Cargando precios…

Qué hace realmente un rastreador de cartera de cripto con tus datos

El acceso de solo lectura no está exento de riesgos. Esto es exactamente lo que ven los rastreadores de cartera, lo que almacenan y dónde se han roto ya los flujos de datos.

Qué hace realmente un rastreador de cartera de cripto con tus datos

Lo que promete un rastreador de carteras frente a lo que realmente hace

Todos los rastreadores de carteras de cripto convencionales, desde Zerion y CoinStats hasta Delta, Blockfolio y la pestaña de cartera dentro de apps de exchanges como Coinbase o Binance, venden la misma idea: conecta tus cosas y obtén una imagen clara de tu patrimonio neto entre monederos, exchanges y cadenas.

El lenguaje de marketing es casi siempre el mismo. «Acceso de solo lectura.» «Tus fondos se quedan en tu monedero.» «Seguridad de nivel bancario.» «Nunca tocamos tus claves privadas.» Para un principiante que compara cinco aplicaciones, ese lenguaje suena tranquilizador y en gran medida idéntico, que es exactamente por lo que merece ser analizado en detalle.

La expresión «solo lectura» en cripto tiene un significado técnico específico: las credenciales que entregas no pueden, por sí mismas, firmar una transacción que mueva tus fondos. Una «clave de visión» de un monedero o una «dirección solo de consulta» no puede enviar ETH. Una clave API de solo lectura de un CEX, sin el permiso de «operar», no puede lanzar una orden en Binance. En ese sentido estricto, el marketing es cierto.

Lo que el marketing casi nunca explica es la otra mitad. Solo lectura se refiere a la firma, no a la visibilidad. La misma credencial que no puede mover tus monedas puede leer todo sobre ellas: cada dirección en tu monedero, cada saldo de tokens, cada transacción histórica, cada contraparte con la que hayas operado y, en el caso de un CEX, cada operación, depósito y retiro que hayas hecho jamás en esa cuenta.

Qué datos salen realmente de tu dispositivo

Para mostrarte una cartera, un rastreador tiene que recibir un conjunto concreto de datos por tu parte. La lista exacta varía según la aplicación, pero las categorías se mantienen estables en toda la categoría.

Desde una conexión con un monedero de autocustodia (WalletConnect, modo «solo lectura» de MetaMask o importación manual de direcciones): la dirección pública o xPub/clave pública extendida de cada monedero que conectas, lo que expone el árbol completo de direcciones derivadas, las hayas usado o no, además del historial completo de transacciones en cadena asociado a esas direcciones, más los saldos de tokens y tenencias de NFT en el momento de cada sincronización. En particular, un xPub es una ventana permanente a todas las direcciones pasadas y futuras de ese monedero, así que una vez que sale de tu dispositivo, no puedes revocarlo fácilmente.

Desde una clave API de un exchange centralizado: la propia clave más los permisos que hayas concedido, normalmente «lectura» de saldos de cuenta, «lectura» del historial de operaciones y, en ocasiones, «lectura» de direcciones de depósito. Si activaste por error la casilla de «permitir operar» o «permitir retiros» al generar la clave, el rastreador también podrá lanzar órdenes o iniciar retiros en tu nombre. La mayoría de los rastreadores convencionales te indican que dejes los permisos de operar y retiro desactivados, pero la casilla está del lado del exchange y muchos usuarios la aceptan sin pensar.

Desde la capa de dispositivo y red, independientemente del tipo de conexión: tu dirección IP, que revela una geolocalización aproximada y tu ISP, tu cadena de agente de usuario y la huella digital del dispositivo, tu correo electrónico (tienes que crear una cuenta) y tu token de notificaciones push si activas las alertas. Si la aplicación utiliza análisis de terceros, todo lo anterior también se envía a esos proveedores.

Casi ninguno de estos datos se almacena únicamente en tu teléfono. El trabajo del rastreador es precisamente agregarlos en un servidor para poder mostrarte un panel, sincronizar entre dispositivos y (en muchos casos) impulsar informes fiscales, alertas y feeds de precios. La agregación en un servidor es el producto. Ahí es también donde vive el riesgo para la privacidad.

Por qué "solo lectura" no es lo mismo que "privado"

En una blockchain pública como Ethereum o Bitcoin, cada dirección de monedero ya es pública. Cualquier persona que conozca tu dirección puede consultar tus saldos e historial en un explorador de bloques. Así que, en un sentido estricto, un rastreador simplemente está consultando datos públicos en tu nombre.

Pero existe una gran diferencia entre "puedo pegar una dirección en Etherscan" y "una sola empresa tiene una base de datos consultable que vincula mi correo electrónico, mi IP, mi dispositivo y cada dirección que he usado jamás". Esa agregación es el evento relevante para la privacidad, y es lo que realmente guardan los servidores del rastreador.

