Las criptomonedas volvieron a entrar en el foco del crimen financiero en 2025 de una manera que sorprende por su contradicción: por un lado, los montos absolutos vinculados a actividades ilícitas alcanzaron un nuevo máximo histórico; por otro, la proporción de esos flujos respecto al volumen total en cadena se redujo ligeramente. Según el análisis de inteligencia blockchain de TRM Labs, las transferencias ilícitas llegaron a 158.000 millones de dólares en 2025, una cifra que revierte la tendencia a la baja que se había observado entre 2021 y 2024.
Para entender la aparente paradoja es importante separar dos variables: el tamaño absoluto de los fondos movidos por actores ilícitos y el peso relativo de esos movimientos sobre la enorme y creciente actividad global en blockchain. TRM documenta que, aunque el volumen total etiquetado como ilícito creció un 145% respecto a 2024, su participación en el total del tráfico on‑chain experimentó una leve caída, pasando del 1,3% al 1,2%. En otras palabras, la cadena sigue expandiéndose a gran velocidad y, pese a que la proporción disminuye, el valor en dólares que cruzó por manos cuestionables fue mucho mayor.
Detrás de ese salto en dólares hay factores concretos y entrelazados. TRM apunta a un aumento marcado de actividad relacionada con sanciones internacionales, centrado en redes vinculadas a Rusia y en instrumentos como ciertos stablecoins asociados a esos ecosistemas. Ese fenómeno no solo refleja nuevas designaciones sancionadoras, sino también mejoras en la atribución de direcciones y entidades ya sancionadas, lo que ha permitido identificar movimientos que antes quedaban en la sombra. El hecho de que actores estatales o alineados con estados —mencionados en el informe— estén utilizando criptodivisas como parte de su infraestructura financiera altera radicalmente el mapa: cuando bloques importantes de valor se mueven por motivaciones geopolíticas, las estadísticas totales se disparan.
La presencia de estados o actores estatales en los flujos cripto no es una novedad aislada, pero 2025 mostró una intensificación que plantea preguntas sobre cómo se aplican y se hacen cumplir las sanciones en un entorno descentralizado. Las sanciones y la política económica internacional ya han incorporado herramientas y designaciones específicas para activos digitales; sin embargo, el informe de TRM subraya que la combinación de complejas redes de escrow vinculadas a China, actores estatales y rutas alternativas de liquidación puede facilitar movimientos a gran escala que escapan al escrutinio tradicional. Para contexto y antecedentes sobre cómo afectan las sanciones a los activos digitales puede consultarse la documentación del Departamento del Tesoro de EE. UU. sobre sanciones financieras: U.S. Treasury - Financial Sanctions.
En el capítulo de delitos clásicos dentro del ecosistema cripto, los ataques a exchanges y protocolos siguen siendo un vector central. TRM reporta 2.870 millones de dólares en pérdidas derivadas de 150 hacks durante 2025, con la concentración típica de que las diez mayores brechas explican alrededor del 81% del total sustraído. El caso más relevante del año, según el informe, fue la intrusión a Bybit en febrero de 2025, atribuida a actores norcoreanos y con un impacto cercano a 1.460 millones de dólares. Estos episodios recuerdan que, además de asegurar redes públicas, la resiliencia operativa de custodias y exchanges sigue siendo un factor determinante para la seguridad del sistema en su conjunto.
Si los robos masivos captan titulares, las estafas individuales y los fraudes suman cantidades aún mayores por volumen y dispersión. TRM calcula que aproximadamente 35.000 millones de dólares fueron enviados a esquemas fraudulentos en 2025, dominados por estafas de inversión —desde Ponzi y tareas falsas hasta engaños sentimentales— que concentraron cerca del 62% de los flujos hacia fraudes. Un elemento nuevo y preocupante es la adopción de herramientas de inteligencia artificial por parte de los delincuentes: contenido más persuasivo, mensajes más personalizados y campañas automatizadas que pueden imitar voces o identidades con mayor eficacia están elevando la profesionalidad y el alcance de estos timos.
En cuanto al ransomware, 2025 no devolvió los picos más altos de ejercicios anteriores, pero mantuvo una actividad sostenida. El informe detectó un crecimiento en la fragmentación del ecosistema: 161 familias activas y 93 variantes nuevas en un solo año. Ese dinamismo se refleja también en las técnicas para blanquear rescates: el uso tradicional de mezcladores se redujo en un 37%, mientras que el enrutamiento vía puentes inter‑cadena y otras técnicas cross‑chain aumentaron en un 66%. La evolución tecnológica y la proliferación de servicios descentralizados ofrecen a los criminales nuevas rutas para intentar ocultar orígenes y destinos de fondos, lo que complica las investigaciones y exige adaptaciones constantes en las herramientas de análisis on‑chain.
Ante este escenario, la detección y la respuesta ya no dependen solo de la supervisión de una empresa: la colaboración entre proveedores de inteligencia blockchain, organismos reguladores, fuerzas del orden y plataformas de intercambio es crítica. TRM destaca cómo una mayor rapidez en el intercambio de inteligencia y mejores capacidades de atribución han hecho emerger flujos que antes permanecían sin identificar; esa colaboración se complementa con acciones públicas y judiciales que, ocasionalmente, terminan en decomisos o cierres de foros ilícitos. Agencias como Europol y la INTERPOL han venido reforzando operaciones contra mercados y servicios vinculados al lavado de criptoactivos, y sus comunicados ponen de manifiesto que la respuesta debe ser multidimensional. Para más información sobre operaciones internacionales contra el crimen digital puede consultarse la sala de prensa de Europol: Europol - Newsroom y la web de INTERPOL: INTERPOL - News and Events.
¿Qué implica todo esto para usuarios, empresas y responsables de políticas? En primer lugar, la necesidad de inversión en controles de cumplimiento y en capacidades de análisis on‑chain: no basta con reglas en papel si las plataformas no pueden detectar patrones complejos de obfuscación o rutas inter‑cadena. En segundo lugar, la importancia de la cooperación internacional para que las sanciones y las medidas contra el blanqueo sean efectivas en un entorno que transciende fronteras. Finalmente, una lectura para usuarios individuales: la precaución frente a ofertas que prometen retornos rápidos y la verificación de contrapartes son defensas sencillas pero eficaces contra gran parte del daño que genera el fraude.
Los datos de TRM para 2025 trazan una imagen complicada: las criptomonedas continúan transformando mercados y sistemas de pago, pero esa transformación trae consigo actores que buscan explotar el anonimato, la velocidad y la interoperabilidad de las redes. La respuesta tecnológica y normativa va a tener que acelerarse al mismo ritmo si se quiere contener el aumento de flujos ilícitos sin frenar la innovación legítima que también mueve miles de millones cada año. Para un análisis detallado y los datos completos puede consultarse el informe original de TRM Labs: TRM Labs — 2026 Crypto Crime Report.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...