El 23 de junio, el Tesoro de Estados Unidos sancionó a nueve personas y 26 entidades vinculadas a la organización criminal transnacional Prince Group y propuso ampliar su regla del Grupo Huione para incluir a H-Pay Service PLC y cualquier entidad sucesora, vinculando ambas acciones a redes de estafa del Sudeste Asiático que costaron a los estadounidenses al menos 10 mil millones de dólares en 2024.
OPSeC, anunciado por el Fondo de Educación DeFi en asociación con Security Alliance (SEAL) y Ametric Research, se presenta como la respuesta interna creíble a esa convergencia.
El mismo día, OPSeC hizo pública su promesa de endurecer los protocolos, las prácticas de firma y la infraestructura de la industria.
En el vocabulario legislativo de Washington, el fraude criptográfico, los exploits DeFi, los rieles de las monedas estables y la infraestructura de lavado colapsan en una única categoría de riesgo en el momento en que se redacta un proyecto de ley.
El Tesoro describió el fraude de inversión en activos digitales como uno de los esquemas más comunes y lucrativos ejecutados por estas operaciones, y su Evaluación Nacional de Riesgo de Lavado de Dinero de 2026 señala explícitamente el sector.
FinCEN describió a Huione Group como un nodo clave para el lavado de ganancias provenientes de atracos cibernéticos y estafas de inversión en moneda virtual, y los formuladores de políticas que redactan reglas amplias sobre finanzas ilícitas han agrupado consistentemente protocolos poco seguros junto con los operadores de estafas que los explotan.
El compromiso de la coalición posiciona la seguridad operativa como una disciplina de ingeniería y un estándar de formulación de políticas.
Sus flujos de trabajo declarados incluyen un centro de recursos de seguridad compartido, reuniones periódicas de equipos de protocolo y empresas de seguridad, y un puente directo a la política a través de eventos educativos para los legisladores a medida que la legislación sobre criptomonedas avanza en el Congreso.
OPSeC está tratando de hacer que la postura de seguridad de DeFi sea legible para los formuladores de políticas antes de que ellos la definan por ellos.
El modelo de amenaza se expandió
Abril de 2026 hizo que fuera más difícil argumentar en contra de una coalición como OPSeC, con casi 630 millones de dólares desviados a través de al menos 27 exploits DeFi reportados, liderados por Drift y KelpDAO y concentrados en puntos de falla de firmantes, puentes e infraestructura.
El hackeo de Drift Protocol de 285 millones de dólares, el mayor exploit DeFi de 2026, surgió de una operación de ingeniería social de seis meses que tardó solo 12 minutos en ejecutarse una vez que se establecieron las bases.
Los atacantes atribuidos con un nivel de confianza medio-alto al grupo UNC4736, patrocinado por el estado de Corea del Norte, asistieron en persona a conferencias sobre criptomonedas, construyeron relaciones profesionales genuinas con los contribuyentes de Drift y manipularon a miembros reales del Consejo de Seguridad para que firmaran previamente autorizaciones ocultas.
Una migración de gobernanza de bloqueo de tiempo cero tres días antes del drenaje eliminó la última ventana de intervención del protocolo.
La revisión forense identificó tres vectores de intrusión: un repositorio de código malicioso clonado por un colaborador, una aplicación TestFlight falsa y una vulnerabilidad VSCode/Cursor que ejecutaba código arbitrario de forma silenciosa cuando se abría el repositorio, todos operando completamente fuera del alcance de las auditorías de contratos inteligentes.