Tres factores convierten esa agregación de algo ligeramente incómodo en algo realmente arriesgado:

1. La agrupación de direcciones te desanonimiza. Una vez que un rastreador tiene varias de tus direcciones, él (y cualquier atacante que robe su base de datos) puede agruparlas como pertenecientes a la misma persona. Si cruzas ese grupo con nombres ENS públicos, doxxing en Twitter, filtraciones de KYC de exchanges o direcciones de donaciones que hayas compartido públicamente, el grupo de repente tiene un nombre asociado.

2. Los datos son un objetivo. Una base de datos que relaciona correos electrónicos con patrimonio neto multichain, historial de operaciones y cuentas de exchange es exactamente el conjunto de datos que quieren los grupos organizados de phishing, los "atacantes con llave inglesa" físicos y los ladrones de identidad. También es el conjunto de datos que las autoridades fiscales, los adversarios en litigios y las exparejas en procesos de divorcio pueden solicitar mediante una orden judicial.

3. Las filtraciones no son hipotéticas. Esta categoría ya se ha visto afectada, más de una vez, y los casos que se mencionan a continuación no son leyendas urbanas.

Filtraciones reales y casos por poco ocurridos que la publicidad no mencionará

El patrón importa más que cualquier incidente aislado. Los rastreadores de cartera se encuentran en la intersección de tres cosas que los atacantes desean: una lista de usuarios de criptomonedas, evidencia de cuánto crypto poseen y credenciales o APIs que a veces pueden llegar a esos fondos directamente.

CoinStats, junio de 2024. Los atacantes comprometieron los sistemas internos de CoinStats y utilizaron la propia función de notificaciones push de la plataforma para enviar enlaces de phishing a 1.590 monederos de usuarios. Los mensajes falsos estaban personalizados con los datos que la aplicación ya tenía sobre esos usuarios, lo que los hacía especialmente convincentes. CoinStats reveló el incidente, cerró partes del producto y advirtió a los usuarios afectados que trataran cualquier solicitud de firma recibida durante esa ventana como maliciosa.

Zerion, diciembre de 2022. Un atacante obtuvo brevemente acceso al endpoint de la API de solo lectura de Zerion y lo utilizó para vaciar los monederos de usuarios que fueron engañados para firmar transacciones maliciosas en otros lugares. La propia infraestructura de solo lectura de Zerion no se usó para mover fondos, pero el incidente puso de manifiesto cómo un rastreador comprometido puede convertirse en una plataforma de lanzamiento para nuevos ataques contra su base de usuarios.

Blockfolio (ahora app de FTX), octubre de 2020. El sistema de notificaciones push "Signal" de Blockfolio fue secuestrado y utilizado para enviar spam, incluido contenido pornográfico, a aproximadamente la mitad de la base de usuarios de la aplicación. No se perdieron fondos, pero la filtración expuso lo endeble que era la seguridad operativa en una empresa que acababa de ser adquirida.

SaaS de terceros en la cadena de suministro. Varios rastreadores y exchanges han visto expuestos datos de usuarios no a través de su propio código, sino a través de un proveedor con el que los compartían, incluyendo herramientas de analítica, plataformas de atención al cliente y proveedores de correo electrónico. Se trata de la misma clase de filtración que sufrieron empresas como Twilio y Mailchimp, y los usuarios de criptomonedas están sobrerrepresentados en esos conjuntos de datos debido al uso generalizado en el sector de herramientas de KYC y onboarding amigables con las criptomonedas.

El denominador común: en todos los casos, el atacante no necesitó "hackear una blockchain". Hackeó a una empresa que ya había agregado los datos por ellos.

La función de exportación fiscal como honeypot de datos

La mayoría de los principiantes adoptan un rastreador de cartera por una razón por encima de todas: la campaña de impuestos. El IRS de EE. UU. trata las criptomonedas como propiedad, muchas otras jurisdicciones tienen reglas similares, y la única forma realista de presentar una declaración sobre cientos o miles de operaciones es exportar un CSV o PDF ordenado desde una herramienta que ya haya realizado el cálculo del coste base.

Las exportaciones fiscales son cómodas y, además, son la función más sensible de toda la aplicación. Para generarlas, el rastreador tiene que conservar, en un único lugar, todo tu historial de operaciones de varios años en cada plataforma, cada transferencia entre monederos, cada ganancia realizada, tu historial completo de rampas de entrada fiat y (si la exportación incluye el modo "completo") a veces tus direcciones de depósito y retirada. Es una imagen más completa de tu vida financiera que la que la mayoría de los bancos conservan sobre ti en un solo archivo.

