TRM Labs publicó el 1 de julio su dataset de hackeos del primer semestre de 2026, y las cifras van en direcciones opuestas: los atacantes ejecutaron 207 hackeos separados — el máximo que TRM ha registrado en un periodo de seis meses — pero las pérdidas totales cayeron a 972 millones de dólares, menos de la mitad de los 2.300 millones robados en el S1 2025. Más incidentes, menos dinero: la brecha entre lo que se ataca y lo que se roba es ahora la historia.
Contexto: qué midió TRM
TRM rastrea hackeos y exploits confirmados en plataformas nativas de cripto: protocolos DeFi, exchanges, proyectos de tokens y la infraestructura que firma y mueve fondos. El dataset del S1 2026 no es un panorama completo de todo el crimen cripto (el phishing, las estafas y el fraude con trabajadores IT encubiertos quedan fuera de este conteo), pero es uno de los benchmarks más citados de la industria sobre robos on-chain.
La firma publicó las cifras en un artículo de blog el 1 de julio, y la cobertura de CryptoSlate corroboró de forma independiente las mismas cifras.
La división: conteo de incidentes vs. pérdidas en dólares
El repunte de incidentes es contundente. El S1 2026 registró 207 hackeos, más del doble de los 83 del S1 2025. Solo el segundo trimestre produjo 123 incidentes, tras un primer trimestre también récord. El aumento fue constante a lo largo del semestre, no impulsado por un solo mes catastrófico.
La mayor parte de ese crecimiento vino de exploits de contratos inteligentes, que representaron 125 de los 207 incidentes — alrededor del 60%. Estos ataques encadenan cada vez más manipulaciones de contratos en un solo exploit, en lugar de apoyarse en un único fallo de código. La pérdida típica, sin embargo, fue modesta: TRM sitúa el hackeo mediano en unos 219.000 dólares, mientras que la media está en 4,7 millones — más de veinte veces superior. Un puñado de valores atípicos enormes tira del promedio hacia arriba; la mediana refleja mejor la amenaza cotidiana.
Las pérdidas en dólares cuentan la historia contraria. Los compromisos de infraestructura y operativos — ataques a claves, sistemas de firma, flujos de aprobación y custodia, no al código on-chain — representaron solo alrededor del 15% de los incidentes pero aproximadamente el 76% del valor robado. Los exploits de contratos inteligentes impulsaron el conteo; el robo de claves y las incursiones a la infraestructura impulsaron el dinero.
Dos operaciones vinculadas a Corea del Norte en abril ilustran la concentración. La brecha en Drift Protocol costó aproximadamente 285 millones de dólares; el exploit en KelpDAO sumó unos 292 millones. Juntas, las dos operaciones totalizaron unos 577 millones — casi el 60% de todos los fondos robados en el semestre por sí solas.
TRM estima que aproximadamente 643 millones de dólares, o alrededor del 66% de las pérdidas del S1 2026, son atribuibles a actividad vinculada a Corea del Norte. Eso es menos que los unos 1.700 millones del S1 2025, pero Corea del Norte siguió siendo la mayor fuente individual de valor robado. El total agregado más bajo refleja la ausencia de otro robo a la escala de los mayores ataques de 2025 — no una reducción de la capacidad de los atacantes.
Qué implica para exchanges y usuarios en LatAm
El camino de lavado detrás de los mayores robos ya está bien mapeado. Los activos robados suelen moverse por puentes cross-chain y servicios de swap sin KYC antes de llegar a exchanges. El screening de billeteras en el primer salto no alcanza cuando los fondos pueden saltar de cadena en minutos.
Eso importa directamente al ecosistema de exchanges de América Latina. Plataformas como Bitso, Mercado Bitcoin y otros VASP regionales que procesan rampas fiat son puntos de salida naturales para cripto lavado. Brasil, bajo el marco de VASP del Banco Central (Decreto 11.563), comenzó a implementar en 2026 el reporte mensual obligatorio de transacciones para los proveedores de activos virtuales. Argentina, México y Panamá están endureciendo sus propios marcos de cumplimiento en paralelo.
TRM señaló específicamente que exchanges e instituciones financieras necesitan monitoreo de transacciones multi-salto — rastrear activos a lo largo de todo el camino de lavado, no solo la primera transferencia. La Beacon Network de la firma, que incluye a más de 70 exchanges y protocolos DeFi miembros, está diseñada para compartir inteligencia sobre billeteras de atacantes en minutos, no en días, una vez identificadas las direcciones maliciosas.
Para usuarios individuales en LatAm — donde los rails de stablecoins impulsan remesas, pagos a freelancers y ahorros contra la volatilidad de monedas locales — el informe refuerza una lección práctica: dónde guardas tus claves importa más que qué protocolo uses. Una auditoría de contrato inteligente no te protege si la infraestructura de firma del protocolo se compromete. Y si depositas en un exchange, confías en la seguridad operativa y el stack de cumplimiento de esa plataforma, no solo en su marketing.
El informe también mencionó un ataque de “llave inglesa” por 24 millones de dólares — coerción física para forzar la entrega de una clave — como recordatorio de que la seguridad cripto va más allá de pantallas y código.
Conclusión
El S1 2026 marcó récord en el conteo de hackeos mientras reducía a la mitad las pérdidas totales. La industria recibe más golpes pequeños con frecuencia, pero las pérdidas catastróficas siguen viniendo de claves comprometidas, infraestructura de firma e incursiones estatales a la infraestructura — no de los bugs de código DeFi que dominan el registro de incidentes.
Si autocustodias, trata tu frase semilla y tus dispositivos de firma como joyas de la corona. Si usas un exchange, prioriza plataformas con inversión visible en cumplimiento — especialmente ahora que los reguladores de LatAm empiezan a exigir los datos de transacciones que hacen posible el rastreo de fondos robados. Esto es una historia de seguridad y cumplimiento, no una señal de timing de mercado. No es asesoramiento financiero.



