Cómo los agentes de IA podrían convertirse en la próxima gran amenaza para la seguridad de las criptomonedas

Como finanzas descentralizadas (DeFi), los bots de trading y las billeteras inteligentes evolucionan, y cada vez más se basan en agentes de IA y pequeños sistemas autónomos que se basan en protocolos como el Protocolo de Contexto de Modelo (MCP) para su funcionamiento. Si bien los agentes basados ​​en MCP prometen decisiones inteligentes automatizadas, también introducen vulnerabilidades que podrían poner en riesgo los criptoactivos.

El auge de los agentes de inteligencia artificial en las criptomonedas

Durante el último año, los agentes de IA han penetrado más profundamente en la infraestructura criptográfica: automatizan tareas en billeteras, ejecutan transacciones, analizan datos en cadena e interactúan con contratos inteligentes. Un estudio reciente... Estimación de VanEck sugiere que había más de 10,000 agentes de este tipo en el sector criptográfico a finales de 2024, y las proyecciones aumentan a más de 1 millón en 2025.

Para su funcionamiento, MCP es fundamental. Este marco funciona como una capa de decisión, gestionando qué herramientas usar, qué código ejecutar y cómo responder a las entradas. A diferencia de la lógica rígida de un contrato inteligente («qué debería suceder»), MCP rige el comportamiento del agente de IA («cómo sucede»).

Pero si bien esta flexibilidad fortalece a los agentes, también amplía drásticamente la superficie de ataque, con consecuencias potencialmente devastadoras.

Cómo los complementos pueden convertir a los agentes de IA en armas

Los complementos impulsan a los agentes de IA. Estos módulos de software amplían sus capacidades, lo que permite todo, desde la obtención de datos de mercado hasta la ejecución de transacciones. Sin embargo, cada complemento también introduce una vulnerabilidad. La empresa de seguridad blockchain SlowMist ha identificado... cuatro vectores de ataque principales que explotan agentes basados ​​en MCP:

Envenenamiento de datos

Las entradas diseñadas engañan al agente para que siga instrucciones engañosas, incorporando una lógica maliciosa en su flujo de toma de decisiones.

Inyección JSON

Los puntos finales JSON no autorizados pueden introducir código o datos no seguros, eludiendo la validación y filtrando información confidencial.

Anulación de función

Los atacantes reemplazan o anulan las operaciones legítimas del agente, enmascarando acciones maliciosas y deshabilitando controles esenciales.

Llamada cruzada MCP

Un agente engañado para comunicarse con servicios que no son de confianza (a través de mensajes de error o indicaciones engañosas) puede ser utilizado para propagar aún más riesgos.

Fundamentalmente, estos vectores se dirigen al tiempo de ejecución del agente, no al modelo LLM fundamental. Secuestran el comportamiento durante el uso, no durante el entrenamiento.

Por qué estas amenazas son más graves que el envenenamiento de modelos

A diferencia del envenenamiento de los modelos de IA tradicionales, donde los datos de entrenamiento corruptos influyen en las ponderaciones internas, los ataques a los agentes de IA los manipulan en acción. «El nivel de amenaza y el alcance de privilegios son mayores», señala «Monster Z», cofundador de SlowMist, porque el acceso en tiempo de ejecución suele incluir permiso para mover claves privadas o activos.

Una auditoría incluso detectó una falla en un complemento que corría el riesgo de exponer claves privadas, lo que posiblemente permitiría la toma total de activos.

Lo que está en juego: el riesgo real de las criptomonedas

Cuando los ecosistemas de agentes de IA están activos en billeteras y plataformas de intercambio, las consecuencias se intensifican rápidamente. Los agentes maliciosos o comprometidos podrían:

• Canjear permisos más allá de su alcance
• Robar o exponer claves privadas
• Desencadenar transacciones no autorizadas
• Propagación de infecciones a sistemas interconectados mediante llamadas MCP encadenadas

Guy Itzhaki (CEO de Fhenix) advierte que los plugins actúan como rutas de ejecución ocultas, a menudo sin protección de sandbox. Esto facilita la escalada de privilegios, la anulación de funciones y las fugas silenciosas.

Parches de seguridad: constrúyalos correctamente desde cero

La cultura acelerada de las criptomonedas («moverse rápido, romper cosas») choca con la exigencia de una seguridad hermética. Lisa Loud, de la Fundación Secreta, enfatiza: la seguridad es inaplazable. «Primero hay que construir la seguridad y después todo lo demás».

SlowMist recomienda estas prácticas recomendadas:

• Validación estricta del complemento: verifique la autenticidad e integridad antes de cargar.
• Sanitización de entrada: limpia todos los datos de fuentes externas.
• Privilegios mínimos: los complementos obtienen solo el acceso que absolutamente necesitan.
• Auditoría de comportamiento: supervise continuamente las acciones del agente para detectar anomalías.

Si bien estas medidas pueden demandar mucho tiempo, brindan una protección esencial en un entorno de criptomonedas de alto riesgo.

