Cargando precios…

Drainers de monederos en 2026: cómo ha evolucionado el phishing

Los kits de drainers se apoyan ahora en Permit2, agentes de soporte con IA y envenenamiento de direcciones a escala industrial. Esto es lo que ha cambiado y qué hacer en los primeros cinco minutos.

Drainers de monederos en 2026: cómo ha evolucionado el phishing

Qué es realmente un wallet drainer en 2026

Un wallet drainer es un código malicioso, normalmente un smart contract más un sitio web de phishing, diseñado para convencerte de que le concedas permiso para mover activos fuera de tu wallet. La versión antigua de esta estafa, el sitio falso de airdrop que pedía tu seed phrase, está hoy prácticamente obsoleta porque años de avisos han enseñado a los usuarios a no escribir esas doce palabras en ningún sitio online.

Lo que la ha sustituido es más sofisticado. Los kits modernos de drainers se venden como servicios de suscripción en foros de la dark web, con cuotas mensuales, paneles de control y atención al cliente para los delincuentes que los alquilan. Los operadores obtienen un panel de administración amigable que les permite elegir qué tokens y NFTs atacar, fijar límites de aprobación y seguir los ingresos en tiempo real. Algunos de estos kits se han utilizado para robar cifras de nueve dígitos en una sola campaña.

El cambio importa porque la experiencia de usuario ha cambiado. Ya no hace falta que te engañen para que entregues tus claves. Solo hace falta que te engañen para que pulses "firmar" en lo que parece una confirmación rutinaria. Cuando la wallet termina de explicar lo que acaba de pasar, el drainer ya ha enviado una transacción que retira tus stablecoins, tu ETH, tu SOL o tus NFTs más valiosos.

Por eso el panorama de amenazas de 2026 es distinto de todo lo anterior. La defensa ya no es "nunca compartas tu seed phrase". Es una lista de comprobación más larga y técnica que el usuario medio nunca ha aprendido.

Por qué los consejos de antes ya no te protegen

Si tu modelo mental del robo de cripto es "alguien me engañó para que escribiera mi seed phrase", te estás defendiendo del ataque de ayer. Tres cambios han hecho que ese consejo sea insuficiente.

En primer lugar, las hardware wallets y las software wallets modernas ya avisan claramente cuando un sitio pide introducir la seed. La economía de los drainers respondió migrando al robo basado en firmas, donde ningún secreto sale de tu dispositivo. Firmas lo que parece un inicio de sesión o reclamación normal, y la wallet muestra un mensaje vago tipo "interactuando con un contrato". Esa vaguedad es el ataque.

En segundo lugar, la mayoría de las dapps legítimas ya usan aprobaciones en lote, firmas sin gas y mensajes off-chain para que la experiencia de usuario sea fluida. Los drainers explotan exactamente la misma infraestructura. Desde la perspectiva de la wallet, firmar un mensaje Permit2 es indistinguible de firmar una cotización de Uniswap. La wallet no puede distinguir cuál es malicioso sin leer el contrato, y la mayoría no lo leen por ti.

En tercer lugar, los atacantes han trasladado su ingeniería social fuera de la cadena. El sitio de phishing es solo la puerta de entrada. La verdadera manipulación ocurre en DMs, grupos de Telegram, servidores de Discord y anuncios en buscadores que te llevan a un clon convincente. Cuando llegas al sitio malicioso, ya has sido preparado para confiar en él.

Abuso de firmas Permit y Permit2

Permit es un estándar de tokens de Ethereum (EIP-2612) que te permite autorizar a un contrato a gastar tus tokens sin pagar gas por la transacción de aprobación. Permit2, impulsado por Uniswap, generaliza esto de modo que una única firma fuera de la cadena puede conceder derechos amplios sobre muchos tokens a la vez.

