Durante los últimos dos años, el ecosistema de finanzas descentralizadas ha presentado una mejora cuantificable en su resiliencia frente a ataques directos a contratos inteligentes. Los datos recopilados por firmas como Immunefi y SlowMist indican que las pérdidas derivadas de explotaciones exclusivas del sector DeFi cayeron de un pico de 2.620 millones de dólares en 2022 a aproximadamente 680 millones en 2025, lo que representa una reducción del 74%.
La mediana de pérdidas por incidente descendió de 6 millones a 1,5 millones de dólares en el mismo período. Categorías de riesgo que dominaron el panorama en años anteriores, como los ataques a puentes cross-chain y las manipulaciones con flash loans, han pasado de concentrar el 73% y el 54% de las pérdidas, respectivamente, a valores residuales del 3% y menos del 1%.
Esta evolución es atribuible, en parte, a la adopción creciente de herramientas basadas en inteligencia artificial para auditorías de código y detección de vulnerabilidades. Frameworks como SimSecLLM, LLM-SmartAudit y SmartProof han demostrado capacidad para escalar el análisis estático y dinámico de contratos inteligentes, reduciendo ventanas de exposición. Sin embargo, sostener que la IA está impulsando una «era más avanzada y segura» para la criptografía sería, cuando menos, una lectura incompleta y potencialmente peligrosa del momento actual.
La opinión que sostengo, basada en la evidencia agregada del último año y medio, es la siguiente: el sector está ganando la batalla técnica sobre el código, pero perdiendo terreno en el plano operacional y humano. Y la IA, lejos de ser una solución unívoca, actúa como un acelerador simétrico de capacidades tanto para defensores como para atacantes.
Los números totales de hacking en criptomonedas contradicen la narrativa de mejora generalizada. Según el informe anual de SlowMist correspondiente a 2025, el valor total sustraído por hackeos aumentó un 46% respecto a 2024, alcanzando los 2.935 millones de dólares. Este incremento se produjo en paralelo a una reducción del 37% en las pérdidas atribuibles específicamente a DeFi.
La explicación de esta aparente paradoja reside en el origen de los incidentes: la mayoría de las pérdidas de 2025 no provinieron de fallos en contratos inteligentes, sino de errores operacionales de tipo Web2: filtraciones de contraseñas, ataques de ingeniería social, compromiso de claves privadas en entornos mal gestionados y vulnerabilidades en infraestructuras centralizadas de intercambio.
El caso más representativo de esta tendencia es el ataque a Bybit en 2025, con una pérdida de 1.500 millones de dólares, un incidente que por su magnitud no puede ser ignorado pero que, al no corresponder a un protocolo DeFi, queda fuera de las estadísticas sectoriales más citadas. Este sesgo de medición es problemático.
Cuando el sector se felicita por la reducción de pérdidas en DeFi, omite que el vector de ataque se ha desplazado hacia componentes más frágiles de la cadena de custodia: los operadores humanos, los front-ends y las billeteras mal configuradas.
La inteligencia artificial está exacerbando esta asimetría
Un análisis sobre violaciones de políticas de uso de modelos generativos encontró que el 67% de los casos involucraba preparación de malware o reconocimiento de vulnerabilidades en protocolos DeFi. Los investigadores de Binance Research han documentado que, en entornos controlados, la IA es dos veces más efectiva para explotar vulnerabilidades que para detectarlas. Además, aproximadamente el 60% de los flujos de entrada a billeteras de estafadores en 2025 se originaron en esquemas potenciados por IA, incluyendo deepfakes utilizados en ingeniería social y generación automatizada de contratos maliciosos con apariencia legítima.
Frente a este escenario, una postura puramente técnica resulta insuficiente. Los equipos de seguridad de protocolos DeFi han internalizado las lecciones de 2022: las auditorías formales, los programas de bug bounty y las simulaciones de ataque con IA ya son estándar. Pero el siguiente nivel de riesgo no se encuentra en el bytecode de un contrato, sino en la interfaz que el usuario firma, en el servidor que aloja el front-end o en la clave privada almacenada en un archivo de texto dentro de un escritorio corporativo.
El desafío para el sector en 2026 y más allá no es únicamente técnico, sino estructural. Las pérdidas del primer semestre de 2026 ya superan los 800 millones de dólares en DeFi, lo que sugiere que la tendencia descendente no es monolítica y que los atacantes se adaptan más rápido de lo que muchos equipos actualizan sus defensas.
La IA, en este contexto, debe ser entendida como una herramienta de gestión de riesgo, no como un sustituto de la disciplina operacional. Los protocolos que prioricen la automatización de auditorías sin reforzar la seguridad de sus entornos off-chain seguirán expuestos a vectores de ataque que ningún LLM puede mitigar por sí solo.
La afirmación de que las pérdidas por hackeos en DeFi han caído es facticamente correcta. La afirmación de que la IA está conduciendo a una nueva era de seguridad avanzada es conceptualmente cierta solo si se añaden tres matices: primero, que la mejora se concentra en una fracción del ecosistema (el código, no la operación); segundo, que la IA empodera tanto al atacante como al defensor, con ventaja actual para el primero en términos de efectividad de explotación; y tercero, que la métrica relevante para el usuario final no es la pérdida agregada en DeFi, sino la pérdida total por hackeos en criptoactivos, que sigue en aumento.
El sector haría bien en celebrar con cautela y actuar con urgencia sobre lo que realmente está fallando: la capa humana.
