Polymarket desestima las afirmaciones de 'tonterías' sobre una brecha de datos por parte de un vendedor de la web oscura

Polymarket ha rechazado las afirmaciones de una brecha de datos masiva por parte de un vendedor de la web oscura, calificando los informes de “tonterías.” El actor de amenazas que usa el alias “xorcat” afirmó haber filtrado una base de datos que afecta a más de 300K registros y un Kit de Explotación, que contiene aproximadamente 1GB de registros (nombres, seudónimos y direcciones de billeteras).

El atacante, que afirmó haber filtrado los datos de Polymarket en un foro popular de ciberdelincuencia, explicó que los datos fueron extraídos mediante endpoints de API no documentados, una omisión en la paginación y una mala configuración de CORS en las APIs Gamma y CLOB de Polymarket. El paquete también incluía un script de volcado automático y POCs funcionales para múltiples CVEs.

Específicamente, los datos extraídos incluían 10,000 perfiles de usuario únicos con información personal completa (nombre, seudónimo, biografía, imagen de perfil, billetera proxy y dirección base), y más de 4,111 comentarios con objetos de perfil adjuntos.

El atacante también proporcionó scripts de prueba de concepto y afirmó que los datos incluían 1,000 registros de informes que contenían 58 direcciones ETH únicas y un indicador de dirección de autenticación de administrador, así como más de 48,000 mercados gamma con metadatos completos, IDs de condición y IDs de token.

Además, había más de 250,000 mercados activos en CLOB con direcciones FPMM, y más de 292 eventos con direcciones ETH de remitentes/resolutores y nombres de usuario internos. La filtración también incluía 100 configuraciones de recompensas con direcciones de contrato USDC y tasas diarias, 9,000 perfiles de seguidores (con nombres, seudónimos y billeteras proxy), y IDs de usuario internos expuestos en los campos createdBy/updatedBy.

La brecha en Polymarket representa una amenaza para la seguridad nacional

Polymarket está en el centro de un escándalo de integridad importante que plantea un tipo diferente de brecha—una de carácter de seguridad nacional. El DOJ y la CFTC están usando la brecha reciente como ejemplo principal de por qué los mercados de predicción necesitan una supervisión más estricta, argumentando que pueden incentivar la filtración de inteligencia clasificada con fines de lucro. Eso expone a los traders—incluidos figuras políticas de alto perfil—a ataques de phishing dirigidos o acoso.

Estas afirmaciones siguen un patrón de fallos de ciberseguridad confirmados que han sacudido la confianza de los usuarios en los últimos seis meses. Los atacantes en la manipulación de API/Bot de febrero de 2026 explotaron un fallo de diseño en el sistema de órdenes de Polymarket, y diseñaron “nonces” para cancelar operaciones en cadena mientras mantenían válidos los registros fuera de la cadena. Eso causó que los bots incurrieran en pérdidas masivas basadas en informes erróneos de API.

Polymarket también confirmó otra brecha de autenticación de terceros en diciembre de 2025. La brecha estuvo relacionada con una vulnerabilidad en una herramienta de inicio de sesión de terceros (reportada como Magic Labs), que permitió a los atacantes drenar fondos incluso de cuentas con 2FA habilitado. Otra campaña de phishing en noviembre de 2025 en la sección de comentarios de Polymarket llevó a pérdidas de más de $500,000 para los usuarios.

Los reguladores cambian a prohibiciones activas a medida que crece el volumen del mercado de predicción

Los reguladores están pasando de una observación pasiva a una prohibición activa a medida que crece el volumen de los mercados de predicción. El gobierno brasileño bloqueó 27 plataformas en abril de 2026 (incluyendo Kalshi y Polymarket), citando preocupaciones sobre la deuda familiar y la protección del consumidor.

Las autoridades en Rumania y Portugal también bloquearon recientemente contratos políticos específicos para prevenir apuestas especulativas en elecciones.

Mientras tanto, Polymarket ha adoptado reglas internas más estrictas desde marzo de 2026. Las reglas prohíben explícitamente operaciones basadas en información robada o conocimientos “insider” sobre eventos geopolíticos. Polymarket también firmó un Acuerdo de Servicios Regulatorios con la Asociación Nacional de Futuros (NFA) para implementar vigilancia en tiempo real. La medida señaló un cambio hacia el cumplimiento financiero convencional.

Los reguladores también han examinado de cerca operaciones de alto perfil, como la apuesta de $32,000 por la captura de Nicolás Maduro, que generó una ganancia de $436,000 justo antes de que se publicara la noticia oficial en enero de 2026. La Casa Blanca y varias agencias han advertido desde entonces contra operar con información no pública relacionada con conflictos geopolíticos, como la guerra EE. UU.-Irán.

Por otro lado, el analista de Bernstein Gautam Chhugani espera que una mayor claridad regulatoria a nivel federal impulse el crecimiento de los mercados de predicción. Estima que el volumen total de estos mercados alcanzará $240 mil millones en 2026 (+370% respecto al año pasado).

Chhugani también proyecta que el volumen de operaciones en mercados de predicción alcanzará $1 billón al año para principios de la próxima década, con una tasa de crecimiento anual compuesta de aproximadamente 80% entre 2025 y 2030. La composición de los contratos negociados también probablemente cambiará.

Si estás leyendo esto, ya estás adelante. Mantente así con nuestro boletín.