33.5 mil millones de dólares en "impuesto a las cuentas": Cuando EOA se convierte en un coste sistémico, ¿qué puede aportar AA a Web3?

null

En 2025, el mundo Web3 no carece de grandes narrativas, especialmente con la finalización de la transición regulatoria y la incorporación gradual de las stablecoins en el sistema TradFi. Las discusiones sobre «cumplimiento», «integración» y «reconstrucción del orden en la próxima fase» casi constituyen la melodía principal de este año (lectura adicional: «Mapa global de regulación de criptomonedas 2025: el comienzo de la era de integración, un año de «fusión» entre Crypto y TradFi»).

Pero tras estos cambios estructurales aparentemente de alto nivel, surge un problema más fundamental, pero que ha sido ignorado durante mucho tiempo: la propia cuenta, que está convirtiéndose en la fuente de riesgo sistémico de toda la industria.

Hace poco, el último informe de seguridad de CertiK presentó una cifra bastante impactante: en todo 2025, se registraron 630 incidentes de seguridad en Web3, con pérdidas acumuladas de aproximadamente 3,35 mil millones de dólares. Si solo nos quedamos en esta cifra total, quizás sea solo otra repetición anual de una situación de seguridad grave, pero al desglosar los tipos de incidentes, se revela una tendencia aún más preocupante:

Una parte considerable de las pérdidas no proviene de vulnerabilidades complejas en contratos, ni de ataques directos a protocolos, sino que ocurre en niveles más primitivos y alarmantes, es decir, ataques de phishing: en todo el año, se registraron 248 incidentes relacionados con phishing, con pérdidas de aproximadamente 723 millones de dólares, incluso ligeramente superiores a los ataques por vulnerabilidades en el código (240 incidentes, aproximadamente 555 millones de dólares).

En otras palabras, en muchos casos de pérdida de usuarios, la blockchain no ha fallado, la criptografía no ha sido vulnerada, y las transacciones cumplen completamente con las reglas.

El problema real radica en la cuenta misma.

I. La cuenta EOA, convirtiéndose en el «problema histórico» más grande de Web3

Objetivamente, tanto en Web2 como en Web3, el phishing ha sido siempre la forma más común en que las personas pierden fondos.

La diferencia radica en que, en Web3, la introducción de contratos inteligentes y mecanismos de ejecución irreversible hace que, cuando ocurre este tipo de riesgo, los resultados sean aún más extremos. Para entender esto, hay que volver al modelo de cuenta más básico y central de Web3: la cuenta EOA (Externally Owned Account).

Su lógica de diseño es extremadamente pura: la clave privada es la propiedad, la firma es la voluntad; quien controla la clave privada, controla toda la cuenta. Este modelo fue revolucionario en sus inicios, ya que evitaba intermediarios y sistemas de custodia, devolviendo la soberanía de los activos directamente a las personas.

Pero este diseño también implica una premisa muy radical: en el supuesto de la EOA, los usuarios no serán víctimas de phishing, no cometerán errores por operación accidental, ni tomarán decisiones equivocadas por fatiga, ansiedad o presión de tiempo. Solo se necesita que una transacción sea firmada para que se considere una expresión genuina y plenamente comprendida de la voluntad del usuario.

Pero la realidad no es así.

Los incidentes de seguridad frecuentes en 2025 son el resultado directo de que esta premisa ha sido repetidamente violada. Ya sea por inducir a firmar transacciones maliciosas o por completar transferencias sin verificar adecuadamente, el común denominador no radica en la complejidad técnica, sino en la falta de tolerancia a errores del modelo de cuenta en sí, que no contempla las limitaciones cognitivas humanas (lectura adicional: «De EOA a abstracción de cuentas: ¿el próximo salto de Web3 ocurrirá en el «sistema de cuentas»?»).

Un escenario típico es el mecanismo de autorización Approval, que se ha usado durante mucho tiempo en la cadena. Cuando un usuario autoriza a una dirección, en realidad está permitiendo que esa dirección transfiera activos de su cuenta sin necesidad de confirmación adicional. Desde el punto de vista lógico, este diseño es eficiente y simple; pero en la práctica, a menudo se convierte en el punto de partida para phishing y vaciado de activos.

Por ejemplo, el reciente incidente de una dirección con 50 millones de dólares en tokens, donde el atacante no intentó vulnerar el sistema, sino que construyó una «dirección similar» con caracteres muy parecidos en las primeras y últimas posiciones, induciendo a los usuarios a transferir fondos apresuradamente. La falla del modelo EOA quedó claramente expuesta: es muy difícil que alguien pueda verificar en un corto período de tiempo una cadena de caracteres de varias decenas de dígitos sin significado semántico.

