Por qué la "seguridad cripto" es en realidad una lista de modos de fallo, no una lista de productos
El motivo por el que las guías genéricas de seguridad resultan insatisfactorias es que describen herramientas sin describir los ataques. Te dicen "usa un monedero de hardware" y "ten cuidado en línea", lo cual suena bien hasta que aparece un correo de phishing idéntico a un aviso real de Ledger, o hasta que necesitas firmar una transacción en MetaMask y las cifras del gas son números que no reconoces. En ese momento, "ten cuidado" no es una estrategia.
Ayuda pensar en la seguridad cripto como una lista de modos de fallo, las formas concretas en que la gente realmente pierde fondos. Una vez que conoces el modo de fallo, el hábito adecuado casi se elige solo. La mayoría de las pérdidas documentadas se agrupan en unas seis categorías: sitios y correos de phishing que roban credenciales o frases semilla, cuentas de soporte falsas en redes sociales, extensiones de navegador maliciosas y sitios drenadores, firmar a ciegas una transacción que vacía tu monedero, enviar fondos a la red o dirección equivocada, y exchanges centralizados que se vuelven insolventes o congelan retiradas.
Algunos de estos puedes neutralizarlos por completo con un solo hábito. Otros solo puedes reducirlos. El truco es hacer coincidir el hábito con el modo de fallo, no acumular aplicaciones. Un gestor de contraseñas más un monedero de hardware más guardar las URL de tus exchanges en marcadores derrotará a la mayoría de los ataques reales en 2024 y 2025. Un montón de extensiones de navegador y un grupo de "alpha" en Telegram no lo hará.
Riesgos reales contra los que realmente te estás protegiendo
Antes de repasar la lista de comprobación, vale la pena nombrar los riesgos en lenguaje claro para que sepas contra qué te estás protegiendo.
Correos de phishing que parecen avisos reales de empresas. En 2020, el fabricante de monederos de hardware Ledger reveló una brecha en su base de datos de correos de clientes. Años después, los estafadores siguen enviando mensajes casi idénticos a actualizaciones reales de Ledger, con las mismas fuentes y el mismo pie de página, diciendo a los usuarios que "verifiquen su frase de recuperación" o que "instalen una actualización de firmware crítica". Quien escriba sus 24 palabras en la página enlazada lo pierde todo. Los atacantes son pacientes y los correos están bien hechos.
Cuentas de soporte falsas en X y Discord. Busca cualquier monedero o exchange importante en X y encontrarás decenas de cuentas parecidas que responden a usuarios con "escríbeme por DM para ayudarte". El agente falso guía al usuario para "resincronizar" su monedero pegando una frase semilla o firmando una transacción. El mismo patrón ocurre en Discord, donde bots con aspecto oficial envían DM a usuarios sobre "actualizaciones de seguridad".
Sitios drenadores que se hacen pasar por mints, airdrops o bridges. Una página de "mint gratuito", una página de "reclama tu airdrop" o una interfaz de bridge falsa te pide que conectes tu monedero y luego solicita una firma que concede al sitio permiso para mover tokens específicos. La transacción está redactada en inglés, pero la aprobación subyacente no lo está, y una vez firmada puede permanecer latente durante semanas antes de vaciar el monedero.
Insolvencia de exchanges y congelación de retiradas. Este es el modo de fallo que la gente olvida, porque no parece un hackeo en absoluto. Cuando el exchange centralizado FTX colapsó en noviembre de 2022, los clientes no perdieron fondos por un correo de phishing. Los perdieron porque la empresa que custodiaba sus saldos quebró. El mismo patrón se repitió a menor escala con Celsius, Voyager, BlockFi y varias plataformas offshore. Un exchange centralizado (CEX) es un custodio: es cómodo, pero no es lo mismo que poseer cripto por ti mismo.
