Divulgación: Las opiniones expresadas aquí pertenecen exclusivamente al autor y no representan las opiniones de la editorial de crypto.news.

Durante gran parte de 2024, sentí que estaba viviendo en el futuro. Google presentó un chip de computación cuántica que puede realizar cálculos fácilmente que llevarían a una computadora tradicional más tiempo del que ha existido el universo. Los vehículos autónomos de Waymo transportaron a más de 150,000 personas semanalmente. Modelos de IA como AlphaFold continuaron desentrañando desafíos biológicos complejos con precisión.

También te puede gustar: Descentralizando la ciberseguridad: Las auditorías públicas benefician a la industria de web3 | Opinión

A pesar de los enormes avances tecnológicos en otros lugares, partes de nuestra propia industria parecían estar estancadas, especialmente en lo que respecta a la seguridad. Mientras que las tecnologías avanzadas están transformando casi todos los sectores, la seguridad de web3 sigue siendo frustrantemente deficiente.

El cambio del modelo centralizado de web2 a la arquitectura descentralizada de web3 ha ampliado drásticamente la superficie de ataque. Si bien la descentralización es la columna vertebral de la innovación de web3, creó una paradoja de seguridad inherente: la misma naturaleza abierta y distribuida que otorga libertad a los usuarios también crea una superficie de ataque expansiva y permanentemente expuesta. Con cientos de miles de millones de transacciones anuales, las apuestas por acertar en seguridad nunca han sido tan altas.

Sin embargo, a pesar del crecimiento sísmico en la superficie de ataque y miles de millones fluyendo a través de los protocolos, nuestra industria se aferra a auditorías manuales reactivas como su base de seguridad. Este enfoque—una vez considerado el estándar de oro de la seguridad en web3—ha demostrado ser increíblemente insuficiente y obsoleto. Y los datos confirman esta realidad; el 90% de los contratos explotados han pasado por auditorías.

Así como el desarrollo de software de web2 evolucionó mucho más allá de las pruebas manuales para incluir una serie de herramientas y técnicas—integración continua, pruebas automatizadas, monitoreo en tiempo de ejecución, por nombrar algunas—web3 ahora requiere una transformación similar en cómo abordamos el desarrollo y, en última instancia, el despliegue a las masas.

Los desafíos únicos de web3

El estado de las prácticas de seguridad de contratos inteligentes es especialmente alarmante cuando se enfrenta al nivel de riesgo de una brecha de seguridad en web3. Hay tres razones clave para esto:

  1. Inmutabilidad: Cuando despliegas un contrato inteligente, su código se vuelve permanente; la inmutabilidad es una característica central, no un error. Esto significa que, a diferencia de las aplicaciones de web2, donde los desarrolladores pueden parchear rápidamente vulnerabilidades, corregir fallas en contratos inteligentes requiere una coordinación compleja a través de todo el protocolo.

  2. Visibilidad: Agravando este desafío está la naturaleza pública del código de blockchain, donde los potenciales atacantes tienen visibilidad del código fuente. Si existen vulnerabilidades, los actores maliciosos pueden (y lo harán) encontrarlas.

  3. Control directo sobre activos: Lo más crítico es que las vulnerabilidades de web3 ponen los activos reales en riesgo inmediato. Mientras que los ataques de web2 suelen dirigirse a los datos, los exploits de contratos inteligentes resultan en pérdidas financieras directas, a menudo irreversibles.

Lo que hace que web3 sea revolucionario—su inmutabilidad, transparencia y control directo de los activos—es exactamente lo que requiere que repensemos la seguridad desde cero.

Por qué las auditorías por sí solas son insuficientes

Déjame ser claro: no estoy argumentando en contra de las auditorías. Desempeñan un papel esencial en el despliegue de contratos inteligentes seguros, pero no deberían ser nuestra primera y única línea de defensa. Cuando las auditorías son todo lo que tenemos, los activos de los usuarios quedan expuestos. Toma el hackeo de Euler Finance en 2023 como ejemplo; las pérdidas superaron los $200 millones, a pesar de que el protocolo había pasado por diez auditorías diferentes.

