OpenAI presentó una nueva iniciativa de ciberseguridad, Daybreak, el 11 de mayo, diseñada para encontrar, validar y ayudar a corregir vulnerabilidades de software antes de que los atacantes puedan explotarlas.
La empresa describe el enfoque como hacer que el software sea "resiliente por diseño", integrando la seguridad más temprano en el ciclo de desarrollo mediante revisiones de código asistidas por IA, modelado de amenazas, validación de parches y análisis de dependencias.
Para el cripto, donde un fallo de software puede provocar una pérdida inmediata de capital en un solo bloque, la urgencia es clara.
El patrón estándar en la industria de las criptomonedas es reactivo: se realiza una auditoría previa al lanzamiento, monitoreo posterior a la implementación, respuesta cuando se mueven los fondos, un post-mortem sobre el método, parcheo de vulnerabilidades, negociación de reembolsos y debate de gobernanza.
Ese modelo tiene la debilidad de que el error se hace evidente solo una vez que el capital ya se ha movido. La ventana entre el despliegue y el aprovechamiento es cuando el riesgo es más alto y las defensas más débiles.
TRM Labs' Informe sobre Delitos Criptográficos 2026 mostró que los actores ilícitos robaron $2.87 mil millones en casi 150 ataques y explotaciones en 2025. Los ataques a la infraestructura mediante claves comprometidas, infraestructura de monederos, acceso privilegiado, superficies front-end y planos de control generaron $2.2 mil millones de ese total.
Las explotaciones de código, la categoría que más directamente abordan las auditorías, representaron $350 millones, o el 12,1%.
Los datos de Hacken para el primer trimestre refuerzan que la seguridad centrada en auditorías tiene límites reales, ya que Web3 perdió $482 millones en 44 incidentes en un solo trimestre. Seis de esos incidentes involucraron protocolos auditados, incluido uno que había recibido 18 auditorías separadas.
Un robo de 282 millones de dólares no involucró ninguna explotación de código, ya que el atacante evitó por completo la capa de contrato y comprometió la infraestructura operativa y social que la rodea.
El informe más reciente de CertiK sobre ataques por coerción física señaló que se registraron 34 incidentes verificados de coerción física a nivel mundial entre enero y abril de 2026, un aumento del 41% respecto al mismo período de 2025, con pérdidas estimadas de aproximadamente $101 millones durante esos cuatro meses.
En esa trayectoria, CertiK estima que 2026 podría cerrar con alrededor de 130 incidentes. El vector de ataque ahora es la persona que posee la clave, el firmante en el multisig y el ingeniero con acceso a la consola en la nube.
Los tres conjuntos de datos juntos describen una amenaza que ha migrado bien por encima del contrato inteligente.
Lo que requiere “resiliente por diseño” en cripto
La lógica de Daybreak, aplicada a las criptomonedas, apunta hacia una postura de seguridad que se mantiene continuamente a lo largo del ciclo de vida del protocolo.
OpenAI describe una IA que puede razonar a través de conjuntos de código completos, identificar vulnerabilidades sutiles, validar que las correcciones realmente resuelven el problema subyacente y integrar esta capacidad en el flujo de trabajo diario de compilación y despliegue como una función continua.
Para el cripto, esto se traduce en requisitos operativos específicos en toda la pila, donde ahora se concentran las pérdidas.
Una revisión de código segura asistida por IA, realizada antes y durante toda la implementación, detectaría errores de lógica, brechas en el control de acceso y suposiciones inseguras antes de que lleguen al mainnet. Un modelado continuo de amenazas durante las actualizaciones del protocolo evaluaría cómo cada actualización de arquitectura, dependencia de oracle, diseño de puente o mecanismo de gobernanza abre nuevas superficies de ataque.
El análisis de dependencia y riesgo de oracle detectaría cuando una integración de terceros debilite el modelo de seguridad del protocolo que depende de ella.
La validación del parche antes de la ejecución de la gobernanza confirmaría que las soluciones propuestas cierran la vulnerabilidad y que las propias soluciones resisten condiciones adversas.
La revisión de acceso privilegiado para multisignaturas, firmantes, despliegues de interfaz de usuario y sistemas de custodia se realizaría con una frecuencia regular como parte de los procedimientos operativos estándar. La monitorización que detecta comportamientos anormales antes de que los fondos salgan reduciría el tiempo entre la detección y la respuesta.
