Si has estado en web3 por más de cinco minutos, o has sido estafado, casi has sido estafado, o estás a un mal clic de unirte al club. No hablemos de los grandes tirones de alfombra que hacen titulares. Considera las cosas habituales como las ventanas emergentes falsas de MetaMask, los enlaces de intercambio descentralizado que parecen legítimos pero no lo son, o las páginas de puente aleatorias que Google felizmente empuja a la parte superior de tu búsqueda.

Resumen

• Las estafas están en aumento: el fraude en criptomonedas alcanzó al menos $9.9B en 2024, con phishing y sitios DeFi falsos cada vez más sofisticados erosionando incluso la confianza de los usuarios expertos.
• La seguridad se considera opcional; a pesar de las herramientas disponibles, la protección contra phishing no está integrada en la infraestructura básica, lo que deja la adopción estancada por preocupaciones de seguridad.
• El riesgo cuántico se cierne: para 2030, los sistemas deben adoptar la criptografía post-cuántica; sin ella, combinada con el phishing, web3 enfrenta una crisis de credibilidad.
• Urgencia para la acción de la industria: la seguridad debe ser priorizada al igual que la escalabilidad o los rendimientos de DeFi, o de lo contrario, futuros hackeos de miles de millones de dólares obligarán a realizar correcciones demasiado tarde.

En 2024, las estafas de criptomonedas generaron al menos $9.9 mil millones en ingresos ilícitos, con Chainalysis advirtiendo que el total podría alcanzar un récord de $12.4 mil millones a medida que llegan más datos. El fraude en el sector se está volviendo más agudo, con estafadores utilizando sitios de phishing más convincentes, plataformas de finanzas descentralizadas falsas y tácticas de ingeniería social. La sofisticación dificulta la detección y aumenta las pérdidas, erosionando la confianza de los usuarios. Incluso los traders experimentados están siendo atrapados.

Y, sin embargo, la comunidad cripto en general a menudo atribuye esto al costo de hacer negocios, lo cual es una locura. Imagina que cada vez que inicias sesión en la banca en línea, hay una posibilidad de uno en diez de que sea un sitio falso. La gente haría disturbios. En web3, sin embargo, hay un encogimiento de hombros; la gente tuitea "mantente a salvo, anon" y espera lo mejor.

Este es un problema solucionable

La tecnología ya existe para detectar sitios de phishing, contratos inteligentes falsos y puentes maliciosos antes de que interactúes con ellos. El problema es que esto se ha tratado como un extra opcional en lugar de una parte central de la pila. Las personas están perdiendo miles de dólares semanalmente intercambiando tokens en lo que parecía ser una interfaz de intercambio legítima. Lo único que los salva a menudo es una herramienta de seguridad basada en el navegador que marca la página segundos antes de que presionen "Confirmar".

Enfocar el phishing como un problema de seguridad personal subestima gravemente su influencia en el mercado más amplio. La adopción minorista no se detiene porque la tecnología no sea lo suficientemente escalable. Se detiene porque la gente no confía en que su dinero esté seguro. Mientras que algunos argumentarán que las capas de seguridad son solo puntos centrales de falla, ya existe una dependencia significativa de los proveedores de infraestructura, indexadores, nodos de llamada a procedimiento remoto, billeteras y docenas de otros puntos críticos. Pretender que agregar una protección robusta contra el phishing de alguna manera compromete la ética es una excusa débil, dados los altos riesgos.

La bomba de tiempo de la computación cuántica

Hay otro problema en el que la mayoría de las personas no está pensando lo suficiente: la seguridad post-cuántica. El gobierno de EE. UU. ya ha establecido plazos, ya que todos los sistemas deben pasar a la criptografía post-cuántica para 2030, con los antiguos algoritmos eliminados por completo para 2035, lo que significa que mucha infraestructura de blockchain está viviendo en un tiempo prestado. Combina eso con ataques de phishing descontrolados, y tienes una tormenta perfecta para un colapso de confianza. Web3 no será tomado en serio en un mundo post-cuántico si aún pierde miles de millones en enlaces falsos.

