Llevo días dándole vueltas a esto y creo que es momento de escribirlo sin rodeos: la relación entre el avance de la inteligencia artificial y el volumen de ataques a DeFi no es casualidad. Es una correlación directa. Y cada vez más peligrosa.

Este no es un artículo de opinión basado en sensaciones. Son los datos del último mes los que cuentan la historia. Y lo que cuentan es preocupante.

Los datos antes que la opinión: abril 2026 en cifras

El mes en curso ya está reescribiendo los récords negativos del sector. No hablamos de uno o dos exploits aislados, hablamos de una cadena de incidentes en protocolos auditados, con TVL alto y equipos serios detrás:

• Drift Protocol — 1 de abril: 285 M$ drenados. Lazarus Group identificado como autor.
• Vercel — 19 de abril: OAuth comprometido a través de una app de IA de terceros, afectando proyectos cripto que despliegan en su infraestructura.
• Volo Protocol (SUI) — 23 de abril: 3,5 M$ vaciados de los Vaults el mismo día en que escribo esto.
• KelpDAO — 18 de abril: 292 M$ robados. El mayor hack de DeFi del año hasta la fecha.

Lo verdaderamente grave de KelpDAO no fueron los 292 M$ del exploit directo. Fue la onda expansiva: 13 B$ evaporados del TVL total de DeFi en 48 horas, 8.450 M$ saliendo solo de Aave por puro miedo de contagio. Un único punto de fallo, en un único protocolo, y el ecosistema entero temblando.

Ledger lo dijo sin rodeos: 2026 va camino de ser el peor año en la historia de DeFi en términos de hacks.

Solo Lazarus Group lleva más de 575 M$ robados en DeFi en los últimos 18 días. ¿Consecuencias reales? Ninguna. Siguen operando.

Y aquí entra la IA: el caso Claude Mythos

Esta semana Anthropic ha publicado algo que me ha dejado pensando mucho. Su nuevo modelo, Claude Mythos, ha identificado miles de vulnerabilidades zero-day en todos los sistemas operativos y navegadores principales. Entre los hallazgos:

• Un bug de 27 años en OpenBSD, uno de los sistemas operativos más endurecidos del mundo.
• Una vulnerabilidad de 16 años en FFmpeg que había pasado por más de 5 millones de tests automáticos sin ser detectada.
• Cadenas de exploits en el kernel de Linux que permitían escalada total de privilegios.

Anthropic ha decidido no liberarlo públicamente. Lo ha entregado únicamente a socios estratégicos como Microsoft, Nvidia, Cisco y JPMorgan a través del llamado Project Glasswing.

Es una decisión razonable y, sinceramente, agradecida. Pero plantea la pregunta incómoda que nadie quiere formular en voz alta:

Si Anthropic, una empresa con responsabilidad pública y procedimientos éticos, tiene un modelo capaz de descubrir bugs de 27 años en sistemas auditados durante décadas… ¿qué tienen los actores maliciosos que no se autoimponen ningún límite?

Por qué DeFi es el objetivo perfecto

Un ataque a un banco tradicional tiene consecuencias inmediatas: fraude electrónico tipificado, cooperación internacional, Interpol, congelación de cuentas. Un ataque a un exchange centralizado también: Binance, Coinbase o Kraken tienen equipos legales, seguros y relaciones con gobiernos.

¿Pero un ataque a DeFi?

• Contratos inmutables: una vez desplegados, no hay rollback.
• Transacciones irreversibles: el dinero llega al atacante en bloques.
• Atacantes anónimos: moviendo fondos por 20 cadenas en cuestión de minutos vía bridges y mixers.

La probabilidad de recuperar los fondos es mínima. La probabilidad de identificar al atacante es baja. La probabilidad de que haya consecuencias legales reales, prácticamente cero.

DeFi no es el sistema financiero más seguro del mundo. Es el más atractivo para atacantes con herramientas de IA, porque el riesgo de represalia es casi nulo y el rendimiento por ataque es enorme.

La asimetría que cambia el juego

Los defensores también usan IA. Empresas como Trail of Bits, OpenZeppelin, Certora o las propias auditoras de los grandes protocolos están integrando modelos para análisis estático y formal verification. La diferencia es que ellos publican, se auditan y se autorregulan.

Los atacantes, no.

