Técnico

DeFi (Finanzas Descentralizadas)

Ecosistema de servicios financieros construido sobre blockchain que opera sin intermediarios bancarios tradicionales. En peritaje forense, los protocolos DeFi presentan desafíos únicos: smart contracts explotados, rug pulls en pools de liquidez y lavado de dinero mediante bridges cross-chain requieren análisis on-chain especializado.

12 min de lectura

DeFi (Finanzas Descentralizadas)

$3.800 millones. Esa fue la cantidad robada de protocolos DeFi solo en 2022, el año récord según Chainalysis. En 2024, los hackeos DeFi siguieron representando $1.100 millones en pérdidas globales, a pesar de las mejoras en auditorías de smart contracts. En España, la CNMV ha emitido advertencias sobre más de 85 plataformas DeFi no registradas que operan dirigidas a inversores españoles, muchas de ellas directamente fraudulentas. Para un perito informático forense, cada protocolo DeFi explotado deja un rastro inmutable en la blockchain: transacciones, contratos desplegados, pools de liquidez vaciados y bridges utilizados para mover fondos entre cadenas.

Definición técnica

DeFi (Decentralized Finance, finanzas descentralizadas) es un ecosistema de aplicaciones financieras construido sobre redes blockchain, principalmente Ethereum, que replica servicios bancarios tradicionales (préstamos, intercambio de divisas, ahorro, seguros) sin intermediarios centralizados. Todo funciona mediante smart contracts: código autoejecutado que define las reglas de cada operación financiera.

Componentes principales del ecosistema DeFi:

  • DEX (Exchanges descentralizados): Plataformas de intercambio sin custodia central. Uniswap, PancakeSwap, SushiSwap permiten intercambiar tokens directamente entre usuarios mediante pools de liquidez automatizados (AMM).
  • Protocolos de lending/borrowing: Aave, Compound y MakerDAO permiten prestar y pedir prestado criptoactivos usando colateral on-chain.
  • Yield farming: Estrategia donde usuarios aportan liquidez a protocolos a cambio de recompensas en tokens, frecuentemente con APY que superan el 100%.
  • Pools de liquidez: Reservas de pares de tokens bloqueados en smart contracts que facilitan los intercambios en DEX.
  • Bridges cross-chain: Protocolos que transfieren activos entre blockchains diferentes (Ethereum a BSC, Arbitrum, Polygon, etc.).
  • Stablecoins DeFi: Tokens algorítmicos vinculados al precio del dólar (DAI, FRAX) gestionados por smart contracts.

Valor total bloqueado (TVL): Según DeFi Llama, el TVL global en DeFi alcanzó $90.000 millones en enero 2025, tras recuperarse del colapso de 2022.

Riesgo forense clave

A diferencia de las finanzas tradicionales, en DeFi no existe un banco central, una entidad reguladora ni un servicio de atención al cliente. Cuando un smart contract es explotado, no hay botón de “deshacer”. La única vía de recuperación es el análisis forense on-chain combinado con acción judicial.

Tipos de fraude DeFi

1. Rug pulls (retiro de liquidez)

El desarrollador crea un token, atrae inversores a un pool de liquidez en un DEX y retira toda la liquidez de golpe, colapsando el precio del token a cero. Según Chainalysis, los rug pulls representaron $2.800 millones en pérdidas en 2021, con el 87% de los casos ejecutados en Binance Smart Chain.

2. Flash loan attacks (ataques de préstamo flash)

Los préstamos flash permiten pedir prestadas cantidades enormes sin colateral, siempre que se devuelvan en la misma transacción. Los atacantes los utilizan para manipular precios en pools de liquidez, drenar fondos de protocolos vulnerables y arbitrar diferencias artificiales de precio. El ataque a Euler Finance en marzo de 2023 explotó este vector, robando $197 millones.

3. Manipulación de oráculos

Los protocolos DeFi dependen de oráculos (Chainlink, Band Protocol) para obtener precios de activos externos. Si un atacante manipula el feed de precios de un oráculo, puede ejecutar operaciones a precios falsos y drenar fondos del protocolo. El hackeo de Mango Markets ($114 millones) en octubre de 2022 utilizó esta técnica.

4. Front-running y MEV

MEV (Maximal Extractable Value) permite a validadores y bots reordenar transacciones en el mempool para beneficio propio. Un bot detecta una transacción de compra grande pendiente, coloca su propia compra antes (front-running) y vende justo después (sandwich attack), extrayendo valor del usuario original.

