CertiK Audit: Un vistazo al interior del mayor auditor de seguridad Web3.
La frase "Auditado por CertiK" aparece en las páginas de inicio de los tokens como una pegatina de seguridad en la silla de coche de un niño. Se supone que significa: alguien lo ha comprobado, puedes estar tranquilo. CertiK es la empresa más importante en seguridad Web3, y para muchos inversores, este distintivo se ha convertido en sinónimo de "probablemente seguro". El problema es que varios proyectos que lo llevan han perdido millones. Entonces, ¿qué beneficios te aporta realmente una auditoría de CertiK? Este artículo explica qué es CertiK, cómo funcionan sus auditorías y su puntuación Skynet, en qué casos son útiles y cuándo este distintivo deja de tener tanta importancia.
Quién es CertiK y por qué domina la seguridad web3.
CertiK no inventó la auditoría de contratos inteligentes. La industrializó. La empresa transformó un proceso lento y artesanal, llevado a cabo por un puñado de criptógrafos, en una marca que un proyecto puede adquirir, exhibir y utilizar cuando los inversores preguntan si el código es seguro.
De un laboratorio de Yale a una empresa de 2.000 millones de dólares.
Dos profesores de informática la fundaron en 2018: Ronghui Gu de la Universidad de Columbia y Zhong Shao de Yale. La propuesta era académica, casi obstinadamente. Utilizar la verificación formal, un método matemático para demostrar que el software hace lo que afirma, para que el código blockchain fuera demostrablemente correcto en lugar de simplemente "probado". Una idea de nicho. Aun así, atrajo una importante inversión. En abril de 2022, CertiK había recaudado unos 88 millones de dólares con una valoración de 2.000 millones de dólares, según TechCrunch , con aportaciones de Goldman Sachs, Tiger Global, Sequoia y el Vision Fund de SoftBank. Nueve rondas de financiación, aproximadamente 296 millones de dólares en total. Nada mal para un par de académicos que comenzaron demostrando teoremas sobre compiladores.
Lo que realmente mide el "auditor más grande"
Las cifras principales de CertiK se centran en el volumen. Más de 6100 proyectos auditados. Más de 91 000 vulnerabilidades detectadas en esas auditorías de seguridad. Activos revisados por valor de más de 360 000 millones de dólares, con clientes como Aave, Polygon y BNB Chain en su lista. La magnitud es real. Pero ahí radica la trampa, porque ser "la más grande" se refiere a la cantidad de auditorías que realiza una empresa, no a la profundidad de cada una. Una fábrica que imprime más informes que nadie es impresionante, sin duda, pero volumen y rigor no son lo mismo, y la brecha entre ambos es donde reside la mayor parte de las críticas. He aquí la versión concreta de esa queja. CertiK revisa tantos proyectos que su nombre aparece tanto en un token meme desechable como en un protocolo serio, y un pase de dos días otorga la misma insignia que una revisión de varios meses. Los compradores rara vez distinguen entre uno y otro. Esa homogeneización es el verdadero problema de la insignia.
Cómo funciona realmente una auditoría CertiK, paso a paso.
Una auditoría de CertiK no es una sola cosa. Son dos capas superpuestas, y comprender la diferencia revela mucho sobre lo que el informe final puede y no puede prometer.
Verificación formal frente a revisión manual
La primera capa es la verificación formal. En lugar de ejecutar un contrato inteligente y observar lo que sucede, CertiK crea un modelo matemático del código y demuestra si ciertas propiedades se cumplen siempre, independientemente de la entrada. Su compilador DeepSEA existe para brindar soporte a esto. La verificación formal es poderosa para preguntas específicas, como "¿puede este saldo llegar a ser negativo?", pero solo comprueba las propiedades que alguien especificó.
