En un mundo de deep fakes al alcance de cualquiera, la ingeniería social se vuelve el mayor riesgo para el usuario de criptomonedas.

El 1 de abril de 2026, como un mal chiste del día de los inocentes, el mayor exchange descentralizado de futuros perpetuos en Solana fue engañado en un hackeo de aproximadamente 285 millones de dólares en apenas 12 minutos. No fue un error en el código. No fue un exploit de contrato inteligente. Fue ingeniería social pura, un engaño tramado durante aproximadamente medio año. 

Drift Protocol, la víctima del hackeo, lo confirmó en su propio comunicado: los atacantes se infiltraron en conferencias, mantuvieron reuniones presenciales, ganaron confianza y lograron que firmantes del Consejo de Seguridad (multisig) pre-firmaran transacciones que parecían rutinarias. Esas firmas, gracias a nonces duraderos en Solana (una funcionalidad que permite crear una cuenta especial de autorización persistente, con la cual se puede firmar una transacción con anticipación y ejecutarla mucho tiempo en el futuro), se ejecutaron semanas después y permitieron una toma de posesión administrativa completa.

Los fondos de usuarios, los vaults de préstamos y el Fondo de Seguro fueron drenados. Luego, más de 230 millones en USDC fueron puenteados a Ethereum vía el Protocolo de Transferencias entre Cadenas de Circle en más de 100 transacciones atómicas. Circle tardó más de seis horas en reaccionar y congelar algo. Para entonces, el daño ya estaba hecho: el segundo mayor hackeo en la historia de Solana, después del ataque a Wormhole en 2022.

Pero el verdadero escándalo no es solo el monto. Es lo que revela sobre el estado actual de la seguridad en la industria de criptomonedas: el humano es, ahora más que nunca, el eslabón más débil. 

Por más auditorías que se hagan a los contratos inteligentes; por más firmantes que se incluyan en los contratos multisig; por más bloqueos temporales que se añadan a las transacciones, en la práctica, el último paso siempre es un ser humano. Y, al parecer, los norcoreanos, sospechosos habituales de estos ataques, lo saben mejor que nadie.

El grupo Lazarus (también conocido como UNC4736, AppleJeus, Golden Chollima) lleva años perfeccionando esta táctica. No solo en Drift. Según reportes forenses recientes, desarrolladores vinculados a Pyongyang se infiltraron durante años en proyectos de código abierto como SushiSwap, Harmony y hasta Shiba Inu. Usaban identidades falsas en GitHub, perfiles impecables y contribuciones lentas y consistentes para ganar acceso al código base. No necesitaban exploits mágicos. Solo paciencia y confianza humana.

En Drift fue todavía más sofisticado: seis meses de preparación, encuentros cara a cara en conferencias, depósitos propios para generar credibilidad y la creación de cuentas de nonce duradero desde el 23 de marzo. Todo culminó el 1 de abril con un ataque en minutos. Elliptic y TRM Labs lo atribuyen con alta confianza a actores patrocinados por el Estado norcoreano porque repiten patrones identificados en ataques anteriores.

Si bien este tipo de ataques ya eran posibles en el pasado, la inteligencia artificial y los deepfakes los elevan a un riesgo sistémico. Hoy cualquiera puede comprar en la darknet herramientas como ProKYC o kits de deepfakes en tiempo real que combinan face-swap con clonación de voz. Basta con 30-90 segundos de audio público de una persona para generar una voz indistinguible. Una foto y un video de 10 segundos bastan para crear una identidad sintética que pasa verificaciones KYC de video en exchanges y bancos. El tejido de la realidad está comprometido y, en medio de la maraña, estamos, en peligro, todos nosotros.