Un rastreador de carteras de cripto extrae los datos de saldos y transacciones de tus monederos y exchanges para que puedas verlo todo en un solo lugar, y para hacerlo tiene que ver tus direcciones, tus tenencias, tu historial de operaciones y, por lo general, tu dirección IP y correo electrónico. El acceso de solo lectura significa que no puede mover fondos, pero no significa que los datos permanezcan en tu dispositivo, ni que no puedan ser robados.
Puntos clave
- «Solo lectura» se refiere a la firma de transacciones, no a la exposición de datos, por lo que un rastreador puede seguir viendo cada dirección que posees, cada saldo y cada operación que hayas realizado en un exchange conectado.
- Los datos que salen de tu dispositivo suelen incluir direcciones de monedero, historiales completos de transacciones, registros de operaciones en CEX, dirección IP, huella digital del dispositivo y correo electrónico, y la mayor parte se almacena en los servidores del rastreador, no de forma local.
- Las funciones de exportación fiscal concentran exactamente en un solo lugar los registros que los ladrones de identidad y los phishers desean, lo que convierte al rastreador en un objetivo de alto valor.
- Las filtraciones pasadas en CoinStats, Zerion y otros muestran que los modos de fallo son reales: claves API robadas, servicios de notificaciones secuestrados y listas de correo filtradas usadas para phishing dirigido.
Lo que promete un rastreador de carteras frente a lo que realmente hace
Todos los rastreadores de carteras de cripto convencionales, desde Zerion y CoinStats hasta Delta, Blockfolio y la pestaña de cartera dentro de apps de exchanges como Coinbase o Binance, venden la misma idea: conecta tus cosas y obtén una imagen clara de tu patrimonio neto entre monederos, exchanges y cadenas.
El lenguaje de marketing es casi siempre el mismo. «Acceso de solo lectura.» «Tus fondos se quedan en tu monedero.» «Seguridad de nivel bancario.» «Nunca tocamos tus claves privadas.» Para un principiante que compara cinco aplicaciones, ese lenguaje suena tranquilizador y en gran medida idéntico, que es exactamente por lo que merece ser analizado en detalle.
La expresión «solo lectura» en cripto tiene un significado técnico específico: las credenciales que entregas no pueden, por sí mismas, firmar una transacción que mueva tus fondos. Una «clave de visión» de un monedero o una «dirección solo de consulta» no puede enviar ETH. Una clave API de solo lectura de un CEX, sin el permiso de «operar», no puede lanzar una orden en Binance. En ese sentido estricto, el marketing es cierto.
Lo que el marketing casi nunca explica es la otra mitad. Solo lectura se refiere a la firma, no a la visibilidad. La misma credencial que no puede mover tus monedas puede leer todo sobre ellas: cada dirección en tu monedero, cada saldo de tokens, cada transacción histórica, cada contraparte con la que hayas operado y, en el caso de un CEX, cada operación, depósito y retiro que hayas hecho jamás en esa cuenta.
Qué datos salen realmente de tu dispositivo
Para mostrarte una cartera, un rastreador tiene que recibir un conjunto concreto de datos por tu parte. La lista exacta varía según la aplicación, pero las categorías se mantienen estables en toda la categoría.
Desde una conexión con un monedero de autocustodia (WalletConnect, modo «solo lectura» de MetaMask o importación manual de direcciones): la dirección pública o xPub/clave pública extendida de cada monedero que conectas, lo que expone el árbol completo de direcciones derivadas, las hayas usado o no, además del historial completo de transacciones en cadena asociado a esas direcciones, más los saldos de tokens y tenencias de NFT en el momento de cada sincronización. En particular, un xPub es una ventana permanente a todas las direcciones pasadas y futuras de ese monedero, así que una vez que sale de tu dispositivo, no puedes revocarlo fácilmente.
Desde una clave API de un exchange centralizado: la propia clave más los permisos que hayas concedido, normalmente «lectura» de saldos de cuenta, «lectura» del historial de operaciones y, en ocasiones, «lectura» de direcciones de depósito. Si activaste por error la casilla de «permitir operar» o «permitir retiros» al generar la clave, el rastreador también podrá lanzar órdenes o iniciar retiros en tu nombre. La mayoría de los rastreadores convencionales te indican que dejes los permisos de operar y retiro desactivados, pero la casilla está del lado del exchange y muchos usuarios la aceptan sin pensar.