5. Honeypot tokens

Tokens diseñados para que cualquiera pueda comprar pero solo el creador pueda vender. El smart contract incluye funciones ocultas que bloquean las transferencias de todos los holders excepto el deployer.

6. Exploits en bridges cross-chain

Los bridges son puntos de vulnerabilidad críticos. El hackeo de Ronin Bridge (Axie Infinity) en 2022 resultó en $625 millones robados, el mayor exploit DeFi de la historia. El atacante comprometió 5 de los 9 validadores del bridge para aprobar retiros fraudulentos.

Análisis forense de fraudes DeFi

  1. Análisis del smart contract: Examinar el código fuente verificado en Etherscan/BSCScan. Identificar funciones privilegiadas (onlyOwner, mint, pause, emergencyWithdraw), puertas traseras y lógica de acceso oculta. Si el código no está verificado, decompilar el bytecode con herramientas como Heimdall o Dedaub.

  2. Reconstrucción del grafo de transacciones: Mapear cronológicamente todas las transacciones del contrato: despliegue, adición de liquidez, transacciones de usuarios, y la transacción de explotación. Identificar la secuencia exacta de operaciones que ejecutó el ataque.

  3. Identificación de la wallet del deployer: La dirección que desplegó el smart contract es el punto de partida. Rastrear su historial previo: otros contratos desplegados, fuentes de financiación del gas, patrones de actividad.

  4. Análisis de eventos de liquidez: Documentar cuándo se añadió liquidez al pool, cuánto creció, y el momento exacto de la retirada. Los timestamps on-chain son inmutables y sirven como evidencia judicial.

  5. Trazabilidad cross-chain: Seguir fondos a través de bridges (Multichain, Wormhole, cBridge). Cada bridge deja registro tanto en la cadena de origen como en la de destino, creando un hilo de trazabilidad que un perito puede documentar.

  6. Destino final de fondos: Determinar si los fondos llegaron a un CEX (exchange centralizado con KYC), un mixer (Tornado Cash), una privacy chain (Monero) o siguen en wallets intermedias.

Herramientas forenses para DeFi

HerramientaTipoUso forense
Chainalysis ReactorComercialTrazabilidad end-to-end, clustering de wallets, identificación de exchanges destino
Etherscan / BSCScanGratuitoExploración de transacciones, lectura de código fuente verificado, eventos de contratos
Dune AnalyticsFreemiumConsultas SQL sobre datos on-chain, dashboards de protocolos DeFi
TenderlyFreemiumDebugging de transacciones paso a paso, simulación de smart contracts
SlitherOpen sourceAnálisis estático de contratos Solidity, detección de vulnerabilidades
DeFi LlamaGratuitoMonitorización TVL de protocolos, detección de caídas bruscas de liquidez
Herramienta clave: Tenderly

Tenderly permite “reproducir” una transacción de explotación instrucción por instrucción, mostrando exactamente cómo el atacante manipuló el smart contract. Esta capacidad de debugging es fundamental para documentar el modus operandi en un informe pericial.

Caso práctico: rug pull en BSC con bridge a Ethereum

Nota: El siguiente caso está basado en investigaciones forenses reales. Los datos específicos (nombres, cantidades exactas, direcciones de wallets) han sido anonimizados y compuestos para proteger la confidencialidad de los afectados, preservando los aspectos técnicos relevantes para fines educativos.

Contexto: 180 inversores españoles pierden un total de €200.000 en un token lanzado en Binance Smart Chain que prometía rendimientos del 300% APY en farming.

Cronología del fraude:

Día 1: Despliegue del token "YieldMax" en BSC
  - Smart contract NO verificado en BSCScan
  - Deployer wallet financiada desde exchange sin KYC
  - Pool de liquidez creado en PancakeSwap: 200 BNB ($60K)

Día 1-10: Captación de inversores
  - Marketing agresivo: Telegram, Twitter, influencers pagados
  - Pool crece: 200 BNB → 670 BNB (€200K)
  - Precio del token sube 580%

Día 11 (03:12 AM): Ejecución del rug pull
  - Deployer llama función removeLiquidity()
  - 670 BNB retirados del pool en una transacción
  - Precio del token colapsa a $0 en 4 minutos

Análisis forense realizado:

Fase 1: Trazabilidad inmediata
  Wallet deployer (BSC): 0xAb3f...
    ↓ 670 BNB
  Bridge BSC → Ethereum (vía Multichain)
    ↓ Conversión: 670 BNB → 268 ETH

