No hizo falta un “hack” cinematográfico con pantallas verdes, capuchas negras y teclados mecánicos sonando como ametralladora. Bastó algo más peligroso: hacer que una operación legítima pareciera legítima hasta el último segundo. El caso Bybit demuestra que en ciberseguridad el problema no siempre es que rompan la puerta; a veces el desastre ocurre porque alguien convenció al negocio de abrirla solo.
Intro
Hay escenas que envejecen bien. En Ocean’s Eleven, el golpe no depende solo de fuerza, sino de timing, confianza y control de la narrativa. En ciberseguridad moderna pasa algo parecido: el atacante no siempre entra disparando; muchas veces entra actuando mejor que el dueño de casa.
Eso fue Bybit en febrero de 2025. Una operación rutinaria terminó en el robo de aproximadamente US\$ 1.5 mil millones en criptoactivos, en lo que Reuters reportó como uno de los mayores robos de la historia del sector. Pero reducirlo a “robaron una wallet” sería un error bastante común; Lo que realmente colapsó fue algo mucho más delicado: la confianza operacional del negocio.
Y ahí está la lección para Chile, Perú y Colombia. Porque este caso no trata solo de una exchange cripto en Dubái. Trata de cualquier empresa que firma pagos, aprueba transferencias, opera con terceros, usa plataformas cloud, confía en integraciones y cree que tener controles visibles equivale a tener control real.
El incidente: el minuto en que el negocio entra en zona roja
Bybit informó que atacantes comprometieron una de sus wallets de ether y desviaron cerca de US\$ 1.5 mil millones en activos digitales (casi una comision de ventas en ciberseguridad xD) mientras la empresa comunicaba que sus demás wallets seguían seguras y que las operaciones no se detenían por completo. A primera vista, parece una historia de contención razonable. Pero para un directorio, esa lectura es incompleta.
Porque cuando una organización pierde un monto de ese tamaño, el daño no se mide solo en caja o balances (aunque sin duda duele perder una caja así…). Se mide en confianza del mercado, tensión con clientes, presión regulatoria, exposición pública, carga legal, fatiga ejecutiva y deterioro de la capacidad de decidir con normalidad. Es decir, el incidente no solo pega en seguridad; pega en continuidad del negocio.
En simple: aunque la empresa siga “funcionando”, ya no opera igual. Opera herida.
El ataque: no rompieron la caja fuerte, manipularon al guardia
Las investigaciones públicas posteriores apuntaron a un compromiso del flujo de firma y aprobación de la transacción, no simplemente al robo directo de una clave privada en el sentido más básico. Según esos análisis, los atacantes habrían logrado alterar lo que los firmantes veían o aprobaban, haciendo que una operación maliciosa luciera como una instrucción legítima.
Esa diferencia técnica cambia por completo la conversación ejecutiva. Esto no fue solo un problema de credenciales. Fue un problema de confianza implícita en un proceso crítico. Fue, usando una analogía más cercana a Mission: Impossible, una máscara perfecta puesta sobre el flujo de autorización.
Y aquí aparece la primera verdad incómoda: muchas organizaciones protegen activos, pero no protegen suficientemente bien los procesos que autorizan mover esos activos. Dicho de otro modo, invierten en la bóveda, pero no en verificar al que entra con credencial válida.
Modus técnico: el ataque moderno ya no siempre necesita malware ruidoso
La información publicada sobre el caso sugiere que el adversario manipuló una transacción en el proceso de firma multisig, redirigiendo fondos a wallets bajo su control mientras los aprobadores creían validar una acción legítima. Esto encaja con un patrón de ataque de cadena de suministro digital o compromiso de proceso, donde el objetivo no es tumbar la infraestructura, sino corromper silenciosamente la confianza operativa.
Para líderes no técnicos, la traducción es esta: el sistema puede verse normal, la pantalla puede verse normal, la rutina puede verse normal, pero la instrucción real ya fue alterada. Y cuando eso ocurre, el incidente deja de ser un asunto de tecnología aislada y pasa a ser una falla de diseño de control interno. Tu ¿te darías cuenta de esto?
Eso conecta de lleno con marcos como ISO/IEC 27001, ISO 22301 y NIST Cybersecurity Framework 2.0, aunque el aprendizaje aquí no es “cumplir por cumplir”. El aprendizaje es otro: si los procesos críticos no tienen verificación independiente, segregación efectiva y validación fuera de banda, el negocio está operando con una ilusión de control. La importancía de las revisiones tecnicas externas por equipos expertos se hace presente acá.
El verdadero dolor: caja, reputación y continuidad
El número visible fue brutal: cerca de US\$ 1.5 mil millones sustraídos. Pero el costo total de negocio es mayor que el titular. A ese golpe directo se suman investigación forense, respuesta a incidentes, gastos legales, reconfiguración de controles, auditorías extraordinarias, mayor escrutinio regulatorio y, sobre todo, erosión de confianza.
En la práctica, un evento así activa una especie de “modo boss final” para la empresa. Todo se vuelve más lento, más caro y más sensible. Se revisan accesos, se congelan decisiones, se renegocian relaciones, se tensionan proveedores y cada comunicación pública puede afectar clientes, socios e inversores.
Para directorios y socios, este es el punto central: un incidente de ciberseguridad serio no solo roba dinero. También roba tiempo estratégico, foco ejecutivo y margen de maniobra.