La segunda fase es la revisión manual: ingenieros humanos leen el código línea por línea, buscando errores lógicos, suposiciones erróneas y fallos sutiles que un modelo no detectaría porque nadie le ha indicado que los revise. Aquí es donde se obtienen la mayoría de los hallazgos importantes. Dependiendo de la cantidad y complejidad del código, todo el proceso puede durar desde unas 48 horas para algo muy sencillo hasta varias semanas para un protocolo extenso.
Lectura del informe: "resuelto" vs. "reconocido"
El resultado final es un informe. Este informe clasifica cada vulnerabilidad según su gravedad (crítica, mayor, menor e informativa) y detalla las medidas que tomó el proyecto al respecto. Esta última columna es más importante de lo que se cree. Un hallazgo marcado como "resuelto" significa que el equipo lo corrigió y CertiK lo volvió a verificar. Un hallazgo marcado como "reconocido" significa que el equipo lo leyó, lo ignoró y lo lanzó de todos modos. Dos proyectos pueden tener la misma insignia, aunque uno haya corregido todas las vulnerabilidades y el otro haya ignorado las advertencias críticas. La insignia no los distingue. El informe sí. Por eso también importa la fecha del informe. El código se lanza y luego cambia; una auditoría de hace un año y diez actualizaciones describe un proyecto que puede que ya no exista en la cadena de bloques en la forma en que se revisó.
| Escenario | Lo que hace CertiK | Capturas | puntos ciegos |
|---|---|---|---|
| Verificación formal | Demuestra matemáticamente propiedades específicas del código. | Errores matemáticos y lógicos en las reglas definidas | Cualquier cosa que esté fuera de las propiedades especificadas |
| Revisión del manual | Los ingenieros leen el código a mano. | Errores lógicos, suposiciones erróneas, patrones de ataque conocidos | Sistemas fuera de la cadena, cambios de código posteriores a la auditoría |
| Informe y nueva auditoría | Enumera los hallazgos por gravedad y vuelve a comprobar las correcciones. | Si se abordaron los problemas | Si el equipo realmente implementó la versión corregida |
Skynet y la puntuación de seguridad CertiK Web3
Las auditorías son instantáneas puntuales. Skynet es el intento de CertiK de vender algo continuo: un panel de control en tiempo real que supervisa los proyectos después de su lanzamiento y asigna a cada uno una puntuación de seguridad. La empresa afirma que supervisa más de 20 000 proyectos en la cadena de bloques.
La puntuación combina varios factores. Analiza si un proyecto ha sido auditado, si su equipo superó la verificación KYC de CertiK (disponible en niveles oro, plata y bronce) y el comportamiento de los contratos. Skynet analiza el comportamiento de los contratos en la cadena de bloques mediante la monitorización en tiempo real y detecta anomalías a medida que se producen. Skynet también ejecuta alertas de monitorización en la cadena de bloques para detectar estafas de salida y exploits, además de clasificaciones que comparan los proyectos entre sí. Como primera impresión, la puntuación de Skynet es realmente útil. Es más rápida que leer un informe completo y señala señales de alerta evidentes. Sin embargo, también es un producto que CertiK vende, basado en parte en la información que CertiK proporciona, y una puntuación alta nunca ha sido garantía de que un proyecto sea seguro. Considérenla como un dato más, no como un veredicto. El historial lo demuestra. Algunos proyectos han mantenido puntuaciones respetables en Skynet hasta el momento en que fueron explotados o abandonados discretamente, porque una puntuación basada principalmente en el comportamiento pasado no puede prever un cambio malicioso. Indica que un proyecto aún no ha colapsado. No puede decirte que nunca lo hará.
Más allá de las auditorías: El resto del ecosistema de CertiK
La auditoría es el elemento principal, pero CertiK ofrece un conjunto de servicios más amplio. Las pruebas de penetración simulan ataques a monederos, exchanges y aplicaciones. Un programa de recompensas por detección de errores, sin comisiones para la plataforma, paga a hackers externos por encontrar vulnerabilidades antes que los delincuentes. Además, cuenta con KYC para identificar a los fundadores anónimos, SkyInsights para el cumplimiento normativo y la lucha contra el blanqueo de capitales que las empresas reguladas necesitan según MiCA y DORA, y SkyTrace para rastrear fondos robados a través de las cadenas de bloques una vez que se ha producido un problema. Ninguno de estos servicios sustituye a la auditoría. La complementan, y así es como un servicio puntual se convierte discretamente en una suscripción que cubre todo el ciclo de vida de un proyecto descentralizado.