Desde la capa de dispositivo y red, independientemente del tipo de conexión: tu dirección IP, que revela una geolocalización aproximada y tu ISP, tu cadena de agente de usuario y la huella digital del dispositivo, tu correo electrónico (tienes que crear una cuenta) y tu token de notificaciones push si activas las alertas. Si la aplicación utiliza análisis de terceros, todo lo anterior también se envía a esos proveedores.
Casi ninguno de estos datos se almacena únicamente en tu teléfono. El trabajo del rastreador es precisamente agregarlos en un servidor para poder mostrarte un panel, sincronizar entre dispositivos y (en muchos casos) impulsar informes fiscales, alertas y feeds de precios. La agregación en un servidor es el producto. Ahí es también donde vive el riesgo para la privacidad.
Por qué "solo lectura" no es lo mismo que "privado"
En una blockchain pública como Ethereum o Bitcoin, cada dirección de monedero ya es pública. Cualquier persona que conozca tu dirección puede consultar tus saldos e historial en un explorador de bloques. Así que, en un sentido estricto, un rastreador simplemente está consultando datos públicos en tu nombre.
Pero existe una gran diferencia entre "puedo pegar una dirección en Etherscan" y "una sola empresa tiene una base de datos consultable que vincula mi correo electrónico, mi IP, mi dispositivo y cada dirección que he usado jamás". Esa agregación es el evento relevante para la privacidad, y es lo que realmente guardan los servidores del rastreador.
Tres factores convierten esa agregación de algo ligeramente incómodo en algo realmente arriesgado:
1. La agrupación de direcciones te desanonimiza. Una vez que un rastreador tiene varias de tus direcciones, él (y cualquier atacante que robe su base de datos) puede agruparlas como pertenecientes a la misma persona. Si cruzas ese grupo con nombres ENS públicos, doxxing en Twitter, filtraciones de KYC de exchanges o direcciones de donaciones que hayas compartido públicamente, el grupo de repente tiene un nombre asociado.
2. Los datos son un objetivo. Una base de datos que relaciona correos electrónicos con patrimonio neto multichain, historial de operaciones y cuentas de exchange es exactamente el conjunto de datos que quieren los grupos organizados de phishing, los "atacantes con llave inglesa" físicos y los ladrones de identidad. También es el conjunto de datos que las autoridades fiscales, los adversarios en litigios y las exparejas en procesos de divorcio pueden solicitar mediante una orden judicial.
3. Las filtraciones no son hipotéticas. Esta categoría ya se ha visto afectada, más de una vez, y los casos que se mencionan a continuación no son leyendas urbanas.
Filtraciones reales y casos por poco ocurridos que la publicidad no mencionará
El patrón importa más que cualquier incidente aislado. Los rastreadores de cartera se encuentran en la intersección de tres cosas que los atacantes desean: una lista de usuarios de criptomonedas, evidencia de cuánto crypto poseen y credenciales o APIs que a veces pueden llegar a esos fondos directamente.
CoinStats, junio de 2024. Los atacantes comprometieron los sistemas internos de CoinStats y utilizaron la propia función de notificaciones push de la plataforma para enviar enlaces de phishing a 1.590 monederos de usuarios. Los mensajes falsos estaban personalizados con los datos que la aplicación ya tenía sobre esos usuarios, lo que los hacía especialmente convincentes. CoinStats reveló el incidente, cerró partes del producto y advirtió a los usuarios afectados que trataran cualquier solicitud de firma recibida durante esa ventana como maliciosa.
Zerion, diciembre de 2022. Un atacante obtuvo brevemente acceso al endpoint de la API de solo lectura de Zerion y lo utilizó para vaciar los monederos de usuarios que fueron engañados para firmar transacciones maliciosas en otros lugares. La propia infraestructura de solo lectura de Zerion no se usó para mover fondos, pero el incidente puso de manifiesto cómo un rastreador comprometido puede convertirse en una plataforma de lanzamiento para nuevos ataques contra su base de usuarios.
