Qué es realmente un ataque de phishing cripto
Un ataque de phishing cripto es un intento de ingeniería social diseñado para conseguir que un usuario firme una transacción en la blockchain, apruebe una asignación de tokens o entregue una frase semilla. El atacante rara vez necesita encontrar un fallo de software. La blockchain, ya funcione sobre Bitcoin, Ethereum o Solana, opera exactamente como fue diseñada. La víctima simplemente autoriza una transacción que no comprende del todo.
Esta es la parte que confunde a los recién llegados. Si la cadena es segura y el monedero está cifrado, ¿cómo desaparece el dinero? La respuesta honesta es que la criptografía protege la clave privada de un monedero, pero no puede proteger a una persona de firmar voluntariamente el mensaje equivocado. El phishing explota la brecha entre lo que una transacción parece y lo que hace realmente en la cadena.
El phishing en cripto es también inusualmente definitivo. Un banco puede revertir una transferencia fraudulenta. Una blockchain no, por diseño. Ese es precisamente el sentido del dinero descentralizado, y es exactamente por lo que los estafadores lo adoran. Una vez que se confirma una transacción de vaciado, los fondos se mueven al monedero del atacante, y la recuperación depende de la buena voluntad de servicios centralizados que pueden o no existir aguas abajo.
Los riesgos reales: qué falla en la práctica
Antes de hablar de cómo funciona el phishing, conviene ser directos sobre lo que está en juego, porque los modos de fallo no son abstractos.
Vaciado total del monedero. Una firma exitosa puede autorizar a un contrato inteligente a mover cada token y NFT de tu monedero, no solo un token. Este es el peor escenario, y el más habitual en 2024 y 2025. Las víctimas a menudo inician sesión esperando ver su cartera y se encuentran un monedero vacío a los pocos minutos de haber firmado.
Robo de un token específico. Algunas aprobaciones se limitan a un único token ERC-20. El usuario puede conservar la mayor parte de su saldo, pero pierde el activo concreto de alto valor al que el atacante apuntaba, a menudo una stablecoin como USDT o USDC, o un token popular como ETH o SOL.
Robos repetidos a partir de la misma aprobación. Esta es la parte que los principiantes pasan por alto. Una aprobación no es un evento único. Una vez que firmas setApprovalForAll sobre una colección de NFT, por ejemplo, el atacante puede invocar esa aprobación una y otra vez hasta que la revoques. Muchas víctimas son vaciadas una segunda vez porque nunca revocaron la firma original.
Pérdida de la frase semilla. Una categoría más reducida, pero mucho más catastrófica, de phishing apunta directamente a la frase semilla. Falsas apps de monedero, falsos agentes de "soporte" y extensiones de navegador maliciosas pueden capturar las 12 o 24 palabras que respaldan por completo un monedero. Con esas palabras, el atacante no necesita ninguna firma. Simplemente restaura el monedero en su propio dispositivo y lo vacía.
Daño a la reputación y compromiso de la cuenta. En cadenas como Ethereum, firmar un mensaje malicioso puede publicar una declaración en la cadena, como "soy un estafador", o conceder al atacante un token que le permita suplantarte en ciertas aplicaciones. Son casos más raros, pero muestran lo flexible que puede ser el abuso de firmas.
El resumen honesto: el phishing es la causa más común de pérdidas individuales en cripto, y las pérdidas suelen ser totales e irreversibles. No es una amenaza menor.
La anatomía de un ataque moderno de phishing cripto
El phishing cripto moderno se vende como un producto. Kits de drenaje como Pink Drainer, Inferno Drainer y Angel Drainer se han ofrecido en foros de la dark web como servicios de suscripción, con paneles de control, atención al cliente y acuerdos de reparto de beneficios. La barrera de entrada para un estafador en potencia es sorprendentemente baja, por eso el volumen de ataques sigue creciendo.
A pesar de la variedad, la cadena de ataque sigue una secuencia predecible. Entender cada paso es la única forma fiable de romperla, porque los atacantes ganan o pierden en el momento de la firma.
Paso 1: el anzuelo
Todo ataque empieza con un motivo para que hagas clic. Los anzuelos más comunes en el ciclo actual son:
- Airdrops falsos. Un mensaje afirma que eres elegible para un drop gratuito de tokens de un proyecto real. El enlace te lleva a un sitio idéntico al sitio legítimo del proyecto. Los sitios de airdrops falsos y los kits de drenaje suelen venir empaquetados juntos, así que un único kit de phishing puede poner en marcha una página de "reclamación", un contrato de token y un drenador de una sola vez.
- Ataques de envenenamiento de direcciones. Envías cripto a una dirección conocida y, más tarde, recibes una pequeña transacción de "polvo" desde una dirección que empieza y termina con los mismos caracteres. El atacante espera que, cuando copies la dirección desde tu historial para enviar un pago mayor, copies la envenenada. La cadena en sí no se ve comprometida; tu propio historial de transacciones es el arma.
- Extensiones de navegador maliciosas. Extensiones que se hacen pasar por asistentes de monedero, protectores de MEV o rastreadores de precios pueden leer todo lo que aparece en las páginas que visitas. Cuando conectas un monedero, la extensión puede reescribir los datos de la transacción en tránsito, cambiando la dirección de destino o el contrato que estás aprobando antes de que firmes.
- Cuentas comprometidas de Discord, Telegram o X. Los proyectos reales también son hackeados. Cuando una cuenta oficial de un proyecto publica un enlace de "reclama tu airdrop", incluso usuarios cautelosos hacen clic. El enlace es real, la publicación es real y el sitio es falso.
- Anuncios en buscadores. Los atacantes compran anuncios para búsquedas como "Uniswap login" o "MetaMask support". El anuncio aparece en la parte superior de Google, por encima del resultado legítimo. El enlace del anuncio apunta a un dominio parecido.
Paso 2: el sitio clon
El anzuelo te lleva a un sitio web visualmente idéntico a uno real. El dominio es el único diferenciador y está diseñado para engañar a simple vista. uniswаp.org utiliza una "a" cirílica. metamask-io.com añade un guion y un sufijo. La página te pide conectar un monedero, algo que parece normal porque cualquier dApp legítima hace lo mismo.
En este punto, no se ha movido ningún fondo. Tu monedero aún no está comprometido. El atacante solo ha puesto una puerta falsa delante de ti. Si la atraviesas o no depende de lo que ocurra a continuación.
Paso 3: la solicitud de firma, donde vive la cadena de ataque
Este es el momento en que todo se decide. Conectar un monedero a un sitio no mueve fondos. Lo que mueve fondos es firmar una transacción o un mensaje. Los drenadores están diseñados para que esa firma parezca rutinaria, de modo que el usuario firma sin pensarlo.
Los tipos de firma más habituales que se han abusado en 2024 y 2025 son:
- permit y permit2. Una firma off-chain que permite a un contrato retirar un token específico de tu monedero más adelante, sin que firmes otra transacción. La interfaz del monedero a menudo lo muestra como una "aprobación sin gas" y oculta los detalles técnicos. La firma es válida de forma indefinida y cuesta revocarla.
- setApprovalForAll en ERC-721 o ERC-1155. Concede a un contrato permiso para mover todos los NFT de una colección desde tu monedero. La interfaz del monedero suele describirlo de forma escueta, pero la mayoría de los usuarios no sabe qué significa setApprovalForAll, y los atacantes cuentan con eso.
- increaseAllowance en tokens ERC-20. El clásico "aprobación infinita". Firmas una vez y un contrato malicioso puede vaciar ese token concreto de tu monedero en cualquier momento futuro.
- eth_sign y personal_sign. Una solicitud de firma en blanco. El monedero muestra una advertencia legible, pero se pide al usuario firmar un hash. El mensaje firmado a veces puede reproducirse como una transacción, según la cadena y la versión del monedero.
Este es el problema de firmar-lo-que-ves (o firmar-lo-que-no-ves). Las interfaces de los monederos han mejorado, pero siguen sin poder traducir por completo una llamada a un contrato inteligente a un lenguaje claro. Una solicitud que dice "conceder aprobación para todos los tokens de la colección X a la dirección Y" es técnicamente correcta. También es exactamente lo que un atacante necesita. El hábito de leer el nombre del método, la dirección del gastador y el contrato al que se llama es la defensa más útil que un usuario puede construir.
Paso 4: el drenaje
Una vez que entra la firma maliciosa, el atacante llama a la función aprobada. En un único bloque, el contenido del monedero se traslada a la dirección del atacante. La víctima puede ni siquiera ver la transacción saliente antes de que se confirme. En cadenas como Solana, donde las transacciones pueden agrupar muchas acciones, el drenaje puede vaciar un monedero con una sola firma que parece un simple "reclamo".
Tras el drenaje, el atacante suele pasar los fondos por un mezclador o un puente cross-chain, luego por un exchange sin KYC, y el rastro se enfría. Algunos fondos sí se congelan cuando tocan un exchange regulado, pero la mayoría no. Por eso la prevención es todo el juego.
Por qué el phishing funciona tan bien, incluso con usuarios experimentados
La razón por la que el phishing sigue triunfando en cripto no es que los usuarios sean descuidados. Es que las defensas son realmente difíciles.
El engaño visual es fácil. Un clon perfecto de un sitio real le cuesta al estafador unos pocos cientos de dólares. La asimetría es brutal: el usuario tiene que estar alerta el 100% del tiempo; al atacante le basta con ganar una vez.
La interfaz del monedero no es un extracto bancario. Cuando firmas una transacción, normalmente ves el nombre del método, una estimación de gas y un campo de datos en hexadecimal. Los datos en hexadecimal son la parte que realmente describe lo que estás autorizando, y casi nadie los lee. El monedero te muestra lo suficiente para firmar, no lo suficiente para entender.
Las direcciones no son legibles. Una dirección de Ethereum o Solana es una larga cadena de caracteres hexadecimales o ruido en base58. Los ataques de envenenamiento de direcciones funcionan precisamente porque nadie puede distinguir visualmente dos direcciones que se diferencian por un carácter en el medio.
El contexto social se explota. El phishing a menudo llega dentro de una conversación real, en un Discord real, desde la cuenta real comprometida de un amigo. La confianza es prestada.
FOMO y urgencia. "Reclama en las próximas 2 horas o tu asignación desaparece" es una táctica clásica de presión. Funciona con los usuarios cripto porque las fechas límite de los airdrops son reales, y el reflejo es actuar rápido.
La solución no es ser más listo que el estafador. La solución es diseñar hábitos que no dependan de que tengas un buen día.
Cómo defenderte, hábito a hábito
A continuación tienes un conjunto de hábitos que, juntos, rompen la cadena de ataque en uno de varios puntos. Ninguno requiere herramientas especiales ni experiencia.
Verifica la URL antes de hacer clic, y otra vez antes de firmar
Escribe tú mismo la URL del proyecto o accede desde un marcador. Nunca confíes en un enlace de un DM, un anuncio o un resultado de búsqueda, aunque la página parezca idéntica. Mira el dominio en la barra de direcciones de tu navegador, no el texto del enlace. Si tienes cualquier duda, navega a otro sitio y vuelve a introducir la URL desde cero.
Lee la firma, no solo el aviso del monedero
La mayoría de los monederos modernos te muestran la dirección del contrato, la función que se llama y, a veces, una versión decodificada. Trátalo como leer un contrato antes de firmar. Si la función es setApprovalForAll, permit o increaseAllowance sobre un contrato que no reconoces, no firmes. Si el monedero muestra un genérico "Sign In With Ethereum" o un hash en blanco, ve más despacio.
