Incidente de seguridad en Polymarket: una vulnerabilidad de un proveedor externo expone cuentas de usuarios

La herramienta de inicio de sesión de terceros que se convirtió en la puerta de entrada para los hackers

La plataforma de mercados de predicción Polymarket confirmó el 24 de diciembre de 2025 que una vulnerabilidad de seguridad en un servicio de autenticación externo permitió a atacantes acceder y vaciar cuentas de usuarios. Este incidente supone una exposición crítica en el panorama de riesgos de seguridad de los mercados de predicción, afectando a quienes utilizaban mecanismos de acceso por correo electrónico, en vez de conexiones directas de monedero. El caso resalta una vulnerabilidad fundamental en las plataformas de finanzas descentralizadas que integran proveedores de autenticación externos sin protocolos de aislamiento adecuados.

El sistema de autenticación comprometido, que los afectados señalaron ampliamente como relacionado con Magic Labs, opera flujos de acceso por correo electrónico tipo "magic link" y genera monederos Ethereum no custodiales. Los usuarios que crearon cuentas a través de este sistema detectaron múltiples intentos de acceso no autorizado, seguidos del vaciado completo de sus activos. Varios usuarios notificaron haber recibido alertas de intentos de inicio de sesión en redes sociales antes de observar que sus saldos en USDC se habían reducido al mínimo. La vulnerabilidad permaneció activa el tiempo suficiente para que los atacantes identificaran y explotaran sistemáticamente las cuentas afectadas en la plataforma. El protocolo principal de Polymarket se mantuvo seguro durante todo el incidente; la brecha se limitó a la capa de autenticación de terceros. Esta diferencia es clave para comprender las vulnerabilidades en plataformas de mercados de predicción, ya que demuestra que incluso sistemas descentralizados pueden sufrir graves compromisos de seguridad por dependencias centralizadas. Los usuarios afectados experimentaron patrones de compromiso consistentes, todos originados en el mismo método de autenticación, lo que permitió a los investigadores de seguridad y la plataforma identificar rápidamente el vector de ataque específico.

Cómo los atacantes explotaron la vulnerabilidad de Polymarket para vaciar cuentas de usuario

Los atacantes aprovecharon la vulnerabilidad de autenticación de terceros mediante un proceso de explotación en varias fases que logró eludir las protecciones de seguridad estándar. La debilidad en el sistema de inicio de sesión por correo electrónico permitió a los atacantes acceder de forma no autorizada a cuentas de usuario sin activar mecanismos de detección de fraude completos. Los usuarios informaron de notificaciones secuenciales de acceso, lo que sugiere que los atacantes emplearon el robo de credenciales o la interceptación de tokens de autenticación para obtener el acceso inicial. Tras el acceso no autorizado, ejecutaron transferencias de activos con mínima resistencia, vaciando los saldos en USDC directamente desde los monederos asociados a las cuentas de currently Polymarket.

El mecanismo técnico de este ataque pone de relieve debilidades críticas en la implementación de autenticación de terceros de Polymarket. El sistema "magic link", diseñado para facilitar la experiencia del usuario, abrió una vía para que los atacantes eludieran la autenticación multifactor en ciertas configuraciones. Un usuario afectado documentó la recepción de notificaciones de autenticación en dos pasos por correo electrónico durante el acceso no autorizado, lo que indica que los atacantes tenían privilegios suficientes para saltar las capas de verificación estándar. Los fondos se movieron a través de múltiples direcciones de criptomonedas en rápida sucesión, y el análisis on-chain demostró que los activos robados fueron divididos y blanqueados inmediatamente a través de distintos monederos para ocultar su origen. La rapidez de estas operaciones—realizadas minutos después del compromiso de la cuenta—sugiere que los atacantes actuaron con procesos automáticos y previamente definidos, no mediante transferencias manuales. Este grado de sofisticación operativa revela una campaña de ataque organizada y dirigida específicamente a vulnerabilidades de plataformas de mercados de predicción, más que a tomas de cuentas oportunistas. La ausencia de señales claras de aprobación para transferencias muestra que la vulnerabilidad de autenticación permitió el acceso completo a las cuentas, habilitando a los atacantes a operar como si fuesen los titulares legítimos. La investigación de Polymarket confirmó que la vulnerabilidad se hallaba exclusivamente en la infraestructura del proveedor externo, no en los sistemas centrales o la lógica de contratos de la plataforma.