Para los usuarios honrados, esto resulta cómodo. Para los drainers, es un regalo. Un único mensaje Permit2 firmado puede decir «permitir que el gastador mueva cualquier cantidad de los tokens listados, sin caducidad». El monedero muestra algo como «Firmar mensaje» con un largo bloque de texto que la mayoría de los usuarios no leerá. Si el usuario hace clic en confirmar, el backend del drainer puede llamar más tarde a la función permit y retirar fondos en cualquier momento, incluso días después.

El peligro se amplifica por lo que los monederos no muestran. Muchas interfaces de monedero muestran versiones truncadas o humanizadas de las firmas, y no siempre pueden decodificar un payload de Permit2 en «esto permite a un desconocido vaciar tu USDC». Algunos monederos han comenzado a añadir avisos para patrones conocidos de Permit2, pero la cobertura es desigual, especialmente en Solana, donde la firma de mensajes fuera de la cadena se comporta de forma distinta.

Los hábitos defensivos aquí son mecánicos. Trata cualquier solicitud de «Firmar mensaje» que no provenga de una dapp a la que te conectaste a propósito como una señal de alarma. Lee el payload decodificado si tu monedero te lo ofrece. Para saldos grandes, prefiere aprobaciones en la cadena con una cantidad específica y una caducidad corta, y revócalas cuando termines.

Envenenamiento de direcciones a escala industrial

El envenenamiento de direcciones explota el hecho de que las blockchains permiten a cualquiera enviar tokens a cualquier otro con una comisión mínima. Un operador de drainers genera miles de direcciones de monedero, elige aquellas cuyos primeros y últimos caracteres coinciden con las direcciones con las que has realizado transacciones recientemente y te envía una transacción de polvo con un valor prácticamente nulo.

No notas el polvo entrante. Más tarde, cuando copias una dirección para enviar fondos, tomas la envenenada de tu historial de transacciones, porque los primeros seis y los últimos cuatro caracteres parecen idénticos a los del destinatario real. La transferencia se completa y los fondos acaban en el monedero del atacante.

En Ethereum, el coste de generar miles de estas direcciones similares y enviar polvo es ya lo bastante bajo como para que los operadores ejecuten esto como infraestructura de fondo, no como una campaña dirigida. En Solana, la economía es aún más barata porque las comisiones base por transacción son una fracción de céntimo y las transferencias de tokens SPL pueden ser incluso más baratas.

La mitigación es sobre todo de procedimiento. Confirma siempre la dirección completa, no solo el prefijo y el sufijo. Usa la función de libreta de direcciones de tu monedero para copiar de un contacto etiquetado, no de una lista de transacciones. Para transferencias de alto valor, envía primero una transacción pequeña de prueba. Considera monederos que marquen el polvo entrante de orígenes desconocidos.

Suplantación de soporte generada por IA

La capa más humana de los ataques modernos de drainers es la suplantación del servicio de atención al cliente. Los operadores siembran servidores de Discord, grupos de Telegram e incluso respuestas en X con cuentas que parecen legítimas: fotos de perfil extraídas de miembros reales del equipo, variaciones de usuario realistas y un historial de comentarios útiles en hilos no relacionados.

Lo que cambió en 2025 y 2026 es el uso de IA generativa. Se han utilizado clones de voz de fundadores en llamadas en directo por Telegram para convencer a usuarios de que un «agente de soporte» es real. Avatares de vídeo generados por IA han aparecido en mensajes privados haciéndose pasar por personal de cumplimiento de grandes exchanges. Chatbots de IA mantienen conversaciones largas y pacientes con las víctimas, guiándolas por el proceso de «verificación» que termina en un sitio de drainer.

La razón por la que esto funciona es que la suplantación es paciente. El atacante no necesita llevarte rápido por un enlace malo en treinta segundos. Puede pasar días ganándose tu confianza en un servidor de Discord, luego enviarte un DM sobre un airdrop falso y luego guiarte por un proceso de «reclamación» que firma un mensaje Permit2. Cuando llegas al sitio malicioso, crees que estás hablando con un empleado real.