Se derivan dos riesgos prácticos:

Duración del almacenamiento. Los registros fiscales deberían conservarse durante unos siete años en muchas jurisdicciones. Si tu rastreador también los conserva durante siete años, esos datos permanecen en su base de datos durante toda esa ventana, incluyendo cualquier futura filtración, cambio de dirección o adquisición. Algunos rastreadores eliminan explícitamente los datos fiscales al cerrar la cuenta; otros los conservan durante el período legalmente exigido. La política de retención suele estar enterrada en la política de privacidad.

Archivos de exportación en tránsito. El CSV que descargas a tu portátil es una superficie de ataque; ese mismo CSV guardado en tu bandeja de entrada de correo como adjunto es otra. Si además lo almacenas en sincronización en la nube (iCloud, Google Drive, Dropbox) y esa cuenta se ve comprometida, la exportación fiscal se convierte en un mapa de tus tenencias de criptomonedas disponible para quien haya robado tus credenciales en la nube.

El enfoque honesto: las funciones fiscales son útiles y concentran exactamente los datos que un atacante, un litigante o un actor gubernamental hostil más desea encontrar.

Alternativas que preservan la privacidad (y sus compensaciones)

No tienes que elegir entre "darle todo a un rastreador" y "no rastrear nada". Existe una franja intermedia, pero te costará comodidad.

Rastreadores solo locales. Herramientas como Rotki, el modo de escritorio de Koinly o una instancia autoalojada de un rastreador de código abierto mantienen tus datos en tu equipo. Rotki, en particular, se basa en el principio de que tus direcciones, claves API e historial de operaciones nunca salen de tu dispositivo a menos que decidas explícitamente sincronizarlos. La contrapartida es que no hay panel sincronizado entre dispositivos, ni app móvil sincronizada, y tú eres responsable de tus propias copias de seguridad.

Solo lectura, sin claves API, lista manual de direcciones. Puedes pegar una lista de direcciones en el modo "watch-only" de un rastreador sin conceder nunca una clave API. Sigues enviando las direcciones al servidor del rastreador, que sigue conociendo tu IP y tu correo electrónico, pero eliminas el riesgo de que una clave API sea abusada o tenga los permisos equivocados. Este es el nivel "úsalo si quieres agregación" en el árbol de decisiones.

Explorador de bloques + hoja de cálculo. Para usuarios con un número reducido de monederos y exchanges, un explorador de bloques como Etherscan combinado con exportaciones manuales en CSV desde cada exchange es suficiente para reconstruir una cartera. Es tedioso y no gestiona bien las posiciones en DeFi, pero los datos nunca quedan en una base de datos de terceros.

Múltiples identidades. Algunos usuarios preocupados por la privacidad dividen deliberadamente sus tenencias entre varios monederos y cuentas de rastreador para que ninguna filtración individual revele el panorama completo. Esto es seguridad operativa, no paranoia: funciona del mismo modo que repartir las inversiones entre varios brókeres funciona en las finanzas tradicionales.

Monedero hardware + vista de cartera nativa. Monederos como Ledger Live y Trezor Suite incluyen una vista de cartera que se comunica directamente con los nodos en lugar de con un agregador centralizado. Sigues filtrando tus direcciones a los nodos que consultas, lo cual es una consideración en sí misma, pero ninguna empresa termina poseyendo el paquete completo.

Cómo elegir: un árbol de decisión

Si quieres la respuesta más sencilla: a la mayoría de los principiantes les basta con un rastreador conocido, siempre que entiendas qué estás intercambiando por la comodidad. El trueque es datos por comodidad, y la cuestión es si lo haces a sabiendas.

Si prefieres una regla práctica más afinada:

Usa un rastreador conocido (Zerion, CoinStats, Delta, etc.) si quieres un panel limpio, aceptas que tus direcciones y tu historial de operaciones estarán en un servidor de terceros, generas claves API del CEX solo con permisos de lectura y las restringes por IP desde el propio exchange, desactivas todos los permisos opcionales durante la configuración inicial, y utilizas un correo electrónico dedicado junto con una contraseña única y robusta y autenticación en dos pasos. Revisa el historial de incidentes del rastreador antes de registrarte.

Usa un rastreador local (Rotki, autoalojado o una hoja de cálculo) si tus tenencias son lo suficientemente grandes como para que ser un objetivo individual sea una amenaza real, declaras impuestos en una jurisdicción que exige historial de varios años, no necesitas sincronización entre dispositivos, y estás dispuesto a gestionar tus propias copias de seguridad. Calcula dedicar un fin de semana a la configuración.