El resultado es una asimetría brutal: por cada nueva técnica de defensa publicada en un paper, llega antes a manos de quien la quiere romper que a manos de quien la quiere implementar en producción. Y los modelos potentes que no salen al público — los Mythos, los GPT-X internos, los modelos chinos no liberados — pueden estar haciendo exactamente lo mismo, pero con objetivo ofensivo.

Lo que veo a mi alrededor: gestión de riesgo, no FUD

Cada vez hablo con más gente del sector que está deshaciendo posiciones. No por pánico. Por cálculo frío.

Gente que lleva años en DeFi y que ahora está:

• Moviendo fondos a cold wallets y reduciendo exposición a hot wallets conectadas.
• Reduciendo posiciones en protocolos con TVL alto (paradójicamente, los más atractivos para atacantes).
• Saliendo de bridges cross-chain, históricamente uno de los puntos más débiles del ecosistema.
• Cerrando vaults "por si acaso", incluso renunciando a APRs interesantes.

No es FUD. Es gestión de riesgo. Y es exactamente la mentalidad que recomendamos en la mega guía de seguridad cripto que publicamos hace un tiempo.

Yo mismo estoy cada vez menos expuesto y esperando a ver qué pasa. No porque crea que DeFi esté muerto, sino porque el entorno ha cambiado radicalmente en pocos meses. Los atacantes tienen acceso a herramientas que hace dos años no existían. Los defensores usan las mismas herramientas, pero siempre van un paso por detrás.

Cómo protegerte ahora mismo (lista práctica)

Si te quedas en DeFi — y muchos seguiremos —, hay decisiones que puedes tomar hoy mismo para reducir superficie de ataque:

1. Mueve a cold storage todo lo que no necesite estar productivo. La regla de oro: si no genera yield este mes, no debería estar en una hot wallet. Repasa la guía de wallets calientes y frías para entender bien las diferencias.
2. Revisa los approvals activos en cada cadena con revoke.cash o herramientas similares. Cada approval ilimitado es un vector de ataque dormido.
3. Diversifica protocolos. Tener todo en Aave es cómodo, pero un solo exploit te puede dejar a cero. Mejor 3 protocolos auditados con menos exposición que uno con todo.
4. Evita bridges innecesarios. Si puedes operar nativo en una cadena, hazlo. Cada salto es un punto de fallo.
5. No persigas APRs imposibles. Cuando algo paga 200 % anual, normalmente es porque alguien va a pagar la cuenta. Y suele ser quien deposita último. Aplica los principios básicos del análisis de tokenomics antes de entrar.
6. Haz auditoría personal cada 30 días. Posiciones, approvals, wallets activas. Es el mismo nivel de disciplina que aplicarías a una cartera tradicional.

Muchos de estos errores son los mismos que yo cometí en mis primeros años en cripto. La diferencia es que ahora el coste de equivocarse, con la IA al otro lado, puede ser definitivo.

Mi conclusión: hacia un futuro muy incierto

No digo que DeFi vaya a morir. Sigo creyendo que es una tecnología valiosa y que va a seguir existiendo. Pero los próximos 12-24 meses van a ser brutales. Y solo sobrevivirán los protocolos que cumplan tres condiciones:

• Auditorías continuas, no puntuales. Una sola auditoría al lanzamiento ya no es suficiente; el código y el contexto cambian semana a semana.
• Verificación multi-capa en cada punto crítico: cuentas, oráculos, bridges, contratos, gobernanza.
• Tratar la seguridad como un proceso, no como un hito de marketing. Bug bounty agresivo, equipos de respuesta dedicados, comunicación transparente.

El resto caerá. Y caerán más rápido de lo que pensamos. La IA está democratizando capacidades que antes requerían años de experiencia. Eso es increíble para los defensores que la usen. Y terrible para los defensores que no.

Porque del otro lado, la usan siempre.

La pregunta que te dejo

¿Será la IA el próximo cisne negro de las criptomonedas? No lo sé con certeza. Nadie lo sabe. Pero creo que es la conversación que deberíamos estar teniendo en lugar de debatir cuál será el próximo meme coin.

Si quieres profundizar en cómo proteger tu cartera ahora mismo, empieza por la mega guía de seguridad cripto y revisa la guía de wallets. Y si todavía estás dando los primeros pasos, refresca lo básico con la guía de DeFi para principiantes.

¿Tú qué opinas? ¿Estás reduciendo exposición a DeFi o sigues firme? Cuéntamelo en X, en @concodefi. Te leo.