Cómo detectar un rug pull antes de invertir

Lo básico: qué es realmente un rug pull

Un rug pull describe varios patrones de scam relacionados:

• Rug de liquidez. El equipo mete su token en un pool DEX, deja que entren compradores, y retira el pool — se queda con el dinero y deja a los compradores con un token que no pueden vender.
• Rug lento. El equipo va vendiendo gradualmente su gran asignación a las compras minoristas durante semanas o meses. Menos dramático, mismo resultado.
• Rug duro. El propio contrato tiene una función oculta que deja al equipo mintear tokens ilimitados, vetar holders o pausar transferencias. La usan y desaparecen.
• Rug por abandono. El equipo deja de trabajar, borra redes y el token pierde todo el valor mientras el proyecto muere.

En todos los casos el resultado es el mismo: los compradores quedan con tokens prácticamente sin valor. La buena noticia: la mayoría de rugs son predecibles. La mala: la mayoría de compradores no hace ni las comprobaciones básicas.

Paso 1: Comprueba si la liquidez está realmente bloqueada

En tokens listados en DEX, el equipo suele añadir tokens + un activo base (ETH, SOL, etc.) a un pool de liquidez. Si pueden retirar ese pool, pueden hacer rug. La defensa es un bloqueo de liquidez — enviar los LP tokens (los recibos que representan la posición en el pool) a un contrato time-locked o quemarlos.

Herramientas como Team Finance, UNCX y la pestaña de liquidez de DEXTools dejan comprobar si la liquidez de un token está bloqueada, por quién, hasta cuándo y por cuánto del total. Vigila:

• Sin bloqueo alguno. Riesgo de rug: alto.
• Solo un porcentaje pequeño bloqueado. El equipo bloqueó el 5% y dejó el 95% retirable. Teatro inútil.
• Bloqueo expirando pronto. Un lock que vence la semana que viene no es lock; es cuenta atrás para un rug.
• LP tokens quemados. Enviados a una dirección muerta, no se pueden retirar nunca. La señal más fuerte.

Paso 2: Comprueba si el contrato está renunciado

Muchos contratos de token dan al deployer ("owner") poderes especiales — mintear, cambiar comisiones, vetar direcciones, pausar transferencias. Un contrato renunciado es uno cuyo owner se ha puesto a la dirección nula, por lo que nadie puede usar ya esos poderes.

Renunciar es positivo: elimina la superficie de rug. Busca el contrato del token en Etherscan (o equivalente), encuentra el campo "Owner" y comprueba si apunta a la dirección cero (0x000...000) o a una wallet real. Un owner real no es automáticamente rug — proyectos grandes y profesionales suelen mantener algo de upgradability — pero para proyectos pequeños sin auditar, el control del owner es riesgo serio.

Aviso: los devs astutos pueden disfrazar funciones peligrosas con nombres benignos. Un contrato renunciado que aún tenga "setTaxFee" o "airdrop" capaces de mintear sin límite puede no ser seguro pese a la renuncia.

Paso 3: Comprueba el equipo

Los equipos doxeados — nombres reales, historia pública, reputación profesional — tienen mucho más que perder con un rug de lo que pudieran ganar. Los equipos anónimos no tienen ese freno. No significa que todos los anon hagan rug (muchos son builders honestos) pero el perfil estadístico de riesgo es mucho mayor.

Qué buscar:

• Nombres reales en LinkedIn con historial profesional verificable.
• Proyectos previos (éxito o fracaso honesto) — track record sobre promesas.
• Charlas en conferencias, apariciones en podcasts, fotos con gente verificable.
• Para anon: evidencia técnica fuerte — GitHub activo, producto funcional, pseudónimo con reputación.

Lo que falta también importa. Un "equipo" con fotos de stock y LinkedIns falsos es un montaje clásico de rug. Haz búsqueda inversa de imagen antes de creerles.

Paso 4: Mira la distribución on-chain de holders

Abre el token en un explorador (Etherscan, Solscan, etc.) y mira la lista de holders. Patrones comunes de rug:

• Top 1-3 wallets con la mayoría del supply. Pueden dumpearte en cualquier momento.
• La wallet del deployer aún tiene una asignación enorme. Sin vesting visible.
• Muchas wallets creadas en el mismo bloque con balances idénticos. Distribución falsa para parecer popular.

Compara con un proyecto legítimo — Bitcoin, ETH, tokens establecidos — y verás miles de holders con concentración gradual. Un token nuevo con 200 holders, tres con el 80%, es estructuralmente inseguro.

Paso 5: Comprueba la auditoría (con cuidado)

Una auditoría real de una firma conocida (Trail of Bits, OpenZeppelin, Quantstamp, CertiK, etc.) reduce el riesgo de rug porque caza funciones peligrosas en el contrato. Pero:

• Una "auditoría" de una firma que no conoces no vale nada — asegúrate de que sea reputada.
• Verifica si el contrato auditado coincide con el contrato en producción — a veces se audita una versión y se despliega otra.
• Las auditorías no cazan la tokenomics ni la intención del equipo — solo el código. Un contrato seguro puede igualmente rugear vía retirada de liquidez o venta coordinada.

Paso 6: Lee la presión del marketing

Casi todos los rugs tienen la misma textura de marketing: urgencia artificial. El lanzamiento es "ahora o nunca"; los influencers postean las mismas frases; el Telegram está lleno de emojis de fiesta; los admins te mandan DM con oportunidades exclusivas. Compáralo con un proyecto seguro de su valor — no necesita empujar.

Correlación fiable: cuanta más presión de marketing, más probable el rug. Los proyectos de verdad rara vez necesitan convencer a nadie a un momento exacto.

Errores comunes que convierten compradores en víctimas

• Comprar porque sube. Un pump solo significa que entraron antes los que están más baratos. No te dice nada sobre la seguridad.
• Fiarse de la existencia de una auditoría sin leerla. Las auditorías marcan justo los riesgos que el equipo luego ignora.
• Creer en "liquidez bloqueada" sin verificar el lock. Algunos dicen liquidez bloqueada cuando solo lo está un porcentaje minúsculo.
• Comprar tokens promovidos por influencers. Casi siempre es publicidad pagada; su endorsement no dice nada de seguridad.
• Tamaño excesivo. Aun haciéndolo todo bien, un token pequeño y desconocido es alto riesgo. Nunca inviertas más de lo que puedas perder por completo.

La checklist de seguridad

Antes de comprar cualquier token pequeño o nuevo, repasa esto — cinco minutos atrapan la mayoría de rugs:

• ¿La liquidez está demostrable bloqueada o quemada? ¿Durante cuánto?
• ¿El contrato está renunciado? Si no, ¿por qué?
• ¿El equipo está doxeado con historial real?
• ¿La distribución de holders parece sana (no 3 wallets con el 80%)?
• ¿Hay auditoría real de una firma conocida — y coincide con el contrato vivo?
• ¿El marketing es relajado o presionante y urgente?
• ¿He dimensionado para que una pérdida total no sea catastrófica?

Cualquier bandera roja sola es motivo para pasar. Junta dos y la matemática dice irse.

Lee los patrones de rug pull antes de estar dentro

Los rug pulls suelen dejar rastro — investigadores ven on-chain las señales, escriben hilos y los exponen antes del dump. Zippfeed sigue noticias de seguridad cripto en varias fuentes con puntuación de sentimiento e importancia, así cuando un proyecto empieza a mostrar señales (transferencias grandes a exchanges, cambios sospechosos en el contrato, silencio en redes) lo ves a tiempo para actuar. La mejor protección frente a los rug pulls es prestar atención a quien los observa.