| Antiguo marco de seguridad DeFi | Nuevo vector de amenaza | Ejemplo del artículo | ¿Por qué las auditorías tradicionales lo pasan por alto? |
|---|---|---|---|
| Errores de contratos inteligentes | Ingeniería social | Los atacantes de Drift construyeron relaciones con contribuyentes y miembros del consejo. | La explotación de la confianza humana ocurre fuera de la lógica contractual |
| Errores de contratos inteligentes | Firmantes comprometidos | Las autorizaciones ocultas supuestamente estaban firmadas previamente | Las firmas válidas pueden ejecutar resultados maliciosos |
| Errores de contratos inteligentes | Herramientas de desarrollador maliciosas | Aplicación TestFlight falsa, repositorio malicioso, ruta de ejecución de VSCode/Cursor | La ruta del exploit comienza en los dispositivos contribuyentes |
| Errores de contratos inteligentes | Fallos de gobernanza/bloqueo de tiempo | La migración de bloqueo de tiempo cero de Drift eliminó la ventana de intervención | La configuración de gobernanza es arquitectura operativa |
| Errores de contratos inteligentes | Debilidad del verificador de puentes | Ruta del puente LayerZero de verificador único de KelpDAO | El riesgo de validación entre cadenas está por encima de las auditorías de contratos individuales |
| Errores de contratos inteligentes | Compromiso RPC/infraestructura | Manipulación KelpDAO de la lógica de validación a través de infraestructura | Los supuestos de confianza en la infraestructura no siempre se auditan como el código |
TRM Labs atribuyó aproximadamente 577 millones de dólares en criptomonedas robadas hasta abril de 2026 a piratas informáticos norcoreanos, equivalente al 76% de todas las pérdidas mundiales por piratería de criptomonedas en ese período, concentradas en solo dos ataques.
La infracción de KelpDAO de 292 millones de dólares tomó una ruta técnica diferente, explotando un diseño de verificador único en un puente LayerZero al comprometer la infraestructura RPC y manipular la lógica de validación entre cadenas, pero operó en la misma capa humana e infraestructural para la que nunca se construyeron las auditorías de código.
El propio análisis de OpenZeppelin sostiene que las pérdidas recientes se originan cada vez más en las capas operativas alrededor de los protocolos, incluida la infraestructura de firma, la gobernanza, las dependencias entre cadenas y los controles humanos, en lugar del código de contrato únicamente.
El marco de certificación de SEAL, lanzado en 2026 a través de auditores acreditados, se construyó en torno a ese desglose. Evalúa si un protocolo puede defenderse, detectar incidentes y responder cuando algo sale mal, cubriendo operaciones multifirma, gestión de tesorería, respuesta a incidentes, seguridad DNS, infraestructura DevOps y controles de identidad y cuentas.
La función política de OPSeC proporciona un lugar para que esos estándares se vuelvan legibles para los legisladores en lugar de seguir siendo una infraestructura interna de la industria.
La complicación de la IA
Desde finales de mayo, dos lecturas creíbles y opuestas sobre la defendibilidad de DeFi han estado circulando por la comunidad de seguridad.
El 26 de mayo, Manuel Aráoz, cofundador y ex CTO de OpenZeppelin, declaró que considera que todo DeFi es inseguro, citando agentes de codificación de IA que son “sobrehumanos para encontrar vulnerabilidades” y aconsejó a amigos y familiares que abandonaran sus puestos en Aave, MakerDAO y Compound.
Sostiene que los defensores deben cerrar todos los defectos explotables, mientras que los atacantes solo necesitan uno, y que los agentes de IA han hecho que esa asimetría sea inmanejable al ejecutar búsquedas de vulnerabilidades en paralelo, las 24 horas del día, en miles de contratos simultáneamente.
El actual director ejecutivo de OpenZeppelin, Demian Brener, distanció públicamente a la empresa de la tesis de salida de Aráoz, enmarcando la IA como una capacidad defensiva junto con otra ofensiva, y reafirmando el compromiso de la empresa con la seguridad continua aumentada por la IA.
El propio análisis de OpenZeppelin sostiene de manera similar que las pérdidas más significativas de los últimos dos años se originaron cada vez más en capas operativas alrededor de protocolos, incluida la ingeniería social, la infraestructura de firma, la gobernanza y las dependencias entre cadenas.
No obstante, los agentes de IA están moviendo la superficie de ataque técnica restante hacia los atacantes, y la lectura direccional de Aráoz se mantiene incluso si su conclusión la exagera.