\p>También puedes pegar la dirección del contrato en un explorador de bloques como Etherscan o Solscan antes de firmar. Si el contrato no está verificado, no tiene nombre o se desplegó hace unos días, esa es una señal clara para alejarte.Usa un monedero "caliente" aparte y una "bóveda fría"
Mantén la mayor parte de tu ETH, SOL o BTC en un monedero que nunca se conecte a dApps. Usa un segundo monedero con saldo menor para trading, airdrops y DeFi. Si el monedero caliente se vacía, la pérdida está acotada. Esta es la defensa estructural más eficaz contra el phishing.
Revoca aprobaciones antiguas de forma periódica
Las aprobaciones no caducan por defecto. Herramientas como revoke.cash y el inspector de aprobaciones de Etherscan te permiten ver y revocar antiguos permisos de tokens y NFT. Revocar tiene un pequeño coste de gas y es una limpieza puntual. Una revisión trimestral es un ritmo razonable.
Estate atento al envenenamiento de direcciones
Nunca copies una dirección de destino desde tu historial de transacciones. Cópiala siempre de la fuente, idealmente escaneando un código QR, o usando una función del monedero que etiquete contactos conocidos. Si un desconocido te envía una pequeña cantidad de ETH o SOL sin motivo, ignóralo. No interactúes con esa dirección. Casi seguro es un envenenamiento.
Audita tus extensiones del navegador
Elimina cualquier extensión que no uses de forma activa. Las extensiones del navegador tienen acceso completo a las páginas que visitas y las maliciosas pueden reescribir los datos que tu monedero está a punto de firmar. Si necesitas un monedero, usa la extensión oficial del propio sitio del monedero, no un "asistente" de terceros.
Nunca introduzcas tu seed phrase en ningún sitio
Ningún monedero legítimo, dApp o agente de soporte te pedirá jamás tu seed phrase. Quien te la pida te está atacando, sin matices. Esta es la única regla sin excepciones.
Qué hacer si ya has firmado algo sospechoso
Si has firmado un permit, un approval o un setApprovalForAll sobre un contrato que no es de fiar, el daño aún no está necesariamente hecho. El contrato del atacante necesita ser invocado para mover realmente los fondos, y a menudo hay una ventana antes de que eso ocurra.
El primer paso es revocar la aprobación de inmediato, usando revoke.cash o una herramienta similar. El segundo paso es mover cualquier activo valioso del monedero comprometido a un monedero nuevo que nunca haya tocado el sitio malicioso. La velocidad importa, porque los drenadores automáticos suelen funcionar con bots que monitorizan nuevas aprobaciones.
Si ya te han vaciado, los fondos son casi con total seguridad irrecuperables on-chain. Lo que puedes hacer es denunciar el incidente a las fuerzas de seguridad, compartir la dirección del atacante con servicios de etiquetado de exploradores de bloques y avisar a cualquier exchange centralizado que pueda estar aguas abajo. Es un pequeño consuelo, pero es el único honesto.
No te avergüences. Los kits de drenaje están diseñados por equipos criminales profesionales y pillan a usuarios experimentados. La respuesta correcta es aprender los hábitos anteriores y diseñar tu configuración para que el próximo error sea pequeño.
Cómo seguir las amenazas de phishing de forma inteligente
Las tácticas de phishing cambian cada trimestre. Aparecen nuevos kits de drenado, nuevos formatos de cebo se vuelven virales y viejos trucos resurgen con una nueva capa de pintura. Saber qué estafas están activas y qué contratos se están denunciando como maliciosos es un trabajo real si intentas hacerlo manualmente. Zippfeed muestra titulares de ataques de phishing cripto, avisos de seguridad y advertencias de la comunidad con puntuación de sentimiento, alcista, neutral o bajista, y una calificación de importancia, para que puedas detectar nuevas amenazas antes de que lleguen a tu wallet. Combina ese feed con los hábitos anteriores y tendrás una defensa mucho más difícil de pillar desprevenida.
