Los hackeos en DeFi alcanzan los 7.700 millones de dólares y el seguro no logra seguir el ritmo

Los usuarios de DeFi están priorizando rentabilidades llamativas frente a la seguridad, y los atacantes lo están aprovechando. Lo que arrancó como el idealista "DeFi Summer" de 2020 —la promesa de unas finanzas sin permisos ni intermediarios— se ha convertido en un experimento multibillonario con muy poca cobertura aseguradora. Desde que el término se popularizó en el ecosistema cripto hace seis años, los protocolos de préstamo sin seguro han perdido unos 7.700 millones de dólares por exploits, según DeFiLlama. Solo en abril de 2026 se evaporaron más de 600 millones de dólares por incidentes de seguridad, con brechas de alto perfil en Drift y Kelp DAO. Estos episodios dejan al descubierto un problema de fondo: el mercado de seguros para DeFi es pequeño y poco adecuado para las amenazas actuales. Menos del 2% del valor total bloqueado (TVL) de DeFi está cubierto por seguros, dijo a CoinDesk Hugh Karp, fundador de Nexus Mutual. DeFiLlama contabiliza 28 protocolos de seguros, pero Nexus Mutual concentra prácticamente todo el TVL del segmento, 123,5 millones de dólares, apenas un 0,14% frente a un ecosistema DeFi de 83.000 millones de dólares. Superficie de ataque en transformación Las primeras pólizas se tarifaban pensando en fallos de smart contracts, riesgos relativamente auditables y cuantificables. El patrón ha cambiado. Una parte importante de las pérdidas más grandes procede ahora de fallos fuera de la cadena: claves privadas comprometidas, phishing, ingeniería social y lógica defectuosa en puentes. El desglose de métodos de ataque de DeFiLlama sitúa el compromiso de claves privadas como la mayor categoría individual, seguido del phishing dirigido a carteras multisig. "Muchos de los hackeos más grandes se han originado fuera de la cadena por fallos de seguridad operativa", señaló Karp. Este tipo de escenarios son difíciles de asegurar: los equipos suelen carecer de prácticas estandarizadas de seguridad operativa. Sin estándares claros, el riesgo no se puede valorar con fiabilidad y las primas se disparan hasta niveles que los usuarios no aceptan. El exploit de Kelp DAO ilustra el problema. Los delincuentes manipularon un puente para hacerse con activos reales y después los emplearon como colateral en Aave. Karp afirma que el "fallo central del riesgo de puente" no habría quedado cubierto por productos típicos de seguro DeFi, que en ocasiones solo pagan por efectos secundarios —por ejemplo, deuda incobrable causada por oráculos congelados— y no por la brecha operativa en su origen. Por qué los usuarios no contratan cobertura Una parte relevante es pura economía del comportamiento: en DeFi manda la búsqueda de rendimiento. Pagar un 2%–3% en primas puede borrar el retorno de estrategias con márgenes ajustados, así que muchos optan por prescindir de protección. "La mayoría de usuarios de DeFi están guiados por el rendimiento y no quieren renunciar a varios puntos porcentuales de rentabilidad a cambio de cobertura", dijo Dan She, socio sénior de auditoría en CertiK. A esto se suma la fragilidad estructural. La primera generación de aseguradoras descentralizadas a menudo compartía los mismos riesgos de infraestructura que pretendía cubrir, creando exposiciones circulares. El sector se infló en los inicios de DeFi —de unos 3 millones de dólares a principios de 2020 a alrededor de 1.890 millones en noviembre de 2021— con nombres como Nexus Mutual, Cover Protocol, InsurAce, Tidal Finance y Bridge Mutual. Muchos de esos protocolos fracasaron, fueron hackeados o se desmoronaron entre 2021 y 2024 por tokenomics insostenibles y conflictos de interés. Cover Protocol fue hackeado y colapsó; Armor.fi, Bridge Mutual y Tidal prácticamente desaparecieron. Nexus Mutual, operativa desde 2019, es una de las pocas supervivientes. Karp asegura que Nexus ha cubierto más de 6.500 millones de dólares en valor y ha pagado algo más de 18,5 millones de dólares: una cifra útil, pero mínima en relación con la exposición del mercado. Los críticos sostienen que el modelo anterior era defectuoso por diseño. "Solo estabas apilando riesgo de contraparte sobre riesgo de contraparte", dijo Gaspard Peduzzi, fundador de Spectra Finance, al describir cómo el seguro DeFi dependía a menudo de las mismas construcciones descentralizadas que aseguraba. Matthew Pinnock, COO de Altura, añadió que el capital que respaldaba los pools de seguros estaba con frecuencia expuesto a las mismas vulnerabilidades que debía cubrir, de modo que la protección se desvanecía justo cuando hacía falta. Cuando falla la protección, quienes más sufren suelen ser los minoristas. Karp describió la secuencia típica tras un exploit: los módulos de seguridad del protocolo absorben el primer golpe, luego se recurre a las tesorerías, y si eso no alcanza, las pérdidas recaen sobre los depositantes. "En la práctica, cuando no hay cobertura, el coste cae de forma desproporcionada sobre los participantes menos sofisticados", explicó. Qué viene ahora El mercado está reaccionando. Algunos equipos están integrando el seguro directamente en productos DeFi para que la cobertura sea automática y no opcional. Otros abogan por pólizas más acotadas y definidas, o por incorporar a aseguradoras tradicionales para abordar riesgos operativos y de custodia fuera de la cadena. El reto central persiste: el perfil de riesgo de DeFi es complejo y evoluciona con rapidez, y el sector asegurador aún carece de herramientas y estándares sólidos para ponerle precio. Hasta que la suscripción no se ponga al día, DeFi seguirá expuesto, y los incentivos continuarán empujando a decisiones orientadas al rendimiento que dejan miles de millones en juego. Con los hackeos acumulándose y las pérdidas creciendo, aumenta la presión por cerrar esta brecha de protección. Si aseguradoras, protocolos y usuarios no encuentran compromisos viables entre cobertura y coste, el crecimiento de DeFi podría frenarse y los próximos "summers" podrían salir más caros para quienes no midan el riesgo.