniería social dominaron el trimestre, acumulando $306 millones en pérdidas. A su vez, un solo ataque de hardware wallet en enero representó más de la mitad del daño total del trimestre. En ese incidente de $282 millones, el atacante no tocó ninguna línea de código: un usuario entregó sus credenciales de recuperación a una llamada de soporte técnico falsa.
De todas formas, el primer trimestre del 2026 es el segundo más bajo en pérdidas desde 2023, en gran parte porque no hubo un incidente de la escala del hackeo a Bybit en Q1 2025, que costó $1.460 millones.
¿Dónde fallaron los protocolos?
El reporte clasifica los incidentes por la capa donde ocurrió el fallo. Los exploits de contratos inteligentes sumaron $86,2 millones, mientras que las fallas de control de acceso —incluyendo claves privadas comprometidas y brechas en infraestructura cloud— generaron otros $71,9 millones en pérdidas.
Entre los casos citados están una pérdida de $40 millones en Step Finance vinculada a una campaña de contacto falso de capital de riesgo atribuida a un actor estatal, y una brecha de $25 millones en Resolv Labs por compromiso de servicios de gestión de claves en AWS. En ambos casos, el vector de ataque fue operacional, no técnico.
El hallazgo más incómodo del reporte es el de los protocolos auditados. Seis protocolos auditados, incluyendo Resolv —con 18 auditorías previas— y Venus Protocol —revisado por cinco firmas distintas—, acumularon $37,7 millones en pérdidas. En promedio, perdieron más que los protocolos sin auditar, porque un mayor TVL atrae ataques más sofisticados.
El factor humano y Corea del Norte
Hacken señala a los grupos vinculados a Corea del Norte como la amenaza operacional más consistente del trimestre, con el mismo esquema documentado en 2025: llamadas falsas de inversores de capital de riesgo, herramientas de videollamada maliciosas y laptops de empleados comprometidas. Las técnicas no son nuevas. Siguen funcionando porque las organizaciones no han cambiado sus procesos internos de seguridad al mismo ritmo que los atacantes han refinado sus métodos.
Las pérdidas por vulnerabilidades en contratos inteligentes crecieron un 213% respecto al Q1 2025. Parte de ese salto se explica por bugs en código legacy: Truebit perdió $26,4 millones por un error en un contrato Solidity desplegado hace aproximadamente cinco años, mientras que Venus Protocol fue víctima de un patrón de ataque tipo “donation attack” documentado desde 2022.
El nuevo campo de batalla: fuera del código
El CEO de Hacken, Yev Broshevan, lo resume con precisión: los fallos más costosos ocurren fuera de la capa de código. Las vulnerabilidades que el sector no ha cerrado no están en los contratos inteligentes, sino en la gestión de credenciales, la seguridad de empleados, los procesos internos y la infraestructura cloud.
El reporte también marca un punto de inflexión regulatorio. En Q1 2026, los reguladores de todo el mundo pasaron de redactar normas a aplicarlas: MiCA y DORA entraron en enforcement activo en la Unión Europea, Estados Unidos firmó su primera ley federal de stablecoins y Singapur comenzó a aplicar los estándares de capital de Basilea a exposiciones cripto. La presión regulatoria se orienta exactamente hacia donde los atacantes ya están: la seguridad operacional y la resiliencia de los sistemas, no solo el código.