Al final, la lógica subyacente del modelo EOA determina que no le importa si has sido engañado, sino solo si has «firmado». Esa es la razón por la cual los casos de éxito en ataques de dirección tóxica han sido recurrentes en los medios en los últimos dos años: los atacantes no necesitan realizar ataques 51%, que son costosos y poco efectivos, sino simplemente crear una dirección que parezca legítima, esperar a que los usuarios copien, peguen y confirmen sin verificar.

Después de todo, la EOA no puede determinar si esa dirección nunca antes interactuó con ella, ni si la operación se desvía significativamente del comportamiento histórico. Para ella, solo es una transacción legal y válida que debe ejecutarse. Así, comienza a emerger una paradoja que no se puede ignorar: Web3 es extremadamente seguro en el nivel criptográfico, pero vulnerable en el nivel de las cuentas.

Desde esta perspectiva, las pérdidas de 3,35 mil millones de dólares en 2025 no se pueden simplemente atribuir a «usuarios poco cautelosos» o a «mejoras en las técnicas de hacking». Más bien, cuando el modelo de cuenta se lleva a escala financiera real, las deudas históricas comienzan a hacerse evidentes.

II. La inevitable historia de AA: corrección sistémica del sistema de cuentas en Web3

Cuando muchas pérdidas ocurren en un sistema que «funciona completamente según las reglas», eso mismo es un problema mayor.

Por ejemplo, en las estadísticas de CertiK, incidentes como phishing, dirección tóxica, autorizaciones maliciosas y firmas erróneas comparten un premisa común: las transacciones son legales, las firmas son válidas y la ejecución es irreversible. No violan las reglas de consenso, no generan estados anómalos, e incluso en exploradores de bloques parecen normales.

Desde una perspectiva sistémica, estos no son ataques, sino instrucciones de usuario que se ejecutan correctamente una tras otra.

En última instancia, el modelo EOA condensa «identidad», «permiso» y «riesgo» en una misma clave privada. Una vez firmada, la identidad se confirma, el permiso se otorga y el riesgo se asume de forma única e irrevocable. Esta simplificación extrema fue ventajosa en los primeros tiempos, pero a medida que el tamaño de los activos, la participación de los usuarios y los escenarios de uso crecen, comienza a mostrar defectos estructurales evidentes.

Especialmente cuando Web3 entra en una fase de uso frecuente, multi-protocolo y en línea durante largos períodos, las cuentas dejan de ser solo wallets fríos para operaciones ocasionales, y asumen funciones de pago, autorización, interacción y liquidación. En este contexto, la hipótesis de que «cada firma representa una decisión completamente racional» se vuelve cada vez más difícil de sostener.

Desde esta perspectiva, la razón por la cual la dirección tóxica sigue siendo efectiva no es porque los atacantes sean más inteligentes, sino porque el modelo de cuenta no tiene mecanismos de amortiguación ante errores humanos: el sistema no pregunta si se trata de un objeto nunca antes interactuado, ni evalúa si la cantidad se desvía significativamente del comportamiento histórico, ni activa confirmaciones adicionales ante operaciones anómalas. Para la EOA, mientras la firma sea válida, la transacción debe ejecutarse.

De hecho, los sistemas financieros tradicionales ya han dado respuestas: límites de transferencia, períodos de enfriamiento, congelación ante anomalías, permisos jerárquicos y autorizaciones revocables, en esencia, reconocen una realidad simple pero concreta: los humanos no siempre son racionales, y el diseño de cuentas debe dejar espacio para errores.

En este contexto, la Account Abstraction (AA) empieza a mostrar su verdadera posición histórica. Es más que una actualización técnica de las cuentas; es una redefinición del concepto mismo de cuenta, que busca transformar la cuenta de una herramienta pasiva de firma en un sujeto capaz de gestionar intenciones.

El núcleo está en que, bajo AA, la cuenta ya no se reduce a una sola clave privada. Puede tener múltiples caminos de verificación, establecer permisos diferenciados para distintos tipos de operaciones, retrasar ejecuciones ante comportamientos anómalos e incluso recuperar control bajo ciertas condiciones.

Esto no es una desviación del espíritu de descentralización, sino una corrección para su sostenibilidad. La autogestión real no implica que el usuario deba asumir las consecuencias de un error de forma permanente, sino que, sin depender de custodios centralizados, la cuenta misma tenga capacidades de autocorrección y protección.

III. La evolución de las cuentas, ¿qué puede aportar a Web3?

He reiterado varias veces: «Detrás de cada estafa exitosa, hay un usuario que deja de usar Web3, y sin nuevos usuarios, el ecosistema no tiene dónde ir».

Desde esta perspectiva, ni las instituciones de seguridad, ni los productos de wallets, ni otros actores del sector pueden seguir considerando los errores del usuario como negligencias individuales. La responsabilidad sistémica de hacer que todo el sistema de cuentas sea seguro, comprensible y tolerante en escenarios reales debe ser asumida.