Exploits de contratos inteligentes. Si interactúas con las finanzas descentralizadas (DeFi), estás confiando en que el código subyacente no tenga fallos que un ladrón pueda explotar. Los bridges en particular han sido golpeados: Ronin, Wormhole, Harmony, Nomad y otros han perdido cientos de millones de dólares en total. No puedes parchear este riesgo como usuario, pero puedes elegir si lo asumes o no.
La lista práctica, ordenada por impacto
Los puntos de abajo están enumerados aproximadamente por orden de apalancamiento, es decir, cuánto riesgo elimina cada uno en relación con el tiempo que lleva. No tienes que hacerlo todo de golpe. Incluso los tres primeros ya te pondrán por delante de la mayoría de los holders.
1. Mueve los saldos importantes a un monedero hardware
Un monedero hardware, como los que venden Ledger, Trezor y algunos otros fabricantes más pequeños, es un pequeño dispositivo que guarda tus claves privadas en un chip que nunca queda expuesto directamente a tu ordenador. Cuando quieres enviar cripto, preparas la transacción en el ordenador y luego la confirmas físicamente en el dispositivo pulsando botones. Aunque tu portátil esté completamente comprometido, las claves no pueden salir del dispositivo sin que tú pulses los botones.
El umbral de «¿merece la pena?» suele plantearse así: cualquier cantidad que no llevarías encima en una cartera física merece la pena sacarla de un exchange o monedero caliente. Para muchas personas, eso es todo lo que supere unos pocos cientos de dólares. No hace falta poner cada dólar en un monedero hardware, pero los holdings a largo plazo sí deberían estar ahí.
Un error habitual es comprar un monedero hardware, configurarlo y luego seguir dejando fondos en el exchange porque resulta más cómodo para operar. El monedero hardware solo protege lo que realmente está en él.
2. Asigna a cada exchange y monedero un email único, una contraseña robusta y 2FA
La mayoría de los secuestros de cuentas empiezan con credential stuffing: los atacantes prueban pares de email y contraseña filtrados en otras brechas contra todos los grandes exchanges. Si el login de tu exchange usa el mismo email y contraseña que una cuenta vieja de un foro que se filtró en 2013, tu cuenta está a una sola base de datos de distancia de quedar vaciada.
La solución es mecánica y nada glamurosa:
- Un email único para cada exchange, idealmente un alias dedicado que no uses en ningún otro sitio.
- Una contraseña larga y aleatoria generada por un gestor de contraseñas, que nunca reutilices en otro sitio.
- Autenticación de dos factores (2FA) mediante una app autenticadora como Aegis, Raivo o Google Authenticator, no por SMS, ya que los SIM swaps siguen siendo habituales.
Este único hábito, aplicado a todas las cuentas que tocan dinero, neutraliza la mayor parte de los ataques basados en credenciales.
3. Guarda los URLs de exchanges y monederos en favoritos; nunca hagas clic en enlaces
La mayoría de las historias de «me han hecho phishing» empiezan con un anuncio de Google, un resultado de búsqueda o un enlace en un email que parecía correcto pero tenía una o dos letras cambiadas. Escribir la URL de tu exchange en la barra de direcciones está bien. Hacer clic en el primer anuncio de «login de Binance» es una moneda al aire.
Crea una pequeña carpeta de favoritos para sitios de cripto. Usa esos favoritos para siempre. Si un email o mensaje te pide que inicies sesión por cualquier motivo, abre el favorito, no el enlace. Es el hábito más barato y rápido de la lista, y uno de los más efectivos.
4. Guarda tu seed phrase sin conexión, idealmente en metal
Tu seed phrase, las 12 o 24 palabras generadas al configurar un monedero, es la llave maestra de cada dirección derivada de ella. Quien tenga esas palabras tiene tu cripto, sin más. No hay servicio de atención al cliente que pueda revertirlo, ni transacción que se pueda deshacer.
Dos reglas cubren la mayor parte del riesgo:
- Nunca escribas las palabras en una web, una ventana de chat, un formulario o un Google Doc. Ninguna empresa legítima, ningún agente ni «técnico de soporte» te las va a pedir jamás.