Fallos críticos de seguridad: qué salió mal y qué pasaron por alto los usuarios

Varios fallos de seguridad acumulados facilitaron que este incidente afectara a las cuentas de usuario. Polymarket no estableció una supervisión ni segmentación adecuadas sobre los servicios de autenticación de terceros, lo que permitió que la vulnerabilidad se mantuviera explotable durante un periodo prolongado antes de ser detectada. La plataforma no implementó una separación suficiente entre los sistemas de autenticación y los mecanismos de transferencia de activos, de modo que una brecha en una capa implicó pérdidas directas de fondos de usuario. Además, los protocolos de respuesta ante incidentes de Polymarket resultaron poco claros en cuanto a notificación de usuarios, proceso de recuperación de cuentas y mecanismos de compensación durante el incidente de seguridad.

Los propios usuarios pasaron por alto señales de advertencia clave que podrían haber evitado o limitado las pérdidas. Varios afectados reconocieron haber recibido notificaciones de intentos de acceso, pero no cambiaron sus credenciales ni activaron capas adicionales de seguridad. Algunos confiaron únicamente en la autenticación en dos pasos por correo electrónico, ignorando que dicha capa podía ser vulnerada si el servicio base estaba comprometido. Quienes crearon cuentas a través de servicios de terceros sin mantener control directo del monedero sobre sus activos asumieron riesgos de custodia innecesarios asociados al acceso por correo electrónico. La recomendación habitual de la comunidad de utilizar conexiones directas con hardware wallets o soluciones de custodia reconocidas fue poco seguida entre los afectados, que priorizaron la comodidad sobre la seguridad. Muchos operadores en mercados de predicción gestionan múltiples posiciones y cuentas a alta velocidad, a veces descuidando las implicaciones de seguridad de los métodos de acceso utilizados. El incidente demuestra que incluso inversores en criptomonedas técnicamente avanzados pueden pasar por alto principios de seguridad básicos cuando se centran en la operativa de trading y no en la protección de sus cuentas.

Acciones inmediatas para proteger tus criptoactivos en mercados de predicción

Quienes invierten en criptomonedas y operan en mercados de predicción deben aplicar de inmediato medidas de seguridad para proteger sus activos y evitar accesos no autorizados. El primer paso esencial es abandonar los sistemas de autenticación basados en correo electrónico. Si tienes cuentas en estas plataformas, utiliza conexiones directas de monedero mediante hardware wallets como Ledger o Trezor y evita depender de servicios de autenticación intermediarios. Este tipo de conexión elimina la superficie de ataque que representan los proveedores externos. Si aún no puedes migrar desde una cuenta basada en correo electrónico, activa todas las funciones de seguridad posibles, especialmente la autenticación en dos pasos con aplicaciones autenticadoras (no SMS ni correo electrónico), ya que la autenticación por email puede ser vulnerada por la misma debilidad que permitió este ataque.

Realiza una auditoría completa de la actividad de tus cuentas de trading en todos los mercados de predicción, revisando transacciones no autorizadas, cierres de posiciones o movimientos de activos que no hayas iniciado tú mismo. Consulta el historial de transacciones y verifica que cada operación, ingreso y retirada corresponde a acciones tuyas. Si detectas actividad no autorizada, contacta de inmediato con el equipo de seguridad de la plataforma y conserva todos los registros de transacciones para una posible recuperación o notificación regulatoria. Aplica restricciones por ubicación geográfica o dirección IP a tus cuentas si la plataforma lo permite, lo que dificulta el acceso desde otras ubicaciones incluso si los atacantes tienen credenciales válidas. Para cuentas con saldos elevados, traslada la mayor parte de los fondos a almacenamiento en frío o soluciones seguras de autocustodia entre sesiones de trading, usando las plataformas solo para el capital operativo. Polymarket y otros mercados deben considerarse interfaces de trading, no depósitos de activos. Revisa tus métodos de autenticación y credenciales periódicamente, cambia las contraseñas cada tres meses y tras incidentes de seguridad como el del 24 de diciembre de 2025. Establece sistemas de alerta en tu correo electrónico para notificarte sobre accesos o intentos de recuperación de cuenta, añadiendo así una capa extra de protección. Usa correos electrónicos exclusivos para plataformas cripto, separados de tu dirección principal, para reducir el alcance en caso de compromiso. Si empleas servicios como Gate para trading o gestión de cuentas, verifica que utilizan los métodos de autenticación más robustos y ofrecen transparencia sobre la gestión de datos. Mantente atento a redes sociales, foros y canales oficiales para actualizaciones de seguridad o avisos de vulnerabilidades, ya que la información a tiempo sobre riesgos en mercados de predicción puede guiar tus acciones y reforzar la seguridad de tus cuentas.