La defensa es tratar por defecto todos los DM no solicitados como hostiles. Los equipos de soporte reales de proyectos importantes casi nunca inician contacto por DM; te dirigen a un sistema de tickets o a una dirección de correo oficial. Si alguien te escribe primero claiming ser del equipo de soporte de un proyecto, con una probabilidad abrumadora es una estafa. Verifica a través de un canal que abriste tú mismo, no uno proporcionado por el contacto.

Extensiones de navegador maliciosas y monederos piggyback

Las extensiones de navegador son un vector más silencioso pero creciente. El patrón es directo. Un atacante clona o cambia la apariencia de una extensión de monedero legítima, la publica en una tienda de Chrome o Firefox con un nombre e icono similares y espera a que los usuarios la instalen por error. Una vez instalada, la extensión puede reescribir direcciones en páginas web, cambiar los detalles de la transacción en la ventana del monedero o llamar a contratos de phishing en el momento en que el usuario se conecta.

Una variante más sutil se monta sobre extensiones legítimas. Algunos operadores de drainers compran extensiones existentes con pocos installs, lanzan una actualización maliciosa y dejan que la base de usuarios existente se actualice automáticamente a una versión comprometida. La extensión sigue pareciendo funcionar con normalidad, pero ahora cosecha mensajes firmados y los reenvía a servidores controlados por el atacante.

Los monederos móviles enfrentan un riesgo paralelo. Aparecen apps de monedero falsas en las tiendas de aplicaciones, a veces llegando brevemente a lo alto de los resultados de búsqueda mediante promoción pagada, y generan seed phrases que el atacante ya conoce. Cuando el usuario financia el monedero, los activos se desvían en cuestión de minutos.

Las defensas aquí son de entorno. Instala extensiones de monedero solo desde los sitios web oficiales de los proyectos que pretendes usar. Revisa los permisos que solicita una extensión y revoca todo lo que no sea necesario para las operaciones del monedero. En móvil, verifica el nombre del desarrollador, el número de instalaciones y la fecha de la última actualización antes de financiar cualquier nueva app de monedero.

Primeros auxilios: qué hacer en los cinco minutos tras una firma maliciosa

Si sospechas que has firmado algo malicioso, los próximos minutos determinarán cuánto pierdes. La velocidad importa porque muchos drainers esperan minutos u horas antes de cobrar, confiando en que no te darás cuenta.

El primer paso es dejar de interactuar con la dapp que produjo la firma. Cierra la pestaña, desconecta tu monedero del sitio si la opción sigue disponible y no firmes ninguna otra transacción desde el monedero comprometido. La siguiente firma que realizes podría ser una carga útil de segunda etapa que comprometa aún más tus aprobaciones.

El segundo paso es mover tus activos restantes a un monedero limpio que nunca haya interactuado con el sitio sospechoso. Usa un monedero de hardware si tienes uno, o un monedero recién instalado cuya frase semilla se haya generado sin conexión. Hazlo desde el monedero comprometido, firmando una transferencia normal (no una aprobación) a la nueva dirección. Si el drainer ya ha retirado tokens concretos, prioriza mover los que aún no se hayan llevado.

El tercer paso es revocar las aprobaciones. En Ethereum, servicios como revoke.cash pueden enumerar cada aprobación que tu monedero haya concedido y permitirte enviar revocaciones on-chain. Hazlo desde el monedero comprometido antes de pasarlo a un estado de solo vigilancia. Ten en cuenta que revocar cuesta gas y que los drainers a veces vigilan la mempool en busca de revocaciones, así que mueve primero los fondos y luego revoca.

El cuarto paso es revisar la transacción o el mensaje firmado en sí. En Etherscan o Solscan, busca la transacción más reciente de tu monedero y comprueba si interactuó con un contrato de drainer conocido. Si firmaste un mensaje Permit2 pero aún no ha aparecido ninguna transacción on-chain, puede que el drainer esté esperando para enviarla. Trata cualquier mensaje firmado sin confirmar como munición activa.