La mayor excusa es que los usuarios deberían tener más cuidado. Los peatones deberían mirar a ambos lados antes de cruzar la calle, pero aún tenemos semáforos por una razón. Esperar que cada nuevo titular de billetera reconozca instantáneamente un enlace de phishing es poco realista, especialmente cuando los estafadores están mejorando en impersonar plataformas legítimas. Hemos pasado años obsesionados con la escalabilidad, la composabilidad y la liquidez entre cadenas. Mientras tanto, la queja número uno de los usuarios sigue siendo: “He perdido mis monedas.”

Las apuestas son más altas de lo que la gente piensa

Las estafas nativas de criptomonedas están trascendiendo sus límites originales. Ya no se limitan a los intercambios o a los llamativos protocolos DeFi; están infiltrándose de manera constante en industrias adyacentes y erosionando la confianza en ecosistemas enteros. Los puentes y los validadores siguen siendo objetivos obvios, pero no son los únicos. Los proveedores de telecomunicaciones, los operadores de energía, los fabricantes de Internet de las Cosas, las cadenas de suministro e incluso los sistemas de defensa que interactúan con componentes basados en blockchain son ahora puntos de entrada potenciales. Cada nueva integración crea otra superficie para el compromiso, otra apertura para que los atacantes exploten y otro multiplicador de riesgo que socava la confianza pública.

Si eres un líder de proyecto, estás enfrentando dos realidades incómodas. Primero, la seguridad resistente a la cuántica no es un hito académico distante; se acerca rápidamente a convertirse en un requisito regulatorio estricto en menos de una década. Segundo, cada ataque de phishing de alto perfil o campaña de recolección de credenciales entre ahora y ese plazo socava tu base de usuarios, tu credibilidad y tu valor total bloqueado, un daño que se acumula silenciosamente con el tiempo y es mucho más difícil de reconstruir que de prevenir.

Ahora es el momento de dirigir la misma cantidad de innovación, financiamiento y repetición incansable hacia la arquitectura de seguridad que se ha destinado a la agricultura de rendimiento, las acuñaciones de tokens no fungibles y la liquidez entre cadenas. Web3 no puede llamarse creíblemente el futuro de las finanzas y la infraestructura de datos mientras continúe tratando el phishing como meramente un problema de "error del usuario". En algún momento, el ecosistema tiene que asumir la responsabilidad.

Mirando hacia atrás, casi con seguridad nos preguntaremos por qué la industria toleró tales vulnerabilidades obvias durante tanto tiempo y por qué no abordó el phishing a gran escala antes. La parte alentadora es que este problema es solucionable con la correcta priorización y elecciones de diseño. La única pregunta real que queda es si la industria tomará la iniciativa ahora o esperará hasta que el próximo hackeo de mil millones de dólares la obligue a actuar.

David Carvalho

David Carvalho es el fundador, CEO y Científico Jefe de Naoris Protocol, la primera solución de seguridad descentralizada del mundo impulsada por una blockchain post-cuántica y AI distribuida, respaldada por Tim Draper y el ex Jefe de Inteligencia de la OTAN. Con más de 20 años de experiencia como Director Global de Seguridad de la Información y hacker ético, David ha trabajado tanto a niveles técnicos como en la alta dirección en organizaciones de miles de millones de dólares en Europa y el Reino Unido. Es un asesor de confianza para estados-nación e infraestructuras críticas bajo la OTAN, centrándose en la ciber-guerra, el ciber-terrorismo y la ciber-espionaje. Pionero en blockchain desde 2013, David ha contribuido a innovaciones en minería PoS/PoW y ciberseguridad de próxima generación. Su trabajo enfatiza la mitigación de riesgos, la creación ética de riqueza y los avances impulsados por el valor en cripto, automatización y AI distribuida.