Causa raíz: tecnología sí, pero sobre todo gobierno del proceso
La causa raíz más consistente, según los análisis públicos, combina tres factores: debilidad en la validación del flujo de firma, dependencia crítica de terceros en una etapa sensible y ausencia de verificación suficientemente independiente para detectar la manipulación de la transacción. Eso no es un problema “solo técnico”. Es un problema de gobierno, arquitectura de confianza y diseño de control.
La ciberseguridad moderna no se limita a implementar controles aislados. También exige definir roles, responsabilidades, evidencia de aprobación, trazabilidad y criterios de excepción. Si una operación crítica puede ser alterada sin que quienes aprueban lo adviertan, entonces la organización no tiene una brecha menor: tiene una fractura en su modelo de gestión.
Y eso importa porque el negocio no vive de firewalls. Vive de procesos confiables.
Chile, Perú y Colombia: por qué este caso sí les habla directamente
El Foro Económico Mundial advierte que en 2026 el riesgo cibernético está siendo acelerado por la IA, la fragmentación geopolítica y la desigualdad tecnológica, y reporta que solo 13% de los encuestados en América Latina y el Caribe confía en la capacidad regional para responder a incidentes cibernéticos mayores. Además, el informe destaca que las vulnerabilidades ligadas a IA son percibidas como el riesgo de crecimiento más rápido, con 87% de los encuestados señalándolo así.
Para Chile, Perú y Colombia, esto pega donde más duele: empresas en expansión digital, cadenas de suministro mixtas, dependencia alta de terceros, procesos financieros cada vez más distribuidos y directorios que todavía, en muchos casos, siguen mirando la ciberseguridad como una línea del presupuesto y no como una variable de continuidad.
Traducido al negocio regional:
- En Chile, el impacto puede escalar rápido por presión regulatoria, reputacional y alta dependencia de servicios digitales en industrias críticas.
- En Perú, la afectación puede ser más severa cuando la madurez de control entre matriz, operación y terceros no crece al ritmo de la digitalización.
- En Colombia, el costo operativo puede amplificarse por interrupciones, dependencia comercial y exposición creciente de empresas medianas y grandes ataques con impacto en continuidad.
No es casualidad. Es la convergencia perfecta entre amenaza moderna y debilidad estructural.
Qué habría que mitigar: no más confianza ciega en procesos críticos
El caso Bybit deja varias medidas claras. Primero, verificación fuera de banda para operaciones críticas; no basta con aprobar desde la misma interfaz o dentro del mismo flujo comprometible. Segundo, segregación real de funciones entre quien crea, revisa y autoriza; no solo segregación escrita en políticas. Tercero, endurecimiento de endpoints y entornos usados por firmantes privilegiados, porque ahí suele vivir la confianza que el atacante quiere secuestrar.
A eso hay que sumar algo que suele faltar en la conversación de negocio: pruebas de continuidad específicas para fraude transaccional y corrupción de flujo, no solo para ransomware. Muchas empresas ensayan el día en que “todo se cae”, pero no ensayan el día en que “todo parece normal mientras les vacían la caja”.
En CompunetGroup esta conversación tiene sentido de marca y de propósito. No basta con hablar de ciberdefensa como catálogo de controles. Hay que hablar de resiliencia operativa, gobierno, riesgo y continuidad. Porque proteger una organización no es solo impedir el incidente; es evitar que una decisión aparentemente rutinaria termine convertida en una crisis existencial.
Impacto para directorios, socios e inversores
Bybit deja una señal brutalmente simple: la confianza implícita es una vulnerabilidad. Y cuando esa vulnerabilidad vive en procesos financieros o de aprobación crítica, el incidente deja de ser una contingencia tecnológica para convertirse en una amenaza directa al valor de la empresa.
Por eso el directorio ya no debería preguntar solamente “¿estamos protegidos?”. Debería preguntar:
- ¿Qué proceso crítico podría ser manipulado sin que lo notemos?
- ¿Qué tercero participa hoy en nuestra cadena de confianza?
- ¿Qué monto podríamos perder antes de detectar una aprobación fraudulenta?
- ¿Cuánto tiempo real tardaríamos en contener, comunicar y recuperar?
- ¿Qué parte del negocio dejaría de operar con normalidad al día siguiente?
Esas preguntas no son paranoia. Son gobierno corporativo.
Cierre
En Star Wars, la Estrella de la Muerte no cae por falta de tamaño, sino por una pequeña debilidad estructural que nadie quiso dimensionar a tiempo. En ciberseguridad empresarial pasa exactamente lo mismo. El problema no siempre es la magnitud del sistema; muchas veces es el punto de confianza que todos asumieron como seguro.
Bybit no es solo una historia del mundo cripto. Es una advertencia para cualquier empresa que quiera seguir creciendo sin rediseñar su modelo de confianza. Porque hoy ya no basta con prevenir. Hay que verificar, resistir, responder y recuperar.
Y esa es la pregunta que separa a las organizaciones que sobreviven de las que aparecen en el próximo titular: cuando el proceso más confiable falle, ¿tu negocio va a resistir o solo va a descubrir, demasiado tarde, que también estaba firmando a ciegas?
Te dejo una pregunta final: ¿Team Imperio o Team Rebeldes?
