La plataforma de análisis y gestión de finanzas descentralizadas Step Finance confirmó a finales de enero que fue víctima de un ataque que le costó decenas de millones en activos digitales. Según la compañía, los atacantes accedieron a dispositivos pertenecientes al equipo ejecutivo y desde ahí comprometieron varias carteras del tesoro, una táctica que, aunque no siempre se detalla públicamente, encaja con vectores de ataque vistos en otros incidentes del ecosistema cripto.
Step detectó la brecha el 31 de enero y, apenas confirmó la intrusión, activó a investigadores de ciberseguridad y notificó a las autoridades. En un primer balance, firmas externas como CertiK estimaron que los fondos sustraídos equivalían a 261.854 SOL —cifra que en ese momento se valoró en alrededor de 28,9 millones de dólares—, si bien la propia Step amplió posteriormente esa estimación hasta situarla en unos 40 millones de dólares. Puede consultarse la comunicación inicial de Step y los seguimientos de CertiK en sus publicaciones públicas: comunicado de Step y aviso de CertiK. Más tarde, Step actualizó su cálculo aquí: actualización de Step.
Parte del dinero fue recuperado gracias a la colaboración con socios y a protecciones activas en la infraestructura de la plataforma. Step indicó que alrededor de 3,7 millones de dólares en activos vinculados a Remora y aproximadamente 1 millón en otras posiciones pudieron ser recuperados mediante acciones coordinadas, aprovechando mecanismos de trazado y bloqueo en cadena. También señaló que Remora Markets —un producto que pertenece a Step— quedó aislado del incidente y que los rTokens se mantienen respaldados 1:1.
Qué significa esto para los usuarios. Step pidió expresamente que los usuarios no interactúen con el token nativo STEP mientras continúa la investigación. La plataforma anunció además que tomará una “snapshot” del estado anterior al exploit para preparar una solución para los poseedores de STEP. En la práctica, eso quiere decir que Step pretende preservar una fotografía inmutable del estado de cuentas antes del ataque para evaluar compensaciones o medidas restaurativas, aunque los detalles finales aún no se han concretado.
La compañía no ha divulgado todos los detalles técnicos del ataque ni ha identificado públicamente a los responsables, y esa opacidad ha alimentado especulaciones sobre la posibilidad de un “rug pull” o de un fallo interno. Es importante subrayar que, hasta ahora, esas sospechas no han sido probadas y que las investigaciones forenses en este tipo de incidentes requieren tiempo y acceso a información sensible que las empresas no siempre pueden o deben hacer pública de inmediato.
Contextualizando el golpe: los 40 millones de Step son significativos, pero forman parte de un panorama mayor de pérdidas por delitos cibernéticos en cripto. CertiK, que monitoriza incidentes de seguridad en blockchain, reportó pérdidas por casi 398 millones de dólares sólo en enero —con una recuperación parcial de unos 4,366 millones— y recordó que 2025 acumuló 147 hacks confirmados por cerca de 2,87 mil millones en pérdidas, mientras que 2022 sigue siendo el año con la cifra más alta registrada hasta ahora. Estos datos están disponibles en los canales públicos de CertiK: resumen de pérdidas y en su página corporativa certik.com.
Desde el punto de vista técnico y de seguridad, el incidente de Step vuelve a evidenciar varias lecciones conocidas pero a menudo olvidadas en el sector cripto. El ecosistema blockchain es público y trazable, lo que facilita el seguimiento de flujos de fondos, pero también depende en gran medida de la gestión segura de claves privadas y de prácticas sólidas de gobernanza en equipos que controlan tesorerías y contratos inteligentes. Cuando se comprometen dispositivos personales o claves administrativas, los atacantes pueden mover activos rápidamente y dispersarlos a través de múltiples direcciones en busca de saltos a exchanges o mezcladores.
Para usuarios y proyectos, conviene reforzar medidas básicas pero efectivas: segregar fondos operativos de tesoreros en carteras con controles de firma múltiple, usar almacenamiento en frío para reservas significativas, aplicar políticas estrictas de gestión de credenciales y acceso, y recurrir a auditorías independientes y a proveedores de custodia cuando corresponda. En el caso de Step, la coordinación con especialistas en forense blockchain y con socios del ecosistema permitió recuperar parte de los fondos; no obstante, la recuperación completa en incidents de este tipo no está garantizada y suele depender de la rapidez de la respuesta y de la cooperación de exchanges y otros intermediarios.
Si usas la plataforma o posees tokens relacionados, una recomendación prudente es evitar interacciones con contratos o mercados asociados hasta que Step publique un informe forense más detallado y medidas claras de mitigación. También es buena práctica revocar aprobaciones innecesarias desde carteras personales, comprobar actividad inusual en tus direcciones con exploradores de bloques y, si mantienes cantidades relevantes, considerar migrarlas a soluciones de custodia con mejores controles de seguridad.
Step mantiene su sitio y sus canales oficiales para actualizaciones; la página principal de la plataforma está disponible aquí: step.finance. Mientras tanto, las señales del incidente y su encaje en la ola de ataques contra proyectos cripto recuerdan que, pese a las mejoras en herramientas y auditorías, la seguridad operacional y la higiene digital siguen siendo el eslabón más débil en muchos casos.
En un sector donde la transparencia y la confianza lo son casi todo, la forma en que Step documente la intrusión y actúe sobre las reclamaciones de los usuarios será crucial para recuperar credibilidad. Los ojos del ecosistema están puestos en la investigación y en las medidas correctoras; hasta entonces, la recomendación es informarse por canales oficiales y extremar las precauciones en cualquier interacción con activos relacionados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...