Blockfolio (ahora app de FTX), octubre de 2020. El sistema de notificaciones push "Signal" de Blockfolio fue secuestrado y utilizado para enviar spam, incluido contenido pornográfico, a aproximadamente la mitad de la base de usuarios de la aplicación. No se perdieron fondos, pero la filtración expuso lo endeble que era la seguridad operativa en una empresa que acababa de ser adquirida.
SaaS de terceros en la cadena de suministro. Varios rastreadores y exchanges han visto expuestos datos de usuarios no a través de su propio código, sino a través de un proveedor con el que los compartían, incluyendo herramientas de analítica, plataformas de atención al cliente y proveedores de correo electrónico. Se trata de la misma clase de filtración que sufrieron empresas como Twilio y Mailchimp, y los usuarios de criptomonedas están sobrerrepresentados en esos conjuntos de datos debido al uso generalizado en el sector de herramientas de KYC y onboarding amigables con las criptomonedas.
El denominador común: en todos los casos, el atacante no necesitó "hackear una blockchain". Hackeó a una empresa que ya había agregado los datos por ellos.
La función de exportación fiscal como honeypot de datos
La mayoría de los principiantes adoptan un rastreador de cartera por una razón por encima de todas: la campaña de impuestos. El IRS de EE. UU. trata las criptomonedas como propiedad, muchas otras jurisdicciones tienen reglas similares, y la única forma realista de presentar una declaración sobre cientos o miles de operaciones es exportar un CSV o PDF ordenado desde una herramienta que ya haya realizado el cálculo del coste base.
Las exportaciones fiscales son cómodas y, además, son la función más sensible de toda la aplicación. Para generarlas, el rastreador tiene que conservar, en un único lugar, todo tu historial de operaciones de varios años en cada plataforma, cada transferencia entre monederos, cada ganancia realizada, tu historial completo de rampas de entrada fiat y (si la exportación incluye el modo "completo") a veces tus direcciones de depósito y retirada. Es una imagen más completa de tu vida financiera que la que la mayoría de los bancos conservan sobre ti en un solo archivo.
Se derivan dos riesgos prácticos:
Duración del almacenamiento. Los registros fiscales deberían conservarse durante unos siete años en muchas jurisdicciones. Si tu rastreador también los conserva durante siete años, esos datos permanecen en su base de datos durante toda esa ventana, incluyendo cualquier futura filtración, cambio de dirección o adquisición. Algunos rastreadores eliminan explícitamente los datos fiscales al cerrar la cuenta; otros los conservan durante el período legalmente exigido. La política de retención suele estar enterrada en la política de privacidad.
Archivos de exportación en tránsito. El CSV que descargas a tu portátil es una superficie de ataque; ese mismo CSV guardado en tu bandeja de entrada de correo como adjunto es otra. Si además lo almacenas en sincronización en la nube (iCloud, Google Drive, Dropbox) y esa cuenta se ve comprometida, la exportación fiscal se convierte en un mapa de tus tenencias de criptomonedas disponible para quien haya robado tus credenciales en la nube.
El enfoque honesto: las funciones fiscales son útiles y concentran exactamente los datos que un atacante, un litigante o un actor gubernamental hostil más desea encontrar.
Alternativas que preservan la privacidad (y sus compensaciones)
No tienes que elegir entre "darle todo a un rastreador" y "no rastrear nada". Existe una franja intermedia, pero te costará comodidad.
Rastreadores solo locales. Herramientas como Rotki, el modo de escritorio de Koinly o una instancia autoalojada de un rastreador de código abierto mantienen tus datos en tu equipo. Rotki, en particular, se basa en el principio de que tus direcciones, claves API e historial de operaciones nunca salen de tu dispositivo a menos que decidas explícitamente sincronizarlos. La contrapartida es que no hay panel sincronizado entre dispositivos, ni app móvil sincronizada, y tú eres responsable de tus propias copias de seguridad.
Solo lectura, sin claves API, lista manual de direcciones. Puedes pegar una lista de direcciones en el modo "watch-only" de un rastreador sin conceder nunca una clave API. Sigues enviando las direcciones al servidor del rastreador, que sigue conociendo tu IP y tu correo electrónico, pero eliminas el riesgo de que una clave API sea abusada o tenga los permisos equivocados. Este es el nivel "úsalo si quieres agregación" en el árbol de decisiones.