- Nunca las guardes de forma que haga falta un dispositivo conectado para leerlas. Fotos en el carrete de la cámara, notas en el móvil y gestores de contraseñas son sitios malos para una seed phrase, porque se pueden exfiltrar.
El papel sirve para cantidades moderadas, pero se quema, se moja y se borra. Para cualquier cosa que te dolería perder, escribe o estampa las palabras en una placa metálica de almacenamiento de semillas diseñada para ello. Guarda una copia en un lugar seguro y, si es posible, otra en un sitio físico diferente.
5. Nunca firmes transacciones de monedero que no entiendas del todo
Cuando usas un monedero de autocustodia como MetaMask, Rabby o Frame, cada acción termina con una firma. Algunas firmas mueven fondos. Otras aprueban que un contrato mueva un token concreto en tu nombre. Otras conceden una aprobación ilimitada y permanente para vaciar ese token. La interfaz del monedero te muestra un resumen legible, pero lo que cuenta son los datos subyacentes.
Antes de firmar nada, hazte tres preguntas:
- ¿Qué estoy aprobando realmente? Lee el nombre de la función y la dirección del gastador, no solo la cantidad en dólares.
- ¿Es un «approve» o un «setApprovalForAll»? Esas son las firmas que vacían monederos, a menudo días después.
- ¿El sitio coincide con el que esperaba estar usando? Si hice clic en un enlace, ¿terminé en el dominio real?
En caso de duda, rechaza y pregunta a alguien de confianza. Rechazar una transacción no tiene coste. Aceptar la equivocada muchas veces no tiene solución.
6. Mantén un saldo pequeño de «gasto» y otro separado de «ahorro»
La mayoría de la gente solo necesita un monedero hardware para sus holdings a largo plazo. Para el día a día, un monedero caliente con un saldo pequeño es más práctico. Dividir los fondos así significa que, si el monedero caliente se ve comprometido, solo pierdes lo que habrías perdido igual si se te hubiera caído la cartera física.
La misma lógica se aplica a las cuentas de exchange. No hay motivo para tener todo tu patrimonio neto en un único CEX. Si operas, deja solo lo que estés usando activamente en la plataforma.
7. Aprende la diferencia entre la quiebra de un exchange y un hackeo de smart contract
Son eventos muy distintos con recuperaciones muy distintas.
Cuando un exchange centralizado quiebra, como FTX, Celsius o Voyager, tu nombre aparece en una lista de acreedores. Dependiendo de la jurisdicción y de los activos recuperados, puede que recuperes parte de tus fondos, años después y con un recorte. El problema fue la custodia: el exchange agrupó los fondos de los clientes y los usó. La lección es que en un CEX tienes un IOU, no cripto.
Cuando un smart contract es hackeado, como un bridge o un protocolo de préstamos, los fondos suelen desaparecer al instante. No hay empresa a la que demandar, ni juzgado de quiebras. La recuperación, si la hay, llega por un bounty de white-hat, una votación de gobernanza para hacer un fork o una batalla legal larga. La lección es que interactuar con smart contracts es aceptar riesgo de ejecución de código.
No puedes eliminar del todo ninguno de los dos riesgos, pero sí puedes elegir cuánto de cada uno asumes. La autocustodia elimina el primero. Evitar protocolos y bridges no auditados elimina la mayor parte del segundo.
Estafas habituales que conviene reconocer al instante
Incluso con hábitos perfectos, te las seguirás encontrando en la calle. Reconocerlas a simple vista es media batalla.
Páginas de «verifica tu monedero» o «sincroniza tu dispositivo». Ningún proveedor real de monederos te va a pedir nunca que introduzcas tu seed phrase en una web para «verificarla». Siempre es un robo.
Airdrops y mints falsos. Aparece un token en tu monedero que no has comprado. Un sitio enlazado dice «claim» o «mint». El sitio te pide firmar una transacción que concede aprobaciones de tokens a un contrato controlado por el atacante. El token se envió precisamente para tentar esa firma.
Address poisoning. Copias una dirección a la que ya enviaste antes, la pegas en tu monedero y envías. La dirección es correcta salvo por los últimos caracteres, porque se generó una dirección parecida y se envió una pequeña cantidad de polvo a tu historial para que pareciera familiar. Verifica siempre la dirección completa, no solo el principio y el final.
«Soporte al cliente» que se pone en contacto contigo primero. Ningún agente de soporte real te va a escribir por DM, llamar o mandar un email sin que lo solicites para «ayudarte» con tu cuenta. Si lo hace, es una estafa, sin discusión.
Suplantadores de ofertas de trabajo y mesas OTC. Los «reclutadores» que ofrecen trabajos remotos en cripto suelen guiar a las víctimas para que instalen scripts o hagan «transacciones de prueba» que resultan ser drainers. Los suplantadores de mesas OTC se ofrecen a «ayudarte» a cambiar grandes saldos y desaparecen con los fondos.
Qué hacer si algo sale mal
Ninguna lista es perfecta. Si sospechas que has sufrido phishing, has firmado una transacción maliciosa o has perdido el acceso, la velocidad importa más que la elegancia.
Si escribiste tu seed phrase en un sitio, asume que el monedero está comprometido. Mueve los fondos de inmediato a un monedero nuevo, generado en un dispositivo limpio. Si no tienes un monedero hardware, incluso un monedero caliente nuevo es mejor que el antiguo.
Si firmaste una transacción «approve» para un drainer, puede que el drainer no actúe de inmediato. Algunos esperan a ver un saldo grande antes de barrer. Revoca las aprobaciones de tokens con una herramienta como la página Token Approvals de Etherscan o un revoker específico, y mueve los fondos restantes a un monedero nuevo sobre el que el drainer no tenga aprobaciones.
Si tu cuenta del exchange se vio comprometida, contacta con el exchange por los canales oficiales, no por el email o DM que recibiste. Retira los fondos restantes si puedes. Como mucho, espera una recuperación lenta y parcial.
Para saldos grandes, considera servicios profesionales de recuperación solo después de verificar por tu cuenta su legitimidad, ya que el espacio de la «recuperación» está lleno de estafas secundarias que atacan a las víctimas.
Implicaciones prácticas para el holder de a pie
El resumen honesto es que la seguridad en cripto es sobre todo higiene aburrida y repetitiva, no trabajo técnico ingenioso. El mismo puñado de hábitos protege contra el mismo puñado de fallos, año tras año. El motivo por el que la gente sigue perdiendo dinero no es que el consejo sea desconocido, sino que los hábitos no se han instalado antes del incidente.
Si empiezas desde cero, haz estas cuatro cosas esta semana:
- Configura un monedero hardware y traslada ahí tus holdings a largo plazo.
- Genera emails únicos y contraseñas robustas para cada exchange que uses, con 2FA en cada uno.
- Guarda en favoritos las URLs reales de cada exchange y monedero, y elimina las contraseñas guardadas para dominios parecidos.
- Asegúrate de que tu seed phrase está escrita en algo sin conexión, idealmente metal, y de que no existe ninguna copia digital en ningún sitio.
Una vez hecho esto, el esfuerzo marginal pasa a la concienciación a nivel de transacción: leer lo que firmas, reconocer estafas y mantener separados el gasto y el ahorro. Nada de esto requiere ser un experto. Requiere una rutina.
Mantente al día de las noticias de seguridad cripto
La seguridad cripto avanza rápido y también las noticias que la rodean: nuevos kits de phishing, campañas de drenadores recientes, incidentes en exchanges y exploits de protocolos aparecen a diario. Seguirlo todo manualmente es una batalla perdida. Zippfeed muestra titulares cripto con puntuación de sentimiento, alcista, neutral o bajista, y una valoración de importancia, para que puedas detectar los riesgos reales a tiempo en lugar de enterarte por el saldo de tu monedero.
