Polymarket, la mayor plataforma de predicción basada en criptomonedas, ha sufrido esta semana un ataque de cadena de suministro que ha vaciado los monederos de al menos quince usuarios. El balance provisional cifra las pérdidas en tres millones de dólares, según los primeros análisis de firmas independientes como PeckShield. La propia empresa ha salido al paso con un comunicado breve pero tajante: reembolsará la totalidad de los fondos sustraídos. Le adelanto que, más allá del susto económico, este incidente vuelve a poner sobre la mesa la fragilidad de las supply chains digitales y la creciente sofisticación del cibercrimen que opera sin cara visible.
El modus operandi: un script malicioso en el frontend a través de un proveedor externo
No ha habido que forzar cerraduras. El atacante no ha vulnerado los servidores de Polymarket ni ha roto su arquitectura de contratos inteligentes. El golpe ha sido quirúrgico y ha pivotado sobre la confianza en un tercero: un proveedor de servicios frontend comprometido que inyectó un fragmento de JavaScript malicioso en la web oficial de la plataforma. Ese código se encargaba de sustituir, en tiempo real, las direcciones de los contratos que el usuario aprobaba con su monedero, redirigiendo los fondos a una cartera controlada por el atacante.
La mecánica, explica la firma de seguridad blockchain PeckShield, fue una campaña de phishing dirigida, incrustada en una experiencia de usuario que parecía legítima. A los ojos de la víctima, todo ocurría dentro de Polymarket.com: el dominio era el correcto, el certificado SSL intacto y la interfaz idéntica a la de siempre. Solo el payload del ataque —una modificación sutil del destino de la transacción— delataba la operación, pero para entonces los fondos ya estaban volando hacia la red de Ethereum.
Según los datos de Bubblemaps, firma especializada en análisis visual de la cadena, el incidente afectó a menos de quince cuentas, una selectividad que apunta a un atacante con inteligencia previa sobre los monederos objetivo. Los fondos sustraídos —alrededor de 3 millones de dólares en la stablecoin ParyonUSD— se pasearon primero por Polygon, se puentearon luego a Ethereum y finalmente se convirtieron en 1.893 Ether, la criptomoneda que, por liquidez y opacidad relativa, sigue siendo el refugio favorito de los ciberdelincuentes.
Polymarket ha insistido en que su infraestructura central y sus servidores no fueron tocados. Es un detalle que, lejos de tranquilizar, subraya la naturaleza del ataque: el eslabón más débil no era el código interno, sino la cadena de confianza con un socio externo. Y ese es, precisamente, el talón de Aquiles de la economía digital actual.
El atacante no forzó la cerradura: pidió educadamente que le abrieran la puerta desde dentro, y la puerta se abrió.
De hecho, Polymarket no ha detallado qué proveedor fue el comprometido ni cuánto tiempo estuvo activo el código malicioso. La ausencia de información técnica pública impide, por ahora, una atribución sólida. Pero la lógica del oficio me invita a descartar el simple oportunismo: una infraestructura temporal de phishing masivo no selecciona quince cuentas con esa precisión. Aquí hay trabajo de reconocimiento previo, probablemente semanas de vigilancia sobre los hábitos de las víctimas.
El historial de los ataques a la cadena de suministro y el ecosistema cripto
Ya advertí en El quinto elemento que el próximo 11S empezará con un clic y se incubará en el software de un proveedor que nadie audita. El ataque contra Polymarket no es un cisne negro; es la enésima reedición de un patrón que el oficio conoce bien: SolarWinds en 2020, el sabotaje de Kaseya en 2021 o el compromiso de 3CX en 2023. En todos los casos, la confianza depositada en un tercero se convirtió en el vector de entrada. Lo peculiar aquí es que el objetivo no era una agencia gubernamental ni una multinacional, sino un mercado de predicción que mueve miles de millones de dólares y que, por su naturaleza, se ha convertido en un barómetro informal de la geopolítica y la macroeconomía.