El problema más fundamental de confiar en auditorías manuales es que incluso los auditores más avanzados no pueden capturar todo; los humanos son falibles. Los contratos inteligentes están volviéndose cada vez más complejos, y cada nueva función multiplica los vectores de ataque potenciales exponencialmente, haciendo prácticamente imposible para cualquier revisión manual identificar cada debilidad potencial. El hecho de que un proyecto pueda pasar por diez auditorías diferentes y aún así ser hackeado prueba este punto: no se trata de la habilidad de los auditores individuales, sino de las limitaciones inherentes de la revisión manual.

El caso por una seguridad proactiva

En resumen, la dependencia de nuestra industria en las auditorías ha creado lo que creo que es un status quo irresponsable para la seguridad de web3: uno donde asegurar proactivamente los contratos inteligentes es la excepción en lugar de la regla. La realización de que web3 había innovado mientras la seguridad se quedó en el pasado es precisamente lo que me llevó a iniciar Olympix, una plataforma de seguridad web3 centrada en el desarrollador que empodera a los desarrolladores para asegurar el código a medida que lo escriben, en 2022.

Nuestro objetivo es automatizar tanto del proceso de auditoría como sea posible, capturando actualmente entre el 20-50% de las vulnerabilidades antes de que el proyecto incluso alcance su primera auditoría. Esto permite a los expertos en seguridad concentrar su tiempo en encontrar las vulnerabilidades más impactantes y novedosas en lugar de problemas rutinarios. Y está funcionando; un análisis interno mostró que solo en el tercer trimestre de ‘24, se habrían prevenido $60 millones en contratos previamente auditados y explotados si los equipos hubieran utilizado nuestras herramientas. Esto incluye hackeos de alto perfil como Pendle ($6.5M) y LIFI ($600K). Sin embargo, al igual que las auditorías, herramientas avanzadas como Olympix no son una solución completa. Los desafíos únicos de web3 exigen un enfoque sofisticado y de múltiples capas que combine herramientas proactivas centradas en el desarrollador junto con auditorías tradicionales, programas de recompensas por errores y monitoreo en cadena para crear múltiples capas de protección.

El camino a seguir: De reactivo a proactivo

Echa un vistazo a tu enfoque de seguridad hoy. ¿Se basa en auditorías únicas? ¿La sofisticación de tus prácticas de seguridad coincide con la complejidad y el nivel de riesgo del proyecto que has desplegado? Adivinaría que para una gran mayoría, la brecha de seguridad sigue siendo peligrosamente amplia.

La realidad es que en 2025, tenemos todo lo necesario para transformar la seguridad de web3. La tecnología para desplegar contratos inteligentes de forma segura está aquí, y existen herramientas –siendo Olympix una de ellas.

Creo firmemente que el futuro de nuestra industria estará determinado por la confianza, comenzando con nuestra capacidad para proteger los activos que nuestros colegas nos confían. Sí, web3 es transformador, pero también es implacable. Con miles de millones en juego, la robustez y longevidad de web3 están sobre nuestros hombros. Aseguremos nuestro futuro de manera proactiva.

Lee más: ¿Qué nos depara 2025 para las criptomonedas y los activos digitales? | Opinión

Autor: Channi Greenwall

Channi Greenwall es la fundadora de Olympix, una empresa de herramientas de seguridad proactivas para el desarrollo de web3 que ha asegurado más de $10 mil millones en valor total bloqueado en protocolos. Apenas unos años después de su existencia, la plataforma ya es utilizada por más del 30% de los desarrolladores de Solidity para la seguridad de contratos inteligentes. Antes de Olympix, diseñó infraestructura de seguridad crítica para la misión en JP Morgan Chase, seguida por un papel como líder de producto en Security Scorecard. Tiene una licenciatura en Ciencias de la Computación y una maestría en Ingeniería de Seguridad de NYU.