| Función de seguridad | Qué verifica | Por qué es importante en cripto |
|---|---|---|
| Revisión de código seguro asistida por IA | Lógica del contrato, controles de acceso, suposiciones inseguras, errores relacionados con actualizaciones antes y durante la implementación | Ayuda a detectar vulnerabilidades explotables antes de que lleguen al mainnet, donde un fallo puede convertirse en una pérdida de capital inmediata |
| Modelado continuo de amenazas | Cómo las actualizaciones del protocolo, los cambios en la arquitectura, los mecanismos de gobernanza, los enlaces de oráculos y los diseños de puentes crean nuevas superficies de ataque | Mantiene la seguridad alineada con el protocolo a medida que evoluciona, en lugar de tratar el riesgo como fijo en el lanzamiento |
| Análisis de riesgos de dependencia y oráculo | Si las bibliotecas de terceros, proveedores de oráculos, middleware o componentes de puente debilitan el modelo de seguridad del protocolo | Muchos fallos importantes ahora provienen de la pila más amplia alrededor del contrato, no solo del contrato en sí |
| Validación del parche antes de la ejecución de gobernanza | Si la solución propuesta realmente cierra la vulnerabilidad subyacente y sigue siendo segura bajo condiciones adversas | Evita que la gobernanza apruebe parches que parecen correctos pero dejan abierta la vía de explotación o crean una nueva |
| Revisión de acceso privilegiado | Multisignaturas, firmantes, sistemas de custodia, claves de administrador, acceso a la consola en la nube y permisos de despliegue en la interfaz de usuario | Los ataques a la infraestructura cada vez más apuntan a las personas y sistemas con autoridad para mover fondos o cambiar el comportamiento del protocolo |
| Monitoreo antes de que los fondos salgan | Patrones de transacción anormales, comportamiento sospechoso del firmante, cambios inusuales en la interfaz o anomalías en los retiros | Reduce el tiempo entre la detección y la respuesta, brindando a los equipos la oportunidad de intervenir antes de que las pérdidas aumenten |
Los protocolos de criptomoneda con extensos registros de auditoría aún pueden tener implementaciones de interfaz de usuario no monitoreadas o multisignaturas mal configuradas, dejándolos en un punto ciego operativo donde ocurrieron las mayores pérdidas de 2025.
OpenAI dijo que los actores malintencionados pueden mal utilizar la capacidad cibernética ampliada, y Daybreak combina sus herramientas defensivas con verificación, acceso limitado, salvaguardias, monitoreo de uso indebido y controles de cuenta más robustos.
Las mismas capacidades de IA que ayudan a los defensores a revisar código, validar parches y modelar amenazas pueden ayudar a los atacantes a acelerar el phishing, generar interfaces falsas convincentes, clonar protocolos legítimos, analizar cadenas de dependencias para debilidades explotables y escalar el ingenio social entre custodios, firmantes y canales de soporte.
Los datos de Hacken clasificaron el phishing entre los principales vectores de ataque, y los datos de CertiK sobre coerción física mostraron que los atacantes se dirigen directamente a las personas. Ambas categorías implican manipulación social y operacional, y la IA opera a gran escala en ambas.
Dos resultados para la seguridad de criptomonedas
El caso alcista es que “resiliente por diseño” se convierta en un estándar competitivo.
Los protocolos comienzan a tratar la revisión continua de código, auditorías de políticas de firmantes, verificaciones de dependencias, monitoreo de integridad del front-end y validación de ejecución de gobernanza como requisitos estándar en todo el ciclo de vida del protocolo.
En ese modelo, la certificación de auditoría cede paso a la pila operativa completa de firmantes, actualizaciones, dependencias y controles de acceso que demuestran la resiliencia antes de la ejecución.
El enfoque propio de OpenAI, que combina herramientas más capaces con una verificación y controles de proceso más sólidos, es una plantilla externa para esa dirección.
Según los datos de TRM, si el 76% de las pérdidas provienen de la infraestructura, allí es donde debe operar el próximo estándar de seguridad. Los protocolos que puedan demostrar resiliencia operativa continua tendrán más facilidad para justificar su caso ante aseguradoras, reguladores y asignadores institucionales que aquellos que solo presentan un conjunto de certificaciones de auditoría.
El caso bajista es que la seguridad asistida por IA permanezca como una capa de marketing.
Los protocolos añaden lenguaje de seguridad impulsado por IA a su documentación, y el modelo operativo subyacente permanece fijo en las auditorías previas al lanzamiento y post-mortems tras la explotación.
Los atacantes utilizan las mismas herramientas para escalar phishing, clonar interfaces frontales más rápido y comprometer canales de soporte de manera más convincente de lo que los defensores mejoran sus flujos de trabajo.
El hallazgo de Hacken de que un atacante robó $282 millones sin tocar ninguna línea de código de contrato muestra que la superficie de ataque se extiende más allá de la capa de contrato, y el marco de seguridad actual de la industria cubre solo una parte de ella.
La industria de las criptomonedas ha centrado su modelo de seguridad en la respuesta tras una brecha y en revisiones en un momento específico, y la superficie de ataque ha trascendido ampliamente ese marco.
La publicación El nuevo impulso de ciberseguridad de OpenAI tiene una lección para cripto: deja de esperar el hack apareció por primera vez en CryptoSlate.