Analizamos 12 hackatones con premios que superan los $4 millones. Ninguno protege los proyectos presentados.
12 eventos auditados. 6 brechas de infraestructura identificadas. 8 casos reales de plagio, apropiación de propiedad intelectual y evaluación parcial documentados — todos provenientes de fuentes públicas y verificados de forma independiente.
En un hackatón el año pasado, un equipo presentó su propuesta en la primera ronda. Dos semanas después, otro equipo — con acceso al mismo grupo de jueces — presentó un concepto sospechosamente similar. No había registro de auditoría. No había registros de acceso. No había forma de demostrar quién vio qué y cuándo.
El equipo que creó la idea original no tenía recurso alguno. El equipo que posiblemente la copió no enfrentó ningún escrutinio. Y el organizador no disponía de herramientas para investigar, aunque hubiera querido hacerlo.
Pensamos que era un caso aislado. Luego analizamos 12 hackatones en 4 continentes — y descubrimos que es la norma.
Metodología: Entre enero y febrero de 2026, revisamos los procesos públicos de presentación, las reglas de los eventos, las estructuras de evaluación y los reportes en redes sociales de 12 hackatones. También estudiamos 8 casos documentados de fallas en la seguridad de las presentaciones entre 2025 y febrero de 2026. Examinamos la documentación de las plataformas (DevPost, Devfolio, DoraHacks, TAIKAI), las páginas de reglas específicas de cada evento, repositorios públicos en GitHub, registros judiciales y testimonios de primera mano de los participantes. Todos los hallazgos son verificables de forma independiente a través de las fuentes citadas a lo largo de este artículo.
Solicitudes de comentarios: Todas las organizaciones mencionadas fueron contactadas antes de la publicación. El CEO de ETHGlobal, Kartik Talwar, respondió con comentarios detallados, señalando que los equipos son informados sobre qué jueces evaluaron sus presentaciones, que todas las presentaciones tienen marcas de tiempo (del servidor, no blockchain), que las disputas se manejan por correo electrónico y canales de soporte, y que en más de 15.000 proyectos presentados desde 2017 no ha habido quejas públicas sobre la rendición de cuentas. Su posición completa se refleja en la sección de auditoría de ETHGlobal a continuación. Avalanche Foundation, BNB Chain (a través de DoraHacks), Chainlink, Web3Privacy Now y TCS no respondieron. SuperteamIN y CRED respondieron públicamente a sus respectivos incidentes (documentados en los Casos 2 y 3).
Esto no es un caso aislado. Es la norma.
Cada plataforma importante de hackatones — DevPost, Devfolio, DoraHacks, TAIKAI — se centra en la logística del evento. Ninguna protege los trabajos presentados.
Por qué esto importa más allá de los premios
Los hackatones no son simples competiciones: son la principal puerta de entrada a Web3. La cadena está bien documentada: un desarrollador participa en un hackatón, construye su primer proyecto, es detectado por un equipo de protocolo, recibe una subvención y lanza lo que se convierte en infraestructura real. Uniswap, Filecoin, ENS y decenas de protocolos importantes nacieron como proyectos de hackatón.
Cuando la seguridad de las presentaciones falla, no afecta solo a un equipo: envenena toda la cadena. Un desarrollador plagiado en su primer hackatón no vuelve. Un constructor que ve premios otorgados a proyectos copiados deja de construir. El ecosistema pierde su próxima generación de contribuyentes — no ante un competidor, sino ante la desilusión.
No se trata de proteger el dinero de los premios. Se trata de proteger el mecanismo que forma a la próxima generación de constructores de Web3. Si los hackatones pierden credibilidad, toda la cadena de talento del ecosistema se quiebra.
La magnitud del problema
Solo en 2025, ETHGlobal — el mayor organizador de hackatones de Ethereum — realizó eventos en 5 continentes, distribuyendo más de $2 millones en premios entre más de 10.000 desarrolladores. Los premios de eventos individuales ya superan el millón de dólares (ETHDenver, Avalanche Build Games, Hedera).
Los hackatones corporativos son aún más grandes: TCS organizó un hackatón de IA con 281.000 participantes de 58 países, donde las presentaciones fueron evaluadas para integración comercial.