Por eso, el papel histórico de AA radica precisamente en esto. En pocas palabras, AA no solo es una actualización técnica de las cuentas, sino un ajuste institucional en la lógica de seguridad.

Este cambio se refleja primero en la flexibilización de la relación entre cuentas y claves privadas. Durante mucho tiempo, las frases mnemónicas fueron vistas como la credencial principal para la autogestión en Web3, pero la realidad ha demostrado que este método de gestión de claves de punto único no es amigable para la mayoría de los usuarios comunes. AA, mediante mecanismos como la recuperación social, permite que la cuenta no dependa de una sola clave privada. Los usuarios pueden establecer múltiples guardianes confiables, y en caso de pérdida de dispositivo o clave, verificar con estos para recuperar el control.

Incluso, cuando AA se combina con Passkey, se puede construir una experiencia que se asemeje más a la intuición de seguridad en los sistemas financieros tradicionales (lectura adicional: «Web3 sin frases mnemónicas: AA × Passkey, ¿cómo definir la próxima década de Crypto?»).

Igualmente importante es la reconfiguración de la fricción en las transacciones. En el sistema EOA tradicional, las tarifas de gas constituyen una barrera oculta para todas las operaciones en la cadena. AA, mediante mecanismos como Paymaster, permite que terceros paguen las tarifas o que se usen stablecoins para el pago.

Esto significa que los usuarios ya no necesitan preparar un pequeño saldo en tokens nativos para realizar transferencias, ni entender complejidades del gas. La experiencia de gas sin sensación de costo no es solo un lujo, sino una condición clave para que Web3 pueda salir del círculo de usuarios iniciales.

Además, las cuentas AA, gracias a la capacidad nativa de los contratos inteligentes, pueden empaquetar múltiples pasos en una sola ejecución atómica. Por ejemplo, en un intercambio descentralizado (DEX), antes se requerían varias transacciones: autorización, firma, ejecución, firma adicional. Con AA, estos pasos pueden consolidarse en una sola transacción, que si falla, no se ejecuta ninguna, ahorrando costos y evitando pérdidas por fallos intermedios.

Un cambio aún más profundo es la plasticidad en los permisos de la cuenta. La cuenta AA ya no es una estructura binaria de «control total o control totalmente perdido», sino que puede gestionar permisos finos, como límites de monto, objetos autorizados, listas blancas y negras, restringiendo la interacción solo con contratos seguros.

Esto significa que, incluso en casos extremos donde la clave privada se vea comprometida, la cuenta puede tener un margen de protección para evitar que los activos se vacíen en poco tiempo.

Por supuesto, la evolución en la seguridad de las cuentas no depende únicamente de la adopción total de AA. Las wallets existentes también pueden y deben asumir parte de la corrección del modelo EOA.

Por ejemplo, imToken, mediante su función de «Direcciones frecuentes», permite guardar direcciones confiables, de modo que al realizar transferencias, el usuario no dependa solo de verificar manualmente una cadena de caracteres, sino que pueda seleccionar de una lista predefinida, reduciendo riesgos de errores.

Igualmente importante es el principio de «Lo que ves, es lo que firmas» (What You See Is What You Sign). Su núcleo no es mostrar más información, sino garantizar que lo que el usuario firma sea exactamente lo que ve y entiende, en lugar de un hash incomprensible.

Con base en este principio, imToken estructura y presenta de forma legible los contenidos de las firmas en login a DApps, transferencias, intercambios y autorizaciones, permitiendo que el usuario comprenda realmente qué está aceptando antes de firmar. Esto no altera la irreversibilidad de la transacción, pero introduce una capa de racionalidad previa, un paso imprescindible en la maduración del sistema de cuentas.

Desde una perspectiva más amplia, la evolución de las cuentas AA está redefiniendo las bases para la próxima etapa de Web3. Solo si las cuentas pueden soportar un volumen real de usuarios, con seguridad, comprensión y tolerancia, Web3 podrá dejar de ser solo un experimento para entusiastas y convertirse en una infraestructura financiera inclusiva para todos.

No es casualidad que AA no sea solo un plus, sino una línea de pase. Lo que decide no es solo la experiencia, sino si Web3 puede evolucionar desde un sistema de nicho, dominado por tecnófilos, a una infraestructura financiera accesible para un público más amplio.

Para terminar

3,35 mil millones de dólares, en esencia, es la matrícula que toda la industria pagó en 2025.

Esto también nos recuerda que, cuando la industria discuta regulación, interfaces institucionales y entrada de capital mainstream, si las cuentas en Web3 siguen en el estado de «firmar/autorización y listo», la infraestructura financiera será solo una construcción en la arena.

El problema real quizás no sea si AA será o no la corriente principal, sino: si las cuentas no evolucionan, ¿cuánto más podrá soportar Web3 en el futuro?

Quizás esa sea la lección de seguridad más valiosa que deja 2025 para toda la industria.