Las pérdidas en Web3 rozaron los 4.000 millones de dólares en 2025, impulsadas principalmente por actores vinculados a Corea del Norte y graves fallos de seguridad operativa, según Hacken.
Corea del Norte, principal responsable
El informe anual de seguridad 2025 de Hacken sitúa las pérdidas totales de Web3 en unos 3.950 millones de dólares, un aumento significativo frente a 2024. Más del 50% del daño se atribuye a grupos vinculados a Corea del Norte, consolidando al país como el mayor actor de amenazas en el ecosistema cripto.
El problema no es el código, es el control de acceso
Según Hacken, los fallos en control de acceso, claves comprometidas y errores operativos representaron cerca de 2.120 millones de dólares, alrededor del 54% de todas las pérdidas. En comparación, las vulnerabilidades en smart contracts generaron unos 512 millones, dejando claro que el mayor riesgo no está en el código, sino en la gestión interna.
Grandes ataques marcan el año
El informe destaca que el mayor robo individual registrado fue el ataque a Bybit, cercano a los 1.500 millones de dólares, un evento clave para explicar por qué los clusters vinculados a Corea del Norte concentran más de la mitad de los fondos robados en 2025.
Reguladores avanzan, la industria no
Desde Hacken señalan que los reguladores en EE. UU. y la Unión Europea ya definen con claridad qué prácticas de seguridad son necesarias —control de accesos por roles, custodia institucional, multi-firma y monitorización continua—, pero muchas empresas Web3 siguen tratándolas como recomendaciones y no como requisitos obligatorios.
De guías blandas a normas duras
El CEO de Hacken, Yevheniia Broshevan, anticipa que en 2026 la seguridad mejorará a medida que los supervisores transformen la orientación en exigencias legales. Además, desde la firma reclaman medidas específicas contra tácticas norcoreanas, como inteligencia de amenazas en tiempo real y sanciones escalonadas por incumplimiento.
Conclusión
El balance de 2025 deja un mensaje claro: la mayor amenaza para Web3 no son los fallos de programación, sino la mala gestión de accesos y claves. Con Corea del Norte como actor dominante y reguladores endureciendo el marco, 2026 podría marcar un punto de inflexión en los estándares de seguridad del sector.