Auditado y luego hackeado: Cuando los vectores de ataque se cuelan
Aquí está la parte que suelen omitir las explicaciones superficiales. Una auditoría es una instantánea de un código específico en un momento determinado. No es una garantía, y tratarla como tal es la razón por la que se pierde dinero en proyectos que, en teoría, parecían estar en orden.
Lo que no cubre una auditoría
Una auditoría de contrato inteligente revisa el contrato en sí. No verifica si los fundadores poseen una clave de administrador que les permita vaciar el fondo. No revisa el sitio web, los servidores ni las claves privadas que los respaldan. No verifica la versión del código que el equipo implementa después de la auditoría, que puede diferir de la revisada. Y no puede detener a un equipo que simplemente decide fugarse con el dinero. La mayoría de los vectores de ataque que vacían un proyecto no son errores en el contrato auditado, sino que se encuentran en las vulnerabilidades que lo rodean.
El caso Merlin DEX: señalado pero explotado.
Merlin DEX es el ejemplo más claro. CertiK lo auditó y la auditoría detectó el problema: los contratos del proyecto estaban peligrosamente centralizados, con acceso privilegiado que un empleado malintencionado podía aprovechar. En abril de 2023, se utilizó precisamente ese vector para sustraer aproximadamente 1,82 millones de dólares. La auditoría no se equivocó; identificó el riesgo. Pero la advertencia quedó en la columna de "reconocida" en lugar de la de "resuelta", y el exploit aprovechó la vulnerabilidad que el informe ya había señalado. Detectar el fallo fue la parte fácil. Actuar en consecuencia era responsabilidad del cliente, y el equipo de Merlin nunca lo hizo.
Si ampliamos la perspectiva, la tendencia resulta preocupante para todo el sector. Los informes Hack3d de CertiK muestran que las pérdidas aumentan, no disminuyen. La firma contabilizó alrededor de 2360 millones de dólares robados en 760 incidentes en 2024 , y luego cerca de 3350 millones de dólares en 630 incidentes en 2025 , un año inflado por la única filtración de Bybit de 1450 millones de dólares. Datos independientes de Chainalysis sitúan el robo de 2025 cerca de los 3400 millones de dólares, de los cuales aproximadamente 2020 millones estaban vinculados a grupos relacionados con Corea del Norte. Estos operadores se centran cada vez más en las personas y la infraestructura que rodean un contrato, en lugar del contrato en sí, que es precisamente el terreno que una auditoría no cubre. Un mayor número de auditorías no ha supuesto una disminución de la delincuencia.
| Año | Pérdidas reportadas | Incidentes | El mayor éxito individual |
|---|---|---|---|
| 2024 | 2.360 millones de dólares | 760 | — |
| 2025 | 3.350 millones de dólares | 630 | Bybit, 1.450 millones de dólares |
El incidente del Kraken y el problema de confianza de CertiK
Para una empresa que vende confianza, su propia conducta forma parte del producto. Dos episodios han hecho que esto resulte incómodo.
