Protege tus activos criptográficos: guía de seguridad contra el phishing y las estafas

El mundo descentralizado de las criptomonedas ofrece inmensas oportunidades, pero también conlleva nuevos riesgos. El phishing, las estafas, los contratos inteligentes maliciosos y otros tipos de fraude amenazan constantemente tus activos digitales. Para mantenerte a salvo, es fundamental estar informado y adoptar medidas de seguridad proactivas.

Principales amenazas para los criptoactivos

1. Phishing y sitios web falsos

Los estafadores crean réplicas exactas de plataformas populares de intercambio de criptomonedas, carteras o plataformas DeFi para engañarte y que reveles tus claves privadas, frases de recuperación o credenciales de inicio de sesión. Comprueba siempre la URL del sitio web y utiliza los marcadores en lugar de los enlaces que aparecen en correos electrónicos o mensajes.

2. Estrellas de mar

Se trata de scripts maliciosos que, al conectarse a tu monedero o al firmar una transacción, pueden vaciarlo transfiriendo todos tus activos al monedero del atacante. A menudo se hacen pasar por dApps legítimas, proyectos de NFT o airdrops.

3. Estafas e ingeniería social

Esto incluye promesas de dinero fácil, sorteos falsos, estafas de «inflar y vender» y estafas de «soporte técnico» en las que te piden acceso a tu monedero o información personal.

Medidas prácticas para proteger tus activos criptográficos

1. Revoca los permisos periódicamente (Revoke.cash)

Cada vez que interactúas con un contrato inteligente (por ejemplo, al autorizar tokens para un exchange descentralizado o un mercado de NFT), le concedes permiso para acceder a una determinada cantidad de tus tokens. Si el contrato resulta ser malicioso o se ve comprometido, estos permisos pueden ser aprovechados para vaciar tu monedero.

• Qué hacer: Utiliza servicios como Revoke.cash. Esta herramienta te permite ver y revocar todos los permisos que has concedido a los contratos inteligentes. Comprueba periódicamente y revoca los permisos innecesarios o sospechosos. Esto es de vital importancia para minimizar los riesgos.

2. Actualizaciones puntuales de los sistemas y las aplicaciones

El software obsoleto es una puerta abierta para los atacantes. Las actualizaciones suelen incluir parches de seguridad que corrigen vulnerabilidades conocidas.

• Qué hacer:
  • Sistema operativo: Asegúrate de que tu sistema operativo (Windows, macOS, Linux) esté siempre actualizado a la última versión.
  • Navegadores: Utiliza versiones actualizadas de los navegadores (Chrome, Firefox, Brave, etc.), ya que suelen incluir funciones de seguridad integradas contra el phishing.
  • Carteras y extensiones de criptomonedas: Actualiza periódicamente tus carteras de software (por ejemplo, MetaMask) y cualquier extensión relacionada.

3. Diversificación de la cartera: no pongas todos los huevos en la misma cesta

Guardar todos tus activos criptográficos en un solo monedero aumenta el riesgo de perderlo todo en caso de un ataque informático o de phishing.

• Qué hacer:
  • Carteras en caliente: Úsalas solo para pequeñas cantidades destinadas a transacciones diarias o interacciones con dApps.
  • Carteras frías / Carteras de hardware: Para el almacenamiento a largo plazo de cantidades importantes, utiliza carteras de hardware (Ledger, Trezor). Estas garantizan la máxima seguridad al mantener tus claves privadas fuera de línea.
  • Segregación de activos: Distribuye tus activos entre varias carteras y plataformas de intercambio para minimizar los posibles daños que podría causar un único ataque exitoso.

4. Comprueba siempre las direcciones y las transacciones firmadas

Los estafadores pueden utilizar malware para modificar la dirección del destinatario en el portapapeles o falsificar los datos de una transacción.

• Qué hacer:
  • Compruébalo bien: Comprueba siempre con atención la dirección del destinatