Los ataques cripto alcanzaron un máximo histórico de USD 3.000 millones robados en el primer semestre de 2025

El primer semestre de 2025 (H1 2025) quedó marcado como uno de los períodos más duros en la historia de los hackeos de criptomonedas, con un total de más de USD 3.01 mil millones de dólares robados a través de 119 incidentes. Esta cifra representa 1.55 veces más que el volumen total registrado en todo 2024 (USD 1.94 mil millones). El verdadero cambio en el panorama de la seguridad no es solo el volumen, sino la velocidad con la que los atacantes están operando, según publicó el informe del The Global Coalition to Fight Financial Crime (GCFFC).

Según la publicación, la velocidad de movimiento de los fondos se ha convertido en la nueva arma peligrosa. El movimiento de fondos por parte del atacante más rápido en el H1 2025 se registró en tan solo 4 segundos. Este movimiento es más de 75 veces más rápido que el sistema de alerta más rápido, cuyo tiempo de notificación de incidente fue de 5 minutos y 1 segundo.

La velocidad de lavado supera la capacidad de respuesta

El informe de The Global Coalition to Fight Financial Crime (GCFFC), señaló que los hackers están logrando un margen de acción crítico al lavar fondos antes de que el incidente sea de conocimiento público. “Los fondos de casi 1 de cada 4 hacks (un 22,7%) se lavaron completamente antes de su divulgación pública. Para el momento en que se emite una declaración o alerta, la ventana para bloquear o rastrear los activos robados ya se ha cerrado”, mencionó la publicación. 

El proceso de lavado más rápido, desde el incidente hasta el último depósito en un punto final, tomó solo 2 minutos y 57 segundos. Además, en el 31,1% de los casos, los actores ilícitos completaron el proceso de lavado dentro de las primeras 24 horas desde el primer movimiento de fondos desde la billetera del hacker. En general, en el 68,1% de los hacks, los fondos se movieron más rápido que la divulgación pública del incidente.

En promedio, los atacantes obtienen una ventaja significativa: El tiempo promedio desde el inicio de un hack hasta el primer movimiento de fondos es de 15 horas. Por otra parte, la divulgación pública del incidente tarda aproximadamente 37 horas, lo que da a los atacantes una ventaja de más de 20 horas antes de que el breach sea conocido.

A pesar de las capacidades técnicas de rastreo, el informe señaló que solo el 4,2% de los activos robados en el H1 2025 fueron recuperados. La falta de rapidez en la respuesta y la necesidad de evolución en los marcos legales son factores clave que limitan la capacidad de congelar y recuperar activos digitales.

El perfil del ataque y la ruta de los fondos

Los exchanges centralizados (CEXs) se mantuvieron como el objetivo más atractivo debido a su alto valor y la naturaleza de ser un punto único de falla, representando el 54,26% de las pérdidas totales en el H1 2025, con USD 1.633.6 millones robados. Los contratos de token fueron la segunda fuente más grande de pérdidas, con USD 517.8 millones (17,2%), seguidos por las billeteras personales, con USD 351.3 millones (11,67%).

“En cuanto a la metodología, las explotaciones de contratos fueron las más frecuentes (69,75% de los incidentes). No obstante, los permisos maliciosos (malicious approvals) causaron el mayor daño financiero, con USD 1.46 mil millones, que representan el 48,51% de las pérdidas totales. Las vulneraciones de claves privadas fueron la segunda causa de pérdidas en volumen, con USD 650.05 millones (21,61%)”, detalló el informe.

En la ruta de lavado, los protocolos cross-chain (puentes) han superado a los mixers como la herramienta preferida para el lavado a escala de activos robados. Más de USD 1.5 mil millones (50,1%) de los activos hackeados fueron enrutados a través de puentes. Esta cifra es 4.4 veces mayor que los USD 339 millones (11,3%) enviados a mixers. Esto sugiere que los puentes son utilizados activamente debido a su velocidad, liquidez y menor escrutinio regulatorio.

Un llamado a la detección en tiempo real

Según planteó la publicación, el panorama de seguridad exige un cambio de enfoque de los controles Anti-Lavado de Dinero (AML) de ser una función de archivo a ser una línea de defensa activa. Los procedimientos de cumplimiento que dependen de revisiones manuales y basadas en tickets son ineficaces, ya que los fondos llegan a los Virtual Asset Service Providers (VASPs) en cuestión de minutos u horas.

La solución pasa por la implementación de inteligencia nativa de plataforma y la detección en tiempo real impulsada por IA, capaz de evaluar transacciones en vivo contra miles de plantillas de fraude conocidas. Sin alertas tempranas on-chain o detección de comportamiento, hasta una cuarta parte de los hacks pueden eludir completamente los sistemas AML.