Fase 2: Intento de ofuscación
  Wallet intermedia Ethereum: 0x7C2d...
    ↓ 168 ETH → Tornado Cash (mixing)
    ↓ 100 ETH → Exchange centralizado (Kraken)

Fase 3: Punto de recuperación
  Kraken: 100 ETH depositados en cuenta con KYC
  → Solicitud judicial urgente de congelación
  → Kraken coopera: fondos bloqueados en 14 horas

Resultado:
  ✅ Recuperados: 100 ETH (€95K, 47.5% del total)
  ❌ Irrecuperables: 168 ETH mezclados en Tornado Cash
  ❌ Fees y slippage del bridge: ~2 ETH

Evidencia pericial documentada: hash de la transacción de despliegue, hash del rug pull, logs del bridge cross-chain, timestamps inmutables y registros de Kraken vinculando la cuenta con una identidad real.

Reglamento MiCA (UE)

El Reglamento (UE) 2023/1114 sobre Mercados de Criptoactivos (MiCA), en vigor desde junio de 2023 con aplicación plena desde diciembre de 2024, establece por primera vez un marco regulatorio para criptoactivos en la UE. Sin embargo, los protocolos DeFi verdaderamente descentralizados (sin entidad emisora identificable) quedan en un área gris regulatoria que la Comisión Europea está evaluando.

Posición de la CNMV

La CNMV ha publicado múltiples advertencias sobre plataformas DeFi que operan sin registro. En su comunicado de febrero de 2024, la CNMV advirtió que ofrecer servicios de inversión mediante protocolos DeFi dirigidos a inversores españoles puede constituir actividad regulada aunque el protocolo sea descentralizado.

Código Penal español

  • Art. 248-251 CP (estafa): Los rug pulls encajan en el tipo penal de estafa. El “engaño bastante” se materializa en las promesas de rentabilidad y la ocultación de funciones maliciosas en el smart contract. Penas de 1 a 6 años si la cuantía supera €50.000 o hay pluralidad de víctimas.
  • Art. 301 CP (blanqueo de capitales): El uso de mixers y bridges para ocultar el origen de fondos robados constituye blanqueo. Pena de 6 meses a 6 años.
  • Art. 264 CP (daños informáticos): La explotación de vulnerabilidades en smart contracts puede tipificarse como daño informático.

Desafío jurisdiccional

La naturaleza descentralizada de DeFi plantea un problema fundamental: si no hay entidad central, no hay persona jurídica a la que demandar, no hay servidor que embargar y no hay jurisdicción clara. El perito forense aporta valor identificando las personas físicas detrás de las wallets deployer mediante trazabilidad on-chain hasta exchanges con KYC.

Recuperación de fondos DeFi

Cuándo es posible la recuperación

  • Fondos enviados a exchange centralizado (CEX): Si los fondos robados llegan a Binance, Coinbase, Kraken u otro exchange regulado con KYC, es posible solicitar judicialmente la congelación y recuperación. Tasa de éxito: 40-60% si se actúa en las primeras 48 horas.
  • Fondos aún en wallets intermedias: Si el atacante no ha movido los fondos, una orden judicial puede presionar a la comunidad y al propio atacante. Algunos exploiters han devuelto fondos voluntariamente tras ser identificados (caso Euler Finance: $197M devueltos).

Cuándo la recuperación es difícil o imposible

  • Fondos enviados a mixers: Tornado Cash, Railgun u otros servicios de mixing rompen la cadena de trazabilidad. Probabilidad de recuperación inferior al 5%.
  • Fondos convertidos a privacy coins: Monero (XMR) o Zcash con shielded transactions hacen prácticamente imposible el rastreo posterior.
  • Exchanges sin KYC o en jurisdicciones no cooperantes: Si los fondos llegan a exchanges que no verifican identidad o ubicados en países sin acuerdos de cooperación judicial, la recuperación se complica enormemente.

Papel del perito forense

  1. Informe pericial urgente: Documentar la trazabilidad completa de los fondos en las primeras 24-48 horas, antes de que el atacante utilice mixers.

  2. Colaboración con exchanges: Proporcionar evidencia técnica (hashes de transacciones, direcciones vinculadas al fraude) para que los exchanges congelen fondos de forma preventiva.

  3. Ratificación judicial: Presentar y defender el informe pericial ante el juzgado, explicando la metodología de trazabilidad blockchain de forma comprensible para un juez.

