Riesgos de phishing en DeFi: Qué deben hacer los inversores para proteger sus activos

El sector de finanzas descentralizadas (DeFi), que alguna vez fue celebrado por su promesa de sistemas sin confianza y autonomía financiera, ahora enfrenta una paradoja: la mayor amenaza para su seguridad no reside en vulnerabilidades de código, sino en la psicología humana. Los ataques de phishing y de ingeniería social han aumentado hasta dominar el 56,5% de todas las brechas de DeFi en 2025, eclipsando los exploits técnicos que antes definían el perfil de riesgo del sector. Este cambio resalta una vulnerabilidad crítica en la ética de DeFi: su dependencia de la vigilancia del usuario en un entorno donde los atacantes explotan sesgos cognitivos e ingenuidad digital. Para los inversores, las implicancias son claras: los portafolios están cada vez más expuestos a riesgos off-chain que ninguna auditoría de smart contracts puede mitigar completamente.

El creciente costo financiero

El impacto financiero del phishing en DeFi es asombroso. Solo en la primera mitad de 2025, las pérdidas por estafas de phishing superaron los 410 millones de dólares, con incidentes individuales como el ataque a Venus Protocol drenando 13,5 millones de dólares de la wallet de un solo usuario. Estos ataques suelen explotar contenido generado por IA para imitar plataformas legítimas, logrando una tasa de clics del 54%, mucho más alta que los métodos tradicionales de phishing. El incidente de Venus, por ejemplo, vio a un usuario aprobar una transacción maliciosa tras ser engañado por una interfaz falsificada, lo que provocó una caída del 6% en el token nativo del protocolo y una disminución del 9,2% en el Total Value Locked (TVL) de BNB Chain. Estos efectos en cascada demuestran que el phishing ya no es una amenaza de nicho, sino un riesgo sistémico para la estabilidad de DeFi.

Un cambio en el panorama de amenazas

El auge del phishing refleja una evolución más amplia en el cibercrimen. Según un informe de Kroll, el phishing y la ingeniería social ahora representan el 80% de todos los incidentes de seguridad en el espacio cripto. Esta tendencia está impulsada por la relativa facilidad de ejecutar ataques de phishing en comparación con explotar vulnerabilidades técnicas complejas. Los atacantes ya no necesitan hacer ingeniería inversa de smart contracts; simplemente deben engañar a los usuarios para que entreguen sus claves privadas o firmen transacciones maliciosas. Como señala un análisis, “el diseño centrado en el usuario de DeFi ha creado inadvertidamente un imán para la ingeniería social, donde el eslabón más débil es el operador humano”.

Implicancias para inversores y estrategias de mitigación

Para los inversores, la lección es clara: la gestión de riesgos del portafolio ahora debe incluir sólidas salvaguardas off-chain. Aquí hay tres pasos accionables:

1. Adoptar soluciones de custodia de nivel institucional: Los inversores minoristas deben priorizar wallets no custodiales con autenticación multifactor (MFA) resistente al phishing y considerar servicios de custodia de nivel institucional para grandes tenencias. Las hardware wallets, que aíslan las claves privadas de los entornos online, siguen siendo una piedra angular de la defensa.

2. Priorizar la educación del usuario: Tanto las plataformas como los inversores deben invertir en capacitación para reconocer intentos de phishing. Esto incluye verificar nombres de dominio, examinar los detalles de las transacciones y evitar comunicaciones no solicitadas. Como demuestra el caso de Venus Protocol, incluso un lapsus momentáneo en el juicio puede llevar a pérdidas catastróficas.

3. Exigir transparencia en la gobernanza: Los inversores deben favorecer protocolos que aborden proactivamente los riesgos de phishing mediante mejoras en la gobernanza. Por ejemplo, algunos proyectos DeFi están implementando hardforks para mejorar la seguridad de las wallets y los procesos de verificación de usuarios.

Conclusión

La revolución DeFi prometió eliminar intermediarios, pero también expuso la fragilidad de la toma de decisiones humanas en un sistema sin confianza. Los ataques de phishing, ahora la principal causa de brechas en DeFi, revelan que la mayor vulnerabilidad del sector no está en su código, sino en sus usuarios. Para los inversores, el camino a seguir requiere un doble enfoque: aprovechar las salvaguardas tecnológicas mientras se fomenta una cultura de vigilancia. Como dice el dicho, “Tus llaves, tus monedas”, pero en 2025, tal vez sea momento de agregar, “Tu atención, tu seguridad”.