Un entorno de explotación de código acelerado por IA agrega una capa que los programas de certificación que cubren la seguridad del DNS y las operaciones multifirma no pueden cerrar por sí solos; juntos, estos dos marcos definen los límites exteriores de lo que OPSeC puede y no puede lograr.
La prueba de cumplimiento
Las certificaciones SEAL establecen un estándar deliberadamente exigente de seis dominios que cubren gobernanza multifirma, arquitectura de tesorería, guías de respuesta a incidentes, controles de registro DNS, infraestructura DevOps y gestión de identidades, evaluados por auditores acreditados y registrados como certificaciones en cadena.
La mayoría de los protocolos en proceso de certificación identificarán brechas que requieren solución antes de que se aprueben. Un marco de certificación que exige un registro de firmantes, simulacros de respuesta a incidentes probados y registros de configuración de DNS es una barrera que se puede hacer cumplir.
El valor de OPSeC durante los próximos doce meses estará determinado por si se hace cumplir esa prohibición.
Lo bueno es que OPSeC se conecta con las certificaciones SEAL para construir un mercado de seguridad premium. Los protocolos que demuestran disciplina operativa a través de controles de firmantes resistentes al phishing, gobernanza con límite de tiempo, monitoreo de incidentes 24 horas al día, 7 días a la semana y bloqueos de registros DNS se comercializan con un descuento de riesgo menor que los protocolos que dependen únicamente de auditorías de código.
El capital sigue a la certificación, y la norma se vuelve autoaplicable porque adquiere significado económico.
| Escenario para los próximos 12 meses | ¿Qué lo confirmaría? | Implicación del mercado | Implicación política |
|---|---|---|---|
| Caso Bull: formularios de prima de seguridad | Los firmantes de OPSeC adoptan la certificación estilo SEAL, publican certificaciones y subsanan las lagunas | Los protocolos certificados se comercializan con descuentos de menor riesgo; El capital favorece la seguridad verificable. | La industria obtiene pruebas de que la autorregulación puede funcionar |
| Caso base: la coordinación mejora, pero la aplicación de la ley sigue siendo débil | OPSeC se convierte en un centro de políticas y educación, pero los datos de cumplimiento siguen siendo limitados | La seguridad se convierte en un diferenciador narrativo, no en un estándar de precios | Los legisladores todavía ven el riesgo de DeFi a través de evidencia mixta |
| Caso bajista: la narrativa del compromiso gana | Otro firmante de nueve cifras, un puente o una explotación de ingeniería social aterriza antes de que surjan estándares mensurables | Se amplía la prima de riesgo de DeFi; BTC y exposiciones más simples superan a los protocolos complejos | El marco del Tesoro/FinCEN domina el debate legislativo |
| Cisne negro: exploits asistidos por IA se vinculan con vías de blanqueo sancionadas | El principal exploit está vinculado a actores estatales, infraestructuras compuestas de estafas o redes de pago autorizadas. | Amplia liquidación de criptomonedas; Los intercambios y los emisores de monedas estables reducen agresivamente el riesgo. | Washington integra la seguridad de DeFi, la lucha contra el lavado de dinero y las sanciones en una categoría de aplicación |
El caso bajista es que un nuevo firmante de nueve cifras explota antes de que la OPSeC produzca datos de cumplimiento mensurables, los formuladores de políticas tratan a la coalición como un lenguaje de compromiso y el debate legislativo sobre finanzas ilícitas se endurece en torno a los peores supuestos que la acción del Tesoro del 23 de junio volvió a poner sobre la mesa.
La competencia gira en torno a quién define lo que significa “asegurar DeFi”: la industria a través de estándares operativos verificables, o Washington a través de categorías de cumplimiento que combinan a un firmante multifirma comprometido y un compuesto de estafa en Camboya en una única clase de riesgo regulatorio.
El Tesoro ha declarado que seguirá tomando medidas agresivas contra el abuso ilícito en la industria de activos digitales. La ventana de OPSeC para responder con evidencia está abierta y tiene hora de cierre.