Cómo la verificación de terceros se convierte en el eslabón débil de las plataformas cripto: material educativo de Polymarket

El sector de aplicaciones descentralizadas depende de la simplicidad de entrada para los novatos. Para lograr esto, muchas plataformas integran proveedores externos de autenticación y carteras. Esta arquitectura acelera el registro, pero al mismo tiempo crea nuevos vectores de ataque. Los eventos recientes en Polymarket muestran cómo incluso un protocolo protegido puede tener vulnerabilidades a nivel de sistemas operativos de acceso.

De incidentes anteriores a la crisis de diciembre: una pauta en el sistema

Polymarket no es la primera vez que enfrenta problemas de seguridad a nivel de entrada. En septiembre de 2024, los usuarios reportaron transferencias no autorizadas de USDC mediante explotación de la autenticación de Google. Los atacantes usaron llamadas a funciones “proxy” para redirigir fondos a direcciones de phishing. En ese momento, la plataforma consideró el incidente como un ataque dirigido a un servicio de verificación de terceros.

En noviembre de 2025, hubo otra oleada: los estafadores colocaron enlaces disfrazados en comentarios en la plataforma, dirigiendo a los usuarios a páginas falsificadas para interceptar datos de email. Las pérdidas superaron los $500,000. Esto indicaba un problema sistémico que se extendía no solo a la técnica, sino también a aspectos conductuales.

El 24 de diciembre de 2025, Polymarket anunció una nueva medida de seguridad que volvía a involucrar la autenticación de terceros. Los atacantes lograron acceder a un número limitado de cuentas aprovechando una vulnerabilidad en el servicio de ingreso. La compañía no especificó el proveedor, pero usuarios en Reddit y Discord señalaron a Magic Labs como un punto de entrada común en el proceso de registro.

Mecánica del ataque: cuando las carteras de email se convierten en objetivo

Los usuarios de Polymarket cada vez más optan por ingresar mediante “enlace mágico”, un enlace único enviado por email. Este método atrae a los novatos que no quieren gestionar extensiones del navegador ni guardar frases semilla. El proveedor de carteras de email crea automáticamente una cartera Ethereum no custodial durante el registro.

Sin embargo, la cadena de seguridad depende del proveedor en varias etapas críticas: verificación de ingreso, recuperación de acceso y gestión de sesiones. Si alguna de estas etapas se ve comprometida, toda la cartera queda en riesgo.

Los usuarios afectados describieron pérdidas súbitas de saldo sin señales evidentes de confirmación. Un usuario reportó tres intentos de ingreso, tras los cuales su saldo cayó a $0,01. Otro indicó que la autenticación de dos factores vía email tampoco evitó transferencias directas de USDC a direcciones controladas por los atacantes. Las posiciones en la plataforma se cerraron automáticamente sin orden explícito del usuario.

Riesgo sistémico en Web3: cuando los contratos inteligentes no son el principal problema

Este evento traslada el foco de la seguridad del protocolo a la seguridad de las integraciones. Polymarket confirmó oficialmente que el protocolo principal permaneció protegido. El problema se limitaba a la pila de autenticación. La compañía afirmó que las correcciones ya están desplegadas y los riesgos actuales han sido eliminados.

No obstante, esto plantea una profunda pregunta sobre la arquitectura de Web3. La mayoría de las soluciones de onboarding dependen de puntos de entrada centralizados. Cuando un proveedor de autenticación tiene una vulnerabilidad, los usuarios de múltiples aplicaciones descentralizadas están en riesgo simultáneamente. Como resultado, los servicios de verificación y gestión de carteras de terceros se han convertido en un eslabón crítico, a menudo el más débil.

Los usuarios comenzaron a discutir activamente alternativas. Algunos optan por conexiones directas de carteras para saldos elevados, evitando intermediarios. Otros comparten en hilos públicos las direcciones de sus carteras para verificar su actividad actual.

Lecciones futuras para el ecosistema

Polymarket no publicó un análisis técnico detallado del incidente. Quedan preguntas sin responder sobre el monto de fondos robados, la cantidad de usuarios afectados y los planes de compensación. La falta de transparencia aumenta la incertidumbre en el mercado.

Sin embargo, el incidente ilumina un problema más amplio. En el ecosistema cripto, el onboarding a menudo se considera secundario, y la atención se centra en los contratos inteligentes y protocolos. Pero son los puntos de entrada — donde los usuarios interactúan con servicios descentralizados — los lugares más vulnerables. Sin una reevaluación del papel de los proveedores de terceros y el fortalecimiento de sus estándares de seguridad, incidentes similares tenderán a repetirse.