-
Cerca del 100% de los ataques DeFi recientes involucraron IA, según Carjuzaa.
-
Hoy no es tan relevante un auditor, sino pasar el código por herramientas de IA, señala Carjuzaa.
«Yo creo que esto en los próximos meses va a pegar fuertísimo y lo vamos a ver en gobiernos de países de tercer mundo, hospitales, ejércitos, comisarías, pymes, va a ser salvaje. Y esto posiblemente venga con una nueva oleada de ransomware». Así describió Maximiliano Carjuzaa cofundador de Money On Chain (MOC) el aumento de hackeos y ataques usando inteligencia artificial (IA) que proyecta para el futuro cercano, en particular con Mythos, un nuevo modelo de IA desarrollado por Anthropic.
En una entrevista exclusiva con CriptoNoticias, efectuada el pasado 23 de mayo en el marco de la Bitcoin Week en Uruguay, la advertencia de Carjuzaa llega después de que abril registrara al menos 34 hackeos que alcanzaron pérdidas de aproximadamente USD 635 millones, una cifra que a fines de ese mes implicó casi el 80% de todos los fondos robados en 2026.
Carjuzaa sitúa a la IA como factor dominante detrás de esa aceleración:
Yo creo que cerca del 100% de los ataques que hemos visto en los últimos dos meses son llevados utilizando IA en mayor y menor medida, ya sea para descubrir la manera de atacar, para codear el smart contract o la transacción que va a ser el ataque.
Maximiliano Carjuzaa, cofundador de Money On Chain.
Carjuzaa agregó una dimensión sobre el alcance del riesgo del nuevo modelo de Anthropic: «Mythos ha encontrado miles de vulnerabilidades de día cero en navegadores, sistemas operativos, con lo cual ahí no es DeFi que está expuesto, es el mundo que está expuesto». Una vulnerabilidad de día cero es una falla desconocida para el fabricante del software afectado, lo que significa que no existe parche disponible en el momento en que es descubierta o explotada.
No obstante, y a diferencia de lo que ocurrió con Mythos de Anthropic, que la compañía lo lanzó en una versión de pruebas a unas pocas empresas (Google, JPMorgan, Microsoft, entre otras), Carjuzaa sostuvo que «lo que pasó en abril es que la inteligencia artificial (el resto de modelos de Anthropic, OpenAI, Gemini, Grok, entre otros), al estar disponible para todo el mundo, agarró desprevenidos a la mayoría de los proyectos… Los desarrolladores no tenían ningún margen de maniobra para las cosas que ya tenían desplegadas».
El fallo que cinco auditorías no vieron
La IA no solo está del lado del ataque. Carjuzaa relató también que fue precisamente una herramienta de este tipo la que encontró en MOC una vulnerabilidad que había sobrevivido a cinco auditorías de seguridad humanas y siete años de producción.
El ataque se podía hacer en una parte del software que había pasado cinco auditorías, que hacía 5 años que estaba en producción, que había sido revisado por miles de hackers… y cuando lo encontramos era una cosa de, no no no podíamos creer que la IA hubiera tenido la capacidad de dar las 5.500 vueltas carnero en el aire que había que hacer.
Maximiliano Carjuzaa, cofundador Money On Chain.
La vulnerabilidad en cuestión no era explotable en condiciones normales, indicó Carjuzaa, quien también estimó que la probabilidad de que se dieran las condiciones necesarias era de una en diez millones.
Todo el proceso, desde la detección hasta el diagnóstico completo, tomó aproximadamente un minuto con una herramienta de IA de OpenAI y un sistema de desarrollo de contratos inteligentes:
Se puede hacer eso en un minuto con bajarse la herramienta y decirle, ‘Mirá este repositorio a ver dónde lo puedo atacar’. Y en un minuto tenés el reporte de cómo, qué condiciones se tienen que dar y cómo llevar adelante el ataque.
Maximiliano Carjuzaa, cofundador Money On Chain.
Tras el hallazgo, el equipo detuvo el protocolo por primera vez en siete años que lo hizo por razones de seguridad, informó públicamente lo ocurrido, corrigió el fallo y relanzó el sistema. MOC es un protocolo de finanzas descentralizadas (DeFi) construido sobre Rootstock (RSK), la cadena lateral de Bitcoin.
El tiempo como único indicador real de seguridad
La experiencia de MOC llevó a Carjuzaa a reformular la ecuación de auditoría de su protocolo. «Antes los protocolos por ahí gastaban más dinero en auditoría que en desarrollo. Hoy esa ecuación cambia completamente. Hoy ya no es tan relevante que tengas un auditor que te mire el código, sino que hayas pasado el código por todas esas herramientas de inteligencia artificial«.
El tiempo del equipo de ver cómo podemos hacer para romper el proyecto versus el tiempo que gastamos en construirlo debe ser 9 a 1.
Maximiliano Carjuzaa, cofundador Money On Chain.
Y aun con las herramientas disponibles, el cofundador de MOC sostiene que el indicador de seguridad más confiable sigue siendo el tiempo bajo exposición real: «Lo que más le da seguridad a un protocolo es el tiempo. Cuando vos tuviste un software corriendo durante meses, años, donde ya sabés que todo el mundo trató de tirarle con todo y no lo pudo romper, bueno, okay, en ese protocolo ponele que podés confiar».
La tensión que deja abierta el conjunto es la misma que atraviesa a todo el ecosistema: las herramientas que permiten a los equipos de seguridad encontrar sus propios fallos antes de ser atacados son las mismas que los atacantes ya usan. La velocidad de adopción en uno y otro lado es, por ahora, la variable que define quién llega primero.
