Tu whitelist no es un muro. Para los atacantes patrocinados por Estados, es un mapa que muestra exactamente a quién comprometer para llegar a tus activos. En los últimos meses, Check Point alertó sobre tres ataques distintos demostraron con crudeza esa realidad: más de USD 1.700 millones fueron robados a instituciones que utilizaban whitelists, multisigs y hardware wallets, es decir, las herramientas que la industria considera mejores prácticas de seguridad.
Cuando una institución mantiene activos digitales relevantes en una blockchain pública ocurre algo particular: gran parte de su arquitectura de seguridad se vuelve observable. Los balances on-chain son públicos, los patrones de transacción pueden rastrearse y las direcciones con las que interactúa regularmente —su whitelist— quedan registradas en cada operación. Esa transparencia, que en muchos casos es uno de los valores centrales del ecosistema cripto, también puede transformarse en una fuente de inteligencia para los atacantes.
Cuando la transparencia se convierte en inteligencia para el atacante
Para grupos de amenazas sofisticados, especialmente actores patrocinados por Estados como el Lazarus Group de Corea del Norte, responsable de más de USD 2.000 millones en robos de criptomonedas desde 2017, esta información es extremadamente valiosa. No necesitan adivinar cómo funciona la seguridad de su objetivo. Pueden observarla, analizarla y reconstruir el mapa completo de relaciones de confianza que rodean a una institución.
Desde la perspectiva del atacante, el proceso suele ser relativamente sistemático. Primero identifican las wallets asociadas al objetivo y analizan sus balances. Luego reconstruyen la red de direcciones con las que esa entidad interactúa habitualmente. A partir de allí investigan cada una de esas contrapartes: proveedores de infraestructura, custodios, contratos puente, protocolos DeFi o socios tecnológicos.
El objetivo no es atacar directamente al actor principal, sino encontrar el eslabón más débil dentro de esa red de confianza. Una vez comprometida esa entidad, la relación preexistente permite ejecutar el ataque. En ese contexto, la whitelist no funciona como una barrera defensiva: funciona como una guía que indica exactamente dónde buscar vulnerabilidades.
El problema de la falsa confianza
El uso de whitelists parte de una suposición muy extendida en la industria: si la dirección está aprobada, la transacción es segura. Esa lógica solo funciona bajo una condición extremadamente difícil de garantizar: que todas las entidades incluidas en la whitelist permanezcan permanentemente seguras.
Frente a adversarios con recursos estatales, capaces de dedicar meses al reconocimiento y la infiltración, esa garantía simplemente no existe. Por eso, la suposición operativa más realista es la opuesta: cualquier dirección incluida en una whitelist puede estar comprometida en cualquier momento. Cada proveedor, cliente o protocolo presente en esa lista debe considerarse potencialmente vulnerable, no necesariamente porque lo sea, sino porque los atacantes saben que allí existe una relación de confianza que pueden explotar.
Tres ataques, un mismo playbook
Tres incidentes recientes ilustran con claridad esta dinámica. El primero ocurrió el 21 de febrero de 2025 contra Bybit, donde se robaron 401.347 ETH, equivalentes a aproximadamente USD 1.500 millones. Los atacantes comprometieron la infraestructura de Safe{Wallet}, un proveedor de wallets utilizado por la plataforma. Tras infiltrarse en el entorno de desarrollo e inyectar código malicioso en la interfaz de usuario, lograron que una transferencia rutinaria desde una cold wallet a una warm wallet ejecutara en realidad un contrato controlado por los atacantes. El sistema de whitelist no detectó nada anormal porque la dirección destino seguía siendo la propia wallet de la empresa.
El segundo caso ocurrió en julio de 2024 contra WazirX, donde se drenaron más de 200 tokens distintos por un valor cercano a USD 235 millones. En este caso, el punto de entrada fue Liminal, un proveedor de custodia incluido en la whitelist. Los firmantes aprobaron una transacción que parecía legítima en la interfaz, pero que en realidad reemplazaba la implementación del contrato multisig por uno controlado por los atacantes. Una vez ejecutado ese cambio, las restricciones de la whitelist dejaron de existir.
El tercer ataque afectó a Radiant Capital en octubre de 2024, con pérdidas por USD 53 millones. Aquí los atacantes utilizaron ingeniería social para comprometer a tres firmantes internos. A través de un archivo PDF malicioso enviado por Telegram, lograron instalar malware que ejecutó un ataque de tipo man-in-the-middle sobre la interfaz de firma. Los firmantes vieron transacciones aparentemente legítimas mientras el sistema enviaba a las hardware wallets instrucciones distintas, incluyendo una llamada transferOwnership() que transfirió el control del contrato a los atacantes.
Lo que la whitelist no puede ver
Estos incidentes comparten un elemento clave: no fueron ataques basados en cambiar la dirección destino de una transacción, sino en alterar el estado de los contratos. Cambios de implementación, transferencias de ownership o payloads complejos pueden ejecutarse incluso cuando la dirección destino está aprobada.
Un sistema que solo valida direcciones simplemente no puede detectar ese tipo de operaciones. El problema no está en la dirección a la que se envían los fondos, sino en lo que realmente hace la transacción dentro del contrato inteligente.
Hacia un nuevo modelo de seguridad en blockchain
Frente a este escenario, cada vez más expertos señalan que el modelo de seguridad debe evolucionar. En lugar de confiar únicamente en direcciones aprobadas, las organizaciones necesitan mecanismos capaces de verificar el comportamiento real de cada transacción antes de que se ejecute.
La simulación en tiempo real de transacciones, el monitoreo continuo de actividad on-chain y la verificación independiente en la capa de firma son algunas de las estrategias que comienzan a adoptarse. En los tres ataques mencionados existían señales previas visibles en la blockchain: contratos maliciosos desplegados días antes, pruebas del exploit o actividad sospechosa dirigida a wallets específicas.
Toda esa información estaba disponible públicamente, pero no estaba siendo monitoreada de manera activa.
Los más de USD 1.700 millones robados en estos incidentes no fueron producto de negligencia. Las instituciones afectadas utilizaban multisigs, hardware wallets, proveedores de custodia y whitelists, es decir, las mejores prácticas disponibles en la industria. El problema es que esas prácticas se diseñaron bajo un modelo de amenaza distinto al actual.
Cuando el adversario es un grupo patrocinado por un Estado, con recursos para comprometer proveedores y manipular infraestructuras durante meses, la whitelist deja de ser una defensa confiable. En ese escenario, ya no es un muro de protección. Es un mapa.
Leer más
- Descubren fallas críticas en Claude Code que afectaban a desarrolladores
- Claude Cowork: cómo usar el nuevo agente de IA de Anthropic para automatizar tareas sin saber programar
- Claude Opus 4.5: Anthropic lanza el mejor modelo para programar, pero sus límites de uso generan frustración