En junio de 2024, los investigadores de CertiK descubrieron una vulnerabilidad de día cero en la plataforma de intercambio Kraken y, en lugar de simplemente reportarla, la utilizaron para sustraer aproximadamente 3 millones de dólares de los sistemas de Kraken . CertiK lo presentó como una prueba de la gravedad del fallo. Kraken lo calificó de extorsión y afirmó que la empresa inicialmente se negó a devolver los fondos hasta que fue presionada. El dinero finalmente fue devuelto, pero el episodio tuvo una mala acogida: una empresa de seguridad explotando a un cliente a gran escala para dar un ejemplo. A principios de 2025, CertiK se disculpó por el trabajo relacionado con Huione, una operación camboyana posteriormente vinculada a complejos de trabajo forzoso. Nada de esto significa que las auditorías de CertiK carezcan de valor. Significa que una empresa que pide al mercado que confíe en su palabra ahora tiene que reconstruir parte de esa confianza, y lo está haciendo mientras, según se informa, se prepara para una eventual salida a bolsa con una valoración cercana a los 2 mil millones de dólares.
CertiK frente a otras empresas de seguridad Web3
CertiK es el nombre más conocido en seguridad blockchain, pero no el único, y para muchos proyectos no es la opción obvia. El mercado de auditoría se divide, a grandes rasgos, en grandes empresas y firmas especializadas. Las firmas especializadas aceptan menos clientes y tienden a profundizar más, y muchas establecen sus propios estándares de seguridad que superan la capacidad de una empresa de gran volumen. Los protocolos que manejan grandes sumas de dinero a menudo solicitan una segunda opinión a una de estas firmas precisamente por eso. Escala y profundidad no son lo mismo, y la elección correcta depende de la etapa de desarrollo y el presupuesto. Los precios reflejan esa diferencia: una auditoría de un token pequeño puede costar unos pocos miles de dólares, mientras que una revisión completa de un protocolo complejo puede alcanzar cifras de seis dígitos.
| Firme | Enfocar | Conocido por | Modelo |
|---|---|---|---|
| CertiK | Seguridad de la Web3 en general | Volumen, Skynet, reconocimiento de marca | Escala |
| Rastro de fragmentos | Seguridad de alta fiabilidad | Revisión manual profunda, investigación | Boutique |
| OpenZeppelin | Seguridad de los contratos inteligentes | Bibliotecas de contratos ampliamente utilizadas | Boutique |
| Halborn | Blockchain y seguridad de infraestructura | Pruebas de penetración, exploits avanzados | Tamaño mediano |
| Hacken | Auditorías y monitorización de Web3 | Auditorías rentables | Tamaño mediano |
Cómo leer la insignia "Auditado por CertiK"
Así que ves "Auditado por CertiK" en un proyecto. Antes de confiar en él, abre el informe y verifica cinco cosas. Primero, el alcance: ¿qué contratos se revisaron y la parte que contiene tu dinero es uno de ellos? Segundo, la fecha y el hash de confirmación, y compáralos con el código que está en producción, ya que a menudo difieren. Tercero, los hallazgos: ¿cuántos fueron críticos y se resolvieron o simplemente se reconocieron? Cuarto, si la versión auditada es la versión implementada. Quinto, no te fíes solo de la puntuación de Skynet; es un resumen, no el documento completo.
Una breve aclaración sobre los símbolos bursátiles, ya que suelen confundirse. CertiK es una empresa privada y no tiene acciones. CTK es el token de la cadena Shentu, una red de prueba de participación independiente vinculada a los inicios del proyecto de CertiK. Comprar CTK no implica adquirir una participación en el negocio de auditoría. Si buscabas acciones de CertiK, aún no existen.
¿Cuánto vale realmente una auditoría CertiK?
¿Vale la pena una auditoría de CertiK? Sí, dentro de ciertos límites. Establece un estándar mínimo. Elimina el código deficiente, identifica los riesgos reales y proporciona a un equipo serio una lista de tareas pendientes. Sin embargo, no garantiza la integridad de las personas. No asegura que el código implementado coincida con la revisión, ni que se haya resuelto algún riesgo detectado. Considera la insignia como el inicio de tu diligencia, no como el final. Así que la próxima vez que veas "Auditado por CertiK", haz lo que casi nadie hace: abre el informe y lee la columna que indica qué se corrigió. ¿Y si el proyecto no te muestra el informe? Esa reticencia es la respuesta. Una insignia que no puedes verificar es solo un logotipo.