El quinto paso es alertar a los proyectos afectados. Si el drainer se hizo pasar por un protocolo conocido, contacta con ese protocolo por un canal oficial para que pueda avisar a otros usuarios. Denuncia el sitio malicioso a Google Safe Browsing, al proveedor del monedero y a cualquier firma de análisis on-chain que publique direcciones de estafa.

Cómo leer con ojo crítico la nueva ola de noticias sobre drainers

Las noticias sobre drainers en 2026 suelen llegar en dos sabores. La primera son titulares alarmistas sobre una sola campaña que roba decenas de millones, que a menudo reciclan capturas antiguas e inflan las cifras. La segunda son post-mortem excesivamente técnicos de firmas de seguridad que nombran contratos pero no explican la ingeniería social que llevó a la firma.

Presta atención a los detalles que importan: qué tipo de firma se abusó, qué dapp se suplantó, qué cadena fue el objetivo y si la campaña sigue activa. Ignora los totales de pérdidas en cifras redondas a menos que provengan de un monedero on-chain verificable, e ignora las promesas de que una "nueva herramienta" te hará inmune. Ninguna herramienta sustituye la disciplina básica de leer lo que firmas.

Mantente por delante de los drainers de monedero con Zippfeed

Las tácticas de los drainers de monedero evolucionan cada semana, y seguir qué firmas, cadenas y suplantaciones están activas ahora mismo ya es un trabajo en sí mismo. Zippfeed reúne titulares cripto de toda la web, puntúa cada uno como alcista, neutral o bajista y los clasifica por importancia, para que puedas detectar nuevos patrones de phishing y alertas de seguridad antes de que lleguen a tu monedero. Úsalo para mantener el pulso del cripto sin tener que perseguir cada hilo de foro por tu cuenta.

Preguntas frecuentes

¿Es seguro firmar un mensaje de Permit2 de un dapp al que acabo de conectarme?
Los mensajes de Permit2 pueden conceder aprobaciones de tokens muy amplias, y no todos los monederos avisan con claridad de lo que autorizan. Trata cualquier solicitud de Permit2 como de alto riesgo: lee la carga útil decodificada si tu monedero la muestra, comprueba que la dirección del gastador coincida con el dapp que querías usar y prefiere aprobaciones on-chain con importes concretos y caducidades cortas para saldos elevados. Esto es una guía general de seguridad, no asesoramiento financiero.
¿Cómo llega el envenenamiento de direcciones a vaciar mi monedero?
Los atacantes generan direcciones que comparten los primeros y últimos caracteres con direcciones que ya has usado y luego te envían pequeños envíos de dusting. Más tarde, al copiar una dirección de destinatario de tu historial de transacciones, puedes tomar la envenenada por error y enviar fondos al atacante. Comprueba siempre la dirección completa, usa una agenda de contactos para destinatarios conocidos y envía una transacción de prueba pequeña para transferencias de alto valor.
¿Debo confiar en el personal de soporte que me escribe por DM en Telegram o Discord?
Trata cualquier DM no solicitado de alguien que dice ser soporte como hostil hasta que se demuestre lo contrario, porque los operadores de drainers ya usan voces, avatares y chatbots generados con IA para suplantar a miembros reales del equipo. Los proyectos legítimos casi siempre canalizan el soporte a través de sistemas de tickets o correo oficial, nunca con mensajes directos como primer contacto. Verifica la identidad únicamente por un canal que tú mismo hayas abierto, no uno que te haya facilitado esa persona.
¿Qué debo hacer en primer lugar si creo que he firmado un mensaje malicioso?
Deja de interactuar con el dapp que generó la firma y mueve de inmediato tus activos restantes a un monedero limpio que nunca haya tocado ese sitio, dando prioridad a los tokens que el drainer aún no ha atacado. Desde el monedero comprometido, revoca cualquier aprobación de tokens con una herramienta como revoke.cash y revisa la última transacción en un explorador de bloques para ver si el contrato del drainer ya está activo. Cuando se calme la situación, avisa al proyecto suplantado por un canal oficial para que otros puedan estar alerta.
Tokens relacionados
$ETH $SOL