Usa el modo de lista de direcciones de solo vigilancia de cualquier rastreador si quieres agregar tu cartera sin entregar ninguna clave API, estás dispuesto a actualizar los saldos manualmente, y entiendes que el rastreador seguirá teniendo tu lista de direcciones, tu correo electrónico y tu IP. Es la opción «centralizada» más segura para la mayoría de los usuarios.

No uses rastreadores en absoluto si tu actividad cripto es realmente pequeña, solo tienes fondos en uno o dos exchanges, y no necesitas cálculos de base de coste. La vista de cartera en la propia app del exchange, combinada con una exportación anual para impuestos, es suficiente.

En todos los casos, los hábitos operativos importan más que la elección de la app: revoca las claves API del CEX cuando dejes de usarlas, no reutilices la misma clave API en distintos servicios, no guardes las exportaciones fiscales en carpetas sincronizadas en la nube sin cifrar, y asume que cualquier dirección que hayas pegado alguna vez en cualquier rastreador acabará, tarde o temprano, formando parte de una filtración.

Cómo seguir las noticias sobre herramientas cripto de forma inteligente

Los rastreadores de cartera cambian de dueño, son adquiridos, sufren filtraciones y amplían discretamente la recopilación de datos. Además, esta categoría es donde nacen la mayoría de las estafas disfrazadas de «app cripto», ya que un falso rastreador resulta un vector de phishing más convincente que un falso exchange. Seguir manualmente las noticias sobre estas herramientas implica cribar decenas de actualizaciones de producto con poco valor hasta dar con las escasas divulgaciones de incidentes y cambios de políticas que realmente afectan a tus datos. Zippfeed muestra titulares sobre herramientas cripto con puntuación de sentimiento, para que veas al instante si el mercado trata una historia sobre un rastreador que usas como alcista, neutral o bajista, y una valoración de importancia, para que puedas distinguir una actualización rutinaria de una divulgación de seguridad real antes de que llegue a tu bandeja de entrada.

Preguntas frecuentes

¿Es seguro usar un rastreador de cartera de cripto?
El acceso de solo lectura significa que el rastreador no puede mover tus fondos, lo que de verdad es más seguro que ceder una clave de API con permisos de retirada, pero no convierte a la aplicación en un custodio de datos seguro. Tus direcciones, saldos, historial completo de operaciones, correo electrónico y dirección IP siguen guardados en los servidores del rastreador, y varios rastreadores importantes han sufrido filtraciones que expusieron esos registros. Trata la decisión ante todo como una cuestión de privacidad de datos y, en segundo lugar, como una cuestión de usabilidad.
¿Cómo funciona en la práctica el acceso de solo lectura a una cartera?
En modo autocustodio, la aplicación recibe o bien una xPub o clave pública extendida, que le permite derivar todas las direcciones pasadas y futuras de tu cartera y consultar su historial on-chain, o bien utiliza WalletConnect para consultar los saldos sin tocar nunca tu clave privada. En ambos casos puede ver todo lo que es públicamente visible on-chain sobre tu cartera, que es mucho, pero no puede firmar transacciones en tu nombre. La garantía de "solo lectura" se refiere a la firma, no a la visibilidad.
¿Debería conectar la clave de API de mi exchange a un rastreador de cartera?
Puedes hacerlo, y la mayoría de usuarios lo hace por comodidad, pero solo si generas la clave con alcance de solo lectura, desactivas los permisos de operación y retirada en el exchange, restringes por IP la clave a las direcciones IP publicadas por el rastreador cuando sea posible, y rotas o revocas la clave en cuanto dejes de usar el servicio. Una clave de solo lectura filtrada sigue filtrando tu historial completo de operaciones, saldos y direcciones de depósito; una clave filtrada con permisos de operación o retirada puede hacerte perder dinero directamente. No pegues nunca una clave de API en un sitio o aplicación que no hayas verificado de forma independiente.
¿Qué debo hacer si un rastreador que uso sufre una filtración?
Revoca de inmediato todas las claves de API que hayas generado alguna vez para ese servicio en cada exchange, cambia la contraseña de la cuenta del rastreador, rota la dirección de correo electrónico si la reutilizaste en otro sitio, y asume que cualquier dirección que conectaste está ahora en una base de datos de terceros. Revisa tu historial de correos y mensajes durante la ventana de la filtración en busca de mensajes de phishing, sobre todo cualquier cosa que te pida firmar una transacción o volver a introducir una frase semilla, porque el incidente de CoinStats demostró que los atacantes usan los datos robados para personalizar esos mensajes. Trata como comprometidas todas las aprobaciones on-chain concedidas durante la ventana de la filtración y revócalas con una herramienta como el comprobador de aprobaciones de Etherscan o Revoke.cash.