Polymarket, valorada en 9.000 millones de dólares y con un volumen de operaciones que ya rivaliza con algunas exchanges medianas, ha sido utilizada por analistas, periodistas e incluso por servicios de inteligencia como fuente de señales sobre eventos mundiales. Atacar su frontend no solo busca dinero rápido; el daño reputacional a una plataforma que vive de la percepción de integridad puede ser, a largo plazo, mucho más valioso para un adversario paciente.
Dicho sea de paso, la comunidad de seguridad blockchain ha reaccionado con la velocidad esperable: PeckShield y Bubblemaps publicaron sus análisis en cuestión de horas. Pero la atribución última, esa que permitiría señalar a un grupo concreto —ya sea un sindicato criminal, Lazarus Group o un actor estatal encubierto— sigue pendiente. Sin la colaboración activa de Polymarket con las fuerzas de seguridad, el rastro se enfriará en los mixers de Ethereum y en los exchanges descentralizados.
Mientras tanto, los usuarios afectados verán reembolsados sus fondos gracias a la decisión de la empresa. Es un gesto que pocas plataformas centralizadas han asumido en los últimos años y que, en mi opinión, obedece menos a la generosidad que a la necesidad de salvar el modelo de negocio. Si la confianza en la integridad del frontend se evapora, la liquidez de Polymarket se esfumará con ella. Así de sencillo.
Dossier Moncloa: Ojos en la Sombra
La operación contra Polymarket es un ciberataque de cadena de suministro (supply chain attack) ejecutado mediante la inyección de un script malicioso en el frontend a través de un proveedor de servicios comprometido. El atacante no buscaba el robo masivo indiscriminado, sino la exfiltración quirúrgica de fondos de una pequeña cohorte de monederos, lo que sugiere un trabajo de inteligencia previo y un conocimiento detallado de la plataforma. Estimo, por tanto, que el nivel de clasificación del material involucrado —los registros de acceso al proveedor, los logs del frontend y los informes internos de la investigación— alcanzaría al menos la categoría de Confidencial, si no superior, dada la sensibilidad del incidente para la estabilidad de los mercados de predicción.
En cuanto a las agencias implicadas, la defensora evidente es el equipo de seguridad de Polymarket, junto con las firmas forenses como PeckShield y Bubblemaps que han mapeado el flujo de fondos. El atacante, sin atribución oficial, podría encajar en el perfil de un actor criminal con recursos —tal vez afiliado a un grupo de habla rusa o al ecosistema Lazarus—, aunque no descarto la posibilidad de una false flag destinada a minar la credibilidad de una plataforma que, en los últimos meses, ha anticipado con una precisión incómoda movimientos geopolíticos sensibles. Los terceros que miran con atención son obvios: la Unidad de Ciberinteligencia del CCN-CERT, que monitoriza este tipo de incidentes para proteger las infraestructuras críticas españolas, y las agencias de la alianza Five Eyes, siempre atentas a cualquier debilidad en la arquitectura financiera descentralizada.
Si tuviera que apostar —y valga la ironía—, diría que el verdadero beneficiario de este ataque no es quien se llevó los 1.893 Ether, sino quien consiga erosionar la fiabilidad de un mercado que, a ojos de ciertos Estados, ofrece demasiada transparencia predictiva. En el tablero del ciberespionaje económico, desacreditar un oráculo vale más que robar un millón de dólares. Y ese riesgo, sin pruebas tangibles, es el que me obliga a mantener todas las hipótesis abiertas.
Termino con un hito concreto: la próxima publicación del informe anual del Centro Criptológico Nacional (CCN-CERT) sobre amenazas en el sector fintech —prevista para septiembre de este año— probablemente elevará el nivel de alerta sobre ataques a proveedores de servicios digitales. Si para entonces Polymarket no ha desvelado la identidad del proveedor comprometido, la comunidad de inteligencia seguirá moviéndose en la penumbra. Como casi siempre.