Y sin embargo, cada gran plataforma de hackatones se enfoca en lo mismo: registro, formación de equipos, formularios de evaluación. Sin registros de acceso. Sin cadena de custodia para los materiales compartidos. Sin mecanismo formal de resolución de disputas. Sin rastro de auditoría.
Parte I: La brecha de infraestructura — 6 grandes hackatones auditados
Comenzamos auditando la seguridad de las presentaciones en 6 grandes programas de hackatones — desde los mayores eventos de Ethereum hasta competiciones corporativas. Para ser claros: esto no son acusaciones. Son observaciones sobre procesos documentados públicamente. Cada organizador aquí listado dirige un evento legítimo y bien intencionado. El problema no es la incompetencia, sino la ausencia de una infraestructura que aún no existe.
- Sin registro verificable de forma independiente de las asignaciones juez-presentación
- Todas las presentaciones visibles públicamente antes y durante la evaluación
- Sin proceso publicado de resolución de disputas con plazos definidos
- Sin marcas de tiempo en blockchain para las presentaciones
- 6 semanas con ideas expuestas, sin rastro de auditoría
- Sin registro de acceso a las presentaciones
- "Intención a largo plazo" evaluada sin verificación
- Sin rastro de auditoría del acceso de jueces a las presentaciones
- Votación comunitaria vulnerable a manipulación por ballenas
- Sin proceso de resolución de disputas
- Repositorios públicos en GitHub — visibles antes de la evaluación
- Categoría de privacidad sin privacidad en las presentaciones
- Presentaciones vía formulario de Airtable
- Sin cadena de custodia de PI para productos comerciales
- Sin rastro de auditoría a nivel empresarial
- Riesgo regulatorio con evaluación de presentaciones por IA
- Los PR públicos exponen todas las ideas antes de la evaluación
- Evento enfocado en privacidad con cero privacidad en las presentaciones
- Sin registro de acceso ni rastro de auditoría
La brecha, resumida
Nota: Esta tabla compara plataformas de hackatones — servicios que múltiples organizadores utilizan para alojar eventos (DevPost, Devfolio, DoraHacks, TAIKAI). Organizadores de eventos como ETHGlobal utilizan su propio sistema propietario de presentaciones y se evalúan por separado en las tarjetas de auditoría anteriores.
| Nivel de protección | DevPost | Devfolio | DoraHacks | TAIKAI | ¿Alguna? |
|---|---|---|---|---|---|
| Carga de presentaciones | Sí | Sí | Sí | Sí | Sí |
| Registro de acceso | No | No | No | No | No |
| Marcas de tiempo en blockchain | No | No | Parcial | Parcial | No |
| Rastro de auditoría de jueces | No | No | No | No | No |
| Resolución de disputas | No | No | No | No | No |
| Protección de PI | No | No | No | No | No |
Todas las plataformas gestionan la logística. Ninguna garantiza la integridad.
Parte II: Ya está ocurriendo — 6 casos documentados (2025–2026)
Las brechas descritas no son teóricas. Estudiamos 6 hackatones donde la ausencia de seguridad en las presentaciones causó daño real: plagio, apropiación de propiedad intelectual, descalificación injusta, evaluación parcial y censura. Todos los casos corresponden al período 2025–2026 y están documentados públicamente con fuentes.
Un equipo desarrolló KagamiAI en ETHGlobal Nueva Delhi en septiembre de 2025, donde fue seleccionado como uno de los 10 finalistas entre 616 proyectos. El equipo trabajó durante todo el fin de semana y recopiló retroalimentación real de usuarios.
Poco después, otro participante copió el proyecto completo — el código, la aplicación e incluso el video de demostración (que incluía la voz de uno de los miembros del equipo original) — y lo presentó en otro hackatón (HackQuest).
El equipo original documentó todo públicamente y instó a HackQuest a eliminar la presentación fraudulenta.
El desarrollador Shubh creó getblink.fun — una plataforma sin código para crear Solana Blinks (193 commits, creada en agosto de 2024). Solicitó una subvención de SuperteamIN en dos ocasiones y fue rechazado ambas veces, tras lo cual cerró el proyecto por costos.
Otro desarrollador, que previamente había contactado a Shubh por mensaje privado pidiendo ayuda y recibió un enlace al repositorio “para aprender”, copió toda la base de código línea por línea, la renombró “Blinker” y ganó una subvención de SuperteamEarn.
Cuando se le confrontó con la comparación de código lado a lado, el copista bloqueó al autor original y eliminó todo — su cuenta, sitio web y repositorio. SuperteamIN reconoció el informe y comenzó una investigación del incidente.
CRED, la empresa fintech india fundada por Kunal Shah, anunció el Hackatón de IA Rabbit Hole con un premio de ₹50 lakh (~$60.000). Las condiciones originales establecían que todos los derechos de propiedad intelectual de las presentaciones “se considerarán trabajo por encargo” y que CRED sería propietaria de todo lo creado durante el evento.
La reacción fue inmediata y masiva. La publicación del desarrollador Aditya Oberai, calificándolo como “un curso magistral de cómo NO organizar un hackatón”, recibió más de 1.100 likes. Un abogado de PI advirtió a los participantes que las condiciones equivalían a “pedirte astutamente que des tu idea, la construyas para ellos y no recibas nada a cambio”.
Surgieron quejas adicionales: CRED exigía “Login with CRED” para el registro (sin relación con el hackatón) y realizaba consultas de historial crediticio a los solicitantes sin divulgación clara.
Kunal Shah respondió en menos de 24 horas: “Las críticas sobre la PI son justas. No debería haber estado ahí desde el principio. Lo retiramos.” Las condiciones se modificaron para establecer: “Los participantes conservan todos los derechos sobre sus respectivas presentaciones.”
Durante Devconnect Buenos Aires en noviembre de 2025, dos hackatones independientes se realizaron en la misma ciudad. El evento de ETHGlobal (475 proyectos, $500.000 en premios) pagó a todos los ganadores a tiempo sin disputas públicas. Mientras tanto, el hackatón "Tierra de Buidlers" de Ethereum Argentina en TAIKAI (~355 participantes, ~$30.000 en premios) tuvo un resultado diferente.
En el hackatón de Ethereum Argentina, un equipo construyó dos proyectos separados en repositorios diferentes con historiales de commits independientes. Un miembro comenzó solo, luego se unió otro. Ambos proyectos fueron aprobados, pasaron por la evaluación, y uno ganó un premio.
En febrero de 2026 — más de dos meses después — el equipo fue descalificado por "farming" y "base de código compartida" — sin proporcionar ninguna comparación técnica del código como evidencia.
Cuando el equipo solicitó pruebas — un diff, un análisis de commits, cualquier cosa que demostrara que sus bases de código eran compartidas — no se proporcionó nada. El equipo fue posteriormente bloqueado de toda comunicación.
El contraste es instructivo: en el mismo Devconnect, un organizador (ETHGlobal) ejecutó un proceso transparente a escala y pagó a los ganadores sin incidentes; el otro (Ethereum Argentina) descalificó a un equipo ganador meses después sin proporcionar evidencia técnica.
El hackatón de Bolt — promocionado como “el hackatón más grande del mundo” con más de 130.000 desarrolladores registrados y más de $1 millón en premios — enfrentó críticas detalladas en Hacker News:
17 de los 20 premios principales fueron a proyectos de EE.UU., Canadá y la UE — a pesar de que esas regiones representaban solo aproximadamente el 25% de los participantes. Al menos un ganador presentó un proyecto sin demo funcional — solo capturas de pantalla de localhost y lo que los críticos describieron como un “video generado por IA”. Otro ganador supuestamente no presentó una URL desplegada, a pesar de que las reglas exigían explícitamente URLs alojadas.
Cuando los participantes plantearon preocupaciones, Bolt moderó las publicaciones en Reddit y Discord y bloqueó a los críticos.
Múltiples participantes corroboraron de forma independiente las quejas, señalando que sus proyectos completamente funcionales y desplegados perdieron ante presentaciones con demos que no funcionaban.
En un hackatón de 48 horas organizado por el Geethanjali College of Engineering and Technology en marzo de 2025, los participantes externos pagaron ₹450 por persona para asistir y construyeron proyectos completamente funcionales.
Los 6 premios — 2 en cada una de las 3 categorías (IA/ML, IoT, Innovación Abierta) — fueron exclusivamente para equipos de la universidad anfitriona. Los participantes reportaron que varios proyectos ganadores eran “copia y pega de GPT” sin comprensión del código subyacente, y que el proyecto ganador en la categoría IoT ni siquiera funcionaba.
Cuando los equipos externos presentaron quejas en el chat grupal del evento, los organizadores eliminaron los permisos de publicación e ignoraron toda comunicación posterior.
Parte III: El patrón se repite — 2 casos más (2025)
Los casos anteriores no se limitan a eventos de élite. Las mismas fallas estructurales se repiten en todos los niveles — desde hackatones universitarios hasta esquemas de farming entre plataformas.
En HackWithUttarPradesh, organizado por Chandigarh University en noviembre de 2025, los un participante externo informó:
• No se proporcionó comida pese a las promesas
• Los participantes durmieron en los pasillos
• Evaluación sesgada a favor de equipos internos
• Equipos externos completamente ignorados durante la evaluación
• La experiencia general fue descrita como “una promoción universitaria, no un hackatón”
El patrón es idéntico al Caso 6 (Geethanjali College): la institución anfitriona acapara todos los premios; los participantes externos son tratados como extras.
En diciembre de 2025, un miembro de la comunidad documentó que líderes conocidos de la comunidad cripto “iban de hackatón en hackatón presentando el mismo proyecto una y otra vez sin ningún reparo” — mencionando a ETHIndia, Devfolio y otros eventos.
Ninguna plataforma verifica si una presentación ya ganó en otro lugar. No existe verificación cruzada entre plataformas. El mismo código, la misma demo, la misma presentación — diferentes premios.
El patrón
No son incidentes aislados. Son 8 síntomas de la misma brecha estructural — abarcando desde hackatones universitarios hasta competiciones de más de $1 millón:
| Caso | Tipo |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | Plagio de proyecto |
| getblink.fun (SuperteamIN) | Robo de código |
| CRED Rabbit Hole | Apropiación de derechos de PI |
| Ethereum Argentina (Devconnect Buenos Aires) | Descalificación injusta |
| Hackatón Bolt | Evaluación parcial + censura |
| Geethanjali College | Conflicto de intereses |
| HackWithUttarPradesh | Evaluación parcial |
| Farming entre plataformas | Fraude multievento |
No todos ignoran el problema
Dos organizaciones en nuestro estudio respondieron a las fallas de integridad con acciones concretas. SuperteamIN (Caso 2) reconoció la denuncia de plagio y comenzó una investigación; posteriormente el copista eliminó su cuenta, sitio web y repositorio. CRED (Caso 3) revirtió las condiciones abusivas de PI en menos de 24 horas tras la reacción pública. Estas respuestas demuestran que cuando las organizaciones toman en serio la integridad, el sistema puede autocorregirse — pero solo cuando los problemas salen a la luz pública. La pregunta es: ¿por qué esperar a un incidente público cuando ya existe infraestructura preventiva?
La perspectiva legal
Los profesionales del derecho de propiedad intelectual ya han señalado la seguridad de las presentaciones en hackatones como una preocupación creciente. En el caso de CRED Rabbit Hole, un abogado de PI advirtió públicamente que las condiciones del hackatón equivalían a que los participantes trabajaran gratis para el organizador — un riesgo que la mayoría de los participantes nunca considera. La sentencia del tribunal de Marsella de marzo de 2025, que aceptó las marcas de tiempo blockchain como prueba válida de derechos de autor, establece el marco legal: las herramientas para la protección de la PI existen y los tribunales las reconocen. La brecha está en la adopción, no en la tecnología.
Por qué esto empeora, no mejora
En febrero de 2026, Changpeng Zhao (CZ) advirtió que la ausencia de privacidad “puede ser el eslabón perdido para la adopción de los pagos cripto” — señalando que las transacciones on-chain exponen quién paga a quién y cuánto. La misma lógica aplica a los hackatones: cuando las presentaciones, las asignaciones de jueces y las puntuaciones residen en plataformas sin controles de acceso, el proceso es transparente en el peor sentido — visible para quien quiera explotarlo, invisible para quien quiera auditarlo.
Esa misma semana, Vitalik Buterin delineó una visión para la verificación criptográfica como infraestructura predeterminada — incluyendo “depósitos de seguridad con resolución de disputas on-chain”, “pagos y reputación con privacidad ZK”, y un principio que ha defendido durante años: “no confíes; verifícalo todo.” En otra publicación, respaldó un modelo que reemplaza la identidad con stake — donde los participantes depositan una garantía, actúan de forma anónima y enfrentan penalizaciones si abusan del sistema.
Cuando los fundadores de los dos ecosistemas blockchain más grandes coinciden independientemente en que la verificación con preservación de privacidad debe integrarse en la infraestructura — no añadirse después — la ausencia de estas protecciones en las presentaciones de hackatones se vuelve más llamativa, no menos. La tecnología existe. La demanda se articula desde los niveles más altos. La brecha está en la adopción.
La mejor defensa no es el secreto. Son las pruebas.
Registra todo. Confía en las marcas de tiempo. La blockchain no miente.
El problema está documentado. Las soluciones son conocidas. Lo que falta es la adopción.
Fuentes
- Eventos de ETHGlobal: ethglobal.com/events
- Finalistas de ETHGlobal Nueva Delhi 2025 (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
- Hilo sobre el plagio de KagamiAI: x.com/kararsweta/status/1976620328832094629
- Evidencia de KagamiAI: x.com/SoumikBaksi/status/1976615890042118231
- Repositorio original de getblink.fun: github.com/shubhiscoding/getblink.fun
- Hilo sobre el robo de código de getblink.fun: x.com/LookWhatIbuild/status/1977478395022950907
- Reacción por la PI de CRED Rabbit Hole: x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — Cobertura de OfficeChai (incl. respuesta de Kunal Shah): officechai.com
- Hilo sobre la descalificación en Ethereum Argentina (Devconnect Buenos Aires): x.com/CaptainCodeOnX/status/2021551261435429190
- Discusión sobre equidad del hackatón Bolt (Hacker News): news.ycombinator.com/item?id=44702465
- Críticas al hackatón Bolt: x.com/0xPaulius/status/1949427171769934070
- Hilo sobre sesgo en el hackatón de Geethanjali College: x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — Evaluación parcial: x.com/AvAwasthi/status/1985223392015056964
- Farming de proyectos entre plataformas: x.com/_KxrMa_G/status/2002047507308982565
- Tribunal de Marsella — Blockchain como evidencia legal: euipo.europa.eu
- Goodwin Law — Marcas de tiempo blockchain en Francia: goodwinlaw.com
- TCS AI Hackathon (281.000 participantes): tcs.com
- Avalanche Build Games (premio de $1M): build.avax.network/build-games
- Web3Privacy Now — Presentaciones del hackatón de Berlín: github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ sobre la privacidad como eslabón perdido para la adopción cripto (15 de febrero de 2026): x.com/cz_binance/status/2023016538677371079
- Vitalik Buterin — IA + Ethereum: depósitos de seguridad, resolución de disputas on-chain, privacidad ZK (9 de febrero de 2026): x.com/VitalikButerin/status/2020963864175657102
- Vitalik Buterin — Reputación con privacidad ZK (11 de febrero de 2026): x.com/VitalikButerin/status/2021594878162157948
- Vitalik Buterin / Davide Crapis — Reemplazar identidad con stake (11 de febrero de 2026): x.com/VitalikButerin/status/2021586150973206827
¿Copiaron tu proyecto? ¿Enfrentaste una evaluación injusta? ¿Descalificado sin pruebas?
Tu historia — incluso anónima — se convierte en parte de la evidencia.
Todas las comunicaciones son revisadas por nuestro equipo de investigación. La identidad del autor de un reporte anónimo nunca se revela sin su consentimiento explícito.