Explorador de bloques + hoja de cálculo. Para usuarios con un número reducido de monederos y exchanges, un explorador de bloques como Etherscan combinado con exportaciones manuales en CSV desde cada exchange es suficiente para reconstruir una cartera. Es tedioso y no gestiona bien las posiciones en DeFi, pero los datos nunca quedan en una base de datos de terceros.
Múltiples identidades. Algunos usuarios preocupados por la privacidad dividen deliberadamente sus tenencias entre varios monederos y cuentas de rastreador para que ninguna filtración individual revele el panorama completo. Esto es seguridad operativa, no paranoia: funciona del mismo modo que repartir las inversiones entre varios brókeres funciona en las finanzas tradicionales.
Monedero hardware + vista de cartera nativa. Monederos como Ledger Live y Trezor Suite incluyen una vista de cartera que se comunica directamente con los nodos en lugar de con un agregador centralizado. Sigues filtrando tus direcciones a los nodos que consultas, lo cual es una consideración en sí misma, pero ninguna empresa termina poseyendo el paquete completo.
Cómo elegir: un árbol de decisión
Si quieres la respuesta más sencilla: a la mayoría de los principiantes les basta con un rastreador conocido, siempre que entiendas qué estás intercambiando por la comodidad. El trueque es datos por comodidad, y la cuestión es si lo haces a sabiendas.
Si prefieres una regla práctica más afinada:
Usa un rastreador conocido (Zerion, CoinStats, Delta, etc.) si quieres un panel limpio, aceptas que tus direcciones y tu historial de operaciones estarán en un servidor de terceros, generas claves API del CEX solo con permisos de lectura y las restringes por IP desde el propio exchange, desactivas todos los permisos opcionales durante la configuración inicial, y utilizas un correo electrónico dedicado junto con una contraseña única y robusta y autenticación en dos pasos. Revisa el historial de incidentes del rastreador antes de registrarte.
Usa un rastreador local (Rotki, autoalojado o una hoja de cálculo) si tus tenencias son lo suficientemente grandes como para que ser un objetivo individual sea una amenaza real, declaras impuestos en una jurisdicción que exige historial de varios años, no necesitas sincronización entre dispositivos, y estás dispuesto a gestionar tus propias copias de seguridad. Calcula dedicar un fin de semana a la configuración.
Usa el modo de lista de direcciones de solo vigilancia de cualquier rastreador si quieres agregar tu cartera sin entregar ninguna clave API, estás dispuesto a actualizar los saldos manualmente, y entiendes que el rastreador seguirá teniendo tu lista de direcciones, tu correo electrónico y tu IP. Es la opción «centralizada» más segura para la mayoría de los usuarios.
No uses rastreadores en absoluto si tu actividad cripto es realmente pequeña, solo tienes fondos en uno o dos exchanges, y no necesitas cálculos de base de coste. La vista de cartera en la propia app del exchange, combinada con una exportación anual para impuestos, es suficiente.
En todos los casos, los hábitos operativos importan más que la elección de la app: revoca las claves API del CEX cuando dejes de usarlas, no reutilices la misma clave API en distintos servicios, no guardes las exportaciones fiscales en carpetas sincronizadas en la nube sin cifrar, y asume que cualquier dirección que hayas pegado alguna vez en cualquier rastreador acabará, tarde o temprano, formando parte de una filtración.
Cómo seguir las noticias sobre herramientas cripto de forma inteligente
Los rastreadores de cartera cambian de dueño, son adquiridos, sufren filtraciones y amplían discretamente la recopilación de datos. Además, esta categoría es donde nacen la mayoría de las estafas disfrazadas de «app cripto», ya que un falso rastreador resulta un vector de phishing más convincente que un falso exchange. Seguir manualmente las noticias sobre estas herramientas implica cribar decenas de actualizaciones de producto con poco valor hasta dar con las escasas divulgaciones de incidentes y cambios de políticas que realmente afectan a tus datos. Zippfeed muestra titulares sobre herramientas cripto con puntuación de sentimiento, para que veas al instante si el mercado trata una historia sobre un rastreador que usas como alcista, neutral o bajista, y una valoración de importancia, para que puedas distinguir una actualización rutinaria de una divulgación de seguridad real antes de que llegue a tu bandeja de entrada.