Perspectivas de la investigación académica

Estudios independientes se hacen eco de las crecientes alarmas. Artículo de ArXiv de marzo de 2025 (“AI Agents in Cryptoland”) expone vulnerabilidades en indicaciones contextuales y módulos de memoria mutable, lo que demuestra cómo los adversarios pueden influenciar sutilmente a los agentes para que realicen transferencias de activos no autorizadas o violen las condiciones del protocolo.

Otro estudio de febrero destaca que los agentes de IA web superan a los LLM estáticos en automatización, pero a costa de ser más vulnerables a los ataques. La toma de decisiones secuencial y las entradas dinámicas multiplican su exposición.

Estos hallazgos subrayan que los agentes no son simplemente extensiones de los LLM: añaden capas de complejidad y riesgo.

Lecciones del mundo real DeFi

Los agentes de IA ya están activos en DeFiSegún Sean Li de Magic Labs, si bien controlan todo, desde el trading 24/7 hasta la gestión del rendimiento, las billeteras y la infraestructura subyacentes no han seguido el ritmo.

Los ejemplos históricos incluyen:

• Bot Banana Gun (septiembre de 2024): un agente comercial basado en Telegram fue víctima de un exploit de oráculo donde Los usuarios perdieron 563 ETH (aproximadamente $1.9 millones) .
• Violación del panel de Aixbt: Comandos no autorizados Se transfirieron 55.5 ETH (unos 100,000 XNUMX USD) de las billeteras de los usuarios. .

Estos casos resaltan cómo las vulnerabilidades en la infraestructura del agente (o incluso en los componentes auxiliares) pueden generar grandes pérdidas.

Soluciones emergentes: Monederos programables y agentes autorizados

Para escalar de forma segura la automatización de la IA, las billeteras deben evolucionar más allá de la firma estática de transacciones. Como sugiere Sean Li, una infraestructura programable, componible y auditable es crucial. Esto incluye:

• Sesiones basadas en intenciones: otorgar permiso a los agentes solo para tareas, períodos de tiempo o activos específicos.
• Validación criptográfica: cada acción del agente está firmada y es verificable.
• Revocación en tiempo real: los usuarios pueden cancelar los permisos del agente al instante.
• Marcos unificados entre cadenas: permisos e identidad que viajan a través de protocolos.

Una base de este tipo garantiza que los agentes actúen como asistentes controlados y no como actores no controlados.

Hacia un ecosistema seguro de IA y criptomonedas

Para aprovechar el potencial de la IA en las criptomonedas, el ecosistema debe adoptar una filosofía de "seguridad ante todo". Esto significa:

• Integración de protocolos reforzados en billeteras y agentes
• Liberar plataformas de agentes solo después de una verificación de seguridad exhaustiva
• Alineación de los incentivos para desarrolladores con prácticas seguras
• Incorporar mecanismos de confianza avanzados antes de conceder a los agentes acceso a los activos

El apoyo de arriba hacia abajo (de los equipos centrales, los auditores y los organismos de normalización) es fundamental para impulsar la adopción y el escrutinio de los marcos de seguridad de los agentes.

¿Lo que nos espera?

Los agentes de IA prometen una revolución en las criptomonedas: comercio en tiempo real, interacciones inteligentes en cadena y una mayor personalización. Sin embargo, las mismas bases que permiten estas capacidades también aumentan el riesgo.

Los vectores de ataque no son teóricos: son reales, bien comprendidos y cada vez más sofisticados. Sin una integración completa de la seguridad en los protocolos, corremos el riesgo de convertir herramientas potentes en puertas de entrada para infracciones catastróficas.

El MCP ya presenta tanto oportunidades como peligros. Estudios académicos e incidentes reales demuestran que incluso pequeños errores en el diseño de complementos o protocolos pueden abrir la caja de Pandora.

Pero hay un camino a seguir. Al integrar la seguridad y la autorización en billeteras, plugins y agentes desde el primer día, e incorporar la monitorización continua y las protecciones nativas de las criptomonedas, podemos hacer realidad la promesa de la IA sin sacrificar el principio fundamental de las criptomonedas: finanzas controladas por el usuario y sin necesidad de confianza.

Agentes de IA: preparándose para el futuro

La rápida adopción de agentes de IA en el mundo de las criptomonedas es un arma de doble filo. Con la proyección de que el número de agentes supere el millón en 1 y con las vulnerabilidades ya identificadas, es evidente que nos encontramos en un punto de inflexión.

La automatización sin control pone en riesgo directo los activos a menos que la seguridad se vuelva tan fundamental como los propios contratos inteligentes. Al priorizar la verificación segura de complementos, el rastreo de intenciones y el acceso con privilegios mínimos, los desarrolladores pueden garantizar que los agentes de IA respeten la soberanía del usuario, no la socaven.

Es el momento de actuar ahora: proteja estos sistemas antes de que la próxima generación de agentes se convierta en la principal vulneración del mañana.