  4. Cooperación internacional: Coordinación con Europol/Eurojust cuando los fondos cruzan jurisdicciones, aportando evidencia on-chain admisible en múltiples países.

FAQ

P: ¿Se pueden recuperar fondos robados en protocolos DeFi? R: Depende de a dónde se muevan los fondos. Si llegan a un exchange centralizado con KYC (Binance, Coinbase, Kraken), la recuperación judicial es viable actuando en las primeras 48 horas. Si pasan por mixers como Tornado Cash o se convierten a privacy coins, la probabilidad cae por debajo del 5%.

P: ¿Es legal usar DeFi en España? R: Sí, utilizar protocolos DeFi es legal en España. Sin embargo, las ganancias están sujetas a tributación (IRPF entre 19-28% sobre plusvalías). Lo que es ilegal es ofrecer servicios de inversión regulados sin registro en CNMV, y por supuesto cualquier modalidad de fraude.

P: ¿Cómo analiza un perito forense un rug pull DeFi? R: El perito examina el smart contract (código fuente o bytecode decompilado), reconstruye cronológicamente todas las transacciones on-chain, traza los fondos desde el pool de liquidez hasta su destino final y documenta la evidencia con hashes inmutables y timestamps verificables.

P: ¿Qué diferencia hay entre un hackeo DeFi y un rug pull? R: Un hackeo lo ejecuta un atacante externo explotando una vulnerabilidad del smart contract. Un rug pull lo ejecutan los propios desarrolladores del proyecto, que diseñaron el fraude desde el principio. La distinción es clave penalmente: el hackeo es un delito informático (art. 264 CP) mientras que el rug pull es estafa (art. 248-251 CP).

P: ¿MiCA regula los protocolos DeFi? R: MiCA (Reglamento UE 2023/1114) no regula directamente los protocolos DeFi verdaderamente descentralizados. Sin embargo, la Comisión Europea ha anunciado que publicará un informe específico sobre DeFi evaluando la necesidad de regulación adicional. Los protocolos con gobernanza centralizada sí podrían caer bajo MiCA.

Referencias y Fuentes

  1. Chainalysis. (2023). “The 2023 Crypto Crime Report: DeFi Hacking”. chainalysis.com — $3.8B robados de protocolos DeFi en 2022, récord histórico.

  2. Chainalysis. (2025). “The 2025 Crypto Crime Report”. chainalysis.com — Análisis de tendencias en hackeos DeFi 2024: $1.1B en pérdidas, descenso respecto a 2022 pero aún significativo.

  3. Immunefi. (2025). “Crypto Losses 2024 Report”. immunefi.com — Informe anual de vulnerabilidades DeFi, con desglose de vectores de ataque (flash loans, oracle manipulation, reentrancy).

  4. CNMV. (2024). “Advertencias sobre plataformas de criptoactivos no registradas”. cnmv.es — Lista actualizada de plataformas no autorizadas que operan en España.

  5. Parlamento Europeo. (2023). “Reglamento (UE) 2023/1114 relativo a los mercados de criptoactivos (MiCA)”. eur-lex.europa.eu — Texto completo del reglamento MiCA.

  6. DeFi Llama. (2025). “DeFi TVL Dashboard”. defillama.com — Datos en tiempo real del valor total bloqueado en protocolos DeFi.

  7. Elliptic. (2024). “DeFi: Risk, Regulation and the Rise of DeCrime”. elliptic.co — Análisis de riesgos regulatorios y criminales en el ecosistema DeFi.

  8. Europol. (2024). “Internet Organised Crime Threat Assessment (IOCTA) 2024”. europol.europa.eu — Evaluación de amenazas cibercriminales incluyendo fraudes DeFi.

  9. SlowMist. (2025). “Blockchain Security and AML Analysis Annual Report 2024”. slowmist.com — Análisis técnico de los principales exploits DeFi del año con desgloses de vectores de ataque.

  10. Rekt News. (2025). “DeFi Exploits Leaderboard”. rekt.news/leaderboard — Ranking actualizado de los mayores hackeos y exploits DeFi por cantidad robada.

  11. Código Penal español. Arts. 248-251 (estafa), 264 (daños informáticos), 301 (blanqueo de capitales). boe.es

Última actualización: 10 Febrero 2026 Categoría: Técnico Nivel técnico: Avanzado Relevancia forense: MUY ALTA (protocolo DeFi como escenario de fraude cripto principal)

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp