Las 10 estafas cripto más comunes (y cómo evitarlas)

Por qué importa

La mayoría de pérdidas retail en cripto no vienen de caídas de mercado ni de exploits de smart contracts. Vienen de estafas. Los patrones son antiguos, la tecnología se vuelve algo más pulida cada año y las defensas son gratis — pero aun así hace falta reconocer la forma de un ataque antes de responderle. Leer los diez patrones de abajo es una de las horas más rentables que puedes pasar en cripto, porque cada patrón que interiorizas es una clase entera de pérdidas a la que dejas de ser vulnerable.

Nada de esto es consejo financiero. Es un mapa práctico de cómo se roba realmente dinero en cripto y qué hábitos paran a la mayoría. Mucho del material también aplica a cómo almacenar cripto de forma segura — reconocer estafas y guardar activos seguros son dos caras del mismo muro.

Los patrones más comunes

1. Rug pulls

Un equipo anónimo lanza un token, lo hype durante semanas o meses, recluta proveedores de liquidez, luego retira toda la liquidez del pool y desaparece. Tokens van de 10$ a 0$ en minutos. Variantes: "slow rugs" donde el dev sale de una posición durante semanas mientras dice a los holders que sigan comprando; "hard rugs" donde el smart contract tiene una puerta trasera para mintear tokens infinitos y volcarlos. Común en chains nuevas y manías memecoin.

2. Phishing

Email falso, popup falso, página de login falsa que imita MetaMask, Phantom, Trezor, Ledger, un exchange mayor o un protocolo DeFi popular. La página pide tu seed phrase, tu private key o que firmes una transacción maliciosa. El site suele llegar vía un anuncio patrocinado en Google, una cuenta de Twitter hackeada, un post pagado de Discord o un resultado de buscador que ranquea por encima del dominio real.

3. Estafas románticas ("pig butchering")

Un desconocido — a menudo en una app de citas, a veces vía WhatsApp o Telegram — construye una relación de varias semanas o meses antes de sugerir que te unas a una plataforma cripto "de alto rendimiento" que descubrió. La plataforma parece real, muestra beneficios falsos, hasta te deja retirar pequeñas cantidades para generar confianza. Después te animan a depositar más. Cuando intentas retirar el balance grande, te dicen que primero hay "impuestos" o "comisiones" a pagar. Nunca hubo retiros. Es la mayor fuente única de robo cripto por volumen en dólares globalmente; el IC3 del FBI reporta miles de millones de dólares robados al año.

4. Soporte falso

Posteas en el Discord o Twitter de un proyecto diciendo que tienes un problema. Un "agente de soporte" te manda DM en minutos ofreciendo ayuda. Te mandan a un link de "validator" o "migration" o "verification". El link es una página de phishing o pide tu seed phrase. El soporte real nunca te manda DM primero. Nunca. La mayor pista es la rapidez de la respuesta y la calidez del tono.

5. Grupos de pump-and-dump

Un grupo pagado de Telegram o Discord dice coordinar "señales de compra" para coins de baja capitalización. Pagas para entrar. Los insiders acumulan, después señalan al grupo, después vuelcan al grupo mientras el grupo bombea el precio. La estructura literalmente no puede funcionar para los compradores porque quienes reciben la señal más temprana son quienes vacían sus bolsas en el pump. Los "grupos pump" son una forma organizada de robo.

6. Airdrops y giveaways falsos

Un tweet de una cuenta falsa "@elonmusk" o "@VitalikButerin" anuncia que puedes mandar 1 ETH y recibir 2 ETH de vuelta. Un site dice ofrecer airdrop gratis a wallets que conecten y "verifiquen". Un email te dice que tu wallet es elegible para reclamar X tokens. Conectar la wallet firma una transacción que la vacía; "verificar" expone tu seed phrase; mandar ETH a la dirección del "giveaway" solo manda ETH a un ladrón.

7. SIM swaps

Un atacante convence a tu operador móvil de portar tu número a una SIM que controla, a menudo vía ingeniería social a un agente de atención al cliente. Después usan 2FA por SMS para tomar tu email, después tus cuentas de exchange. Defensa: activa protección anti SIM-swap o un PIN de port-out con tu operador, y usa 2FA por app (Authy, Aegis, llave hardware) en vez de SMS para cualquier cosa importante.

8. Aprobaciones maliciosas (wallet drainers)

Visitas un site que parece legítimo (página de "claim" falsa, DEX falso, mint NFT falso). El site te pide firmar una transacción. La transacción no es un pago — es una aprobación de token ilimitada que deja al atacante mover tus tokens de tu wallet cuando quiera. Ves el popup de wallet, le das a firmar, y tus fondos se drenan en los siguientes minutos o semanas. Esta categoría es tan generalizada que merece su propia página: qué es un wallet drainer.

9. Wallets falsos y apps falsas

Las app stores periódicamente alojan versiones falsas de Trust Wallet, MetaMask, Exodus, Phantom y otras. La app falsa registra tu seed phrase al primer uso y la manda al atacante. Variantes incluyen extensiones falsas de Chrome e instaladores falsos de escritorio. Descarga siempre software de wallet desde la web oficial (enlazada desde sus redes verificadas), nunca desde resultados de búsqueda, anuncios o links de chat.

10. Deepfakes y suplantación por AI

La categoría más nueva. Vídeo y voz generados por AI de Elon Musk, Michael Saylor, Vitalik Buterin o el CEO de tu propio exchange promocionando un giveaway "por tiempo limitado", una "migración" de emergencia o una oportunidad de inversión. A veces el deepfake está en un livestream fijado a una cuenta de YouTube hackeada. La calidad visual y de audio es ahora lo bastante buena para que no puedas distinguirlo en un clip de 30 segundos. Defensa: cualquier vídeo promocionando "manda ETH, recibe ETH" o acción urgente es una estafa sin importar quién parezca decirlo.

Banderas rojas / checklist

Los patrones de arriba comparten un set pequeño de banderas rojas. Si ves dos o más en la misma situación, trata como estafa por defecto:

• Urgencia. "Solo 24 horas", "plazas limitadas", "el equipo está migrando ahora". Las operaciones cripto reales rara vez dependen de que actúes en minutos.
• Contacto no solicitado. DM, email o llamada que no iniciaste tú. Especialmente si ofrece ayuda justo cuando posteaste sobre un problema.
• Pide seed phrase o private key. Ninguna parte legítima — wallet, exchange, custodio, soporte, fabricante de hardware — pedirá nunca. Compartirlas es siempre el fin de tus fondos.
• Retornos garantizados. Cualquier cosa prometiendo rendimiento fijo, alto y garantizado es o estafa o está por serlo. Los rendimientos reales fluctúan y llevan riesgo visible.
• Presión para bajar software. Especialmente desde un contacto de chat, una sesión de pantalla compartida o un link de "soporte".
• La dirección parece similar pero está mal. Verifica siempre los 4 primeros y últimos caracteres de una dirección destino antes de enviar; los hijackers de portapapeles cambian direcciones.
• Escalado fuera de plataforma. Una conversación que empezó en app de citas o chat te trata de mover a una plataforma de inversión o app que nunca habías oído.
• Rendimiento sospechosamente alto sin gas. Un nuevo "protocolo DeFi" o "reclamo de airdrop" ofreciendo 10x lo que pagan protocolos conocidos es casi siempre una trampa drenante.

Qué hacer si te han pillado

Si una wallet está comprometida, cada segundo cuenta. Manual estándar:

1. Mueve lo que puedas. Manda los tokens restantes a una wallet nueva (nueva seed phrase) inmediatamente. El atacante normalmente está scripteando; cuanto más rápido muevas, más salvas.
2. Revoca aprobaciones. Usa un servicio como revoke.cash (o el gestor de aprobaciones built-in de tu wallet) en la wallet comprometida para revocar cada aprobación activa. Esto para específicamente la categoría wallet drainer.
3. Trata la wallet comprometida como quemada para siempre. Si una seed phrase quedó expuesta, ninguna rotación de claves ayuda — el atacante tiene ahora y siempre la wallet. No muevas fondos de vuelta.
4. Documenta. Captura el site malicioso, el historial de chat, las transacciones involucradas. Lo necesitarás para cualquier reporte o reclamo.
5. Reporta a autoridades locales y la plataforma. Presenta reporte a policía local, IC3 (EE. UU.), Action Fraud (UK) o equivalente. Reporta direcciones de estafadores a firmas de chain analytics (Chainalysis, TRM Labs); pueden acabar en blacklists y limitar el cashout. La recuperación es rara pero reportar es la única vía.
6. Cuidado con "estafas de recuperación". A los días de ser estafado, te llegarán DMs de cuentas que dicen poder recuperar tu cripto robado por una comisión. Eso es a su vez una estafa. Esencialmente no hay servicio de recuperación pago legítimo para transferencias blockchain irreversibles.

Cómo mantenerte protegido

• Usa hardware wallet para balances meaningful. La mayoría de las estafas arriba requieren o una seed phrase o una firma maliciosa; una hardware wallet protege ambas, especialmente si lees cada aprobación en la pantalla del dispositivo.
• Ten división "caliente" y "fría". Mantén cantidades pequeñas en tu wallet de interacción (la que visita sites y firma DeFi). Mantén balances meaningful en una hardware wallet que nunca se conecta a sites random.
• Marca URLs oficiales. Nunca llegues a wallet, exchange o protocolo DeFi vía búsqueda o link social. Marca los dominios reales y usa el marcador.
• Usa 2FA por app, no SMS. SMS es la superficie SIM swap. Authy, Aegis, Google Authenticator o llave hardware (YubiKey, Ledger) son dramáticamente más seguros.
• Usa contraseña única fuerte y gestor. Reutilizar la misma contraseña entre exchanges es cómo decenas de cuentas se drenan desde una base de datos filtrada.
• Lee cada popup de wallet. Si una transacción pide gastar más de lo que pretendías, o pide aprobación ilimitada de un token, recházala.
• Ve despacio. La defensa más efectiva es tratar cualquier situación cripto urgente como estafa por defecto hasta verificación por canal independiente. "Consultarlo con la almohada" vence más ataques que cualquier producto.

Para tratamiento más amplio de custodia segura, ver cómo almacenar cripto de forma segura; para la categoría específica de approval-phishing que más creció en 2024-2026, ver qué es un wallet drainer. Nada de esto es consejo financiero. Es el manual operativo que deberías conocer antes de pulsar "firmar".

Vigila las alertas, vigila las noticias

La mayoría de las campañas de estafa mayores — oleadas de wallet drainer, deepfakes falsos, suplantaciones falsas de exchange — aparecen en titulares de seguridad horas antes de llegar al público masivo. Zippfeed sigue titulares de seguridad y tokens mayores con puntuación de sentimiento e importancia, para que veas campañas activas pronto y sepas qué sites o apps evitar esa semana — útil ya tengas balances meaningful, explores nuevos protocolos DeFi o solo quieras estar al tanto de cómo lucen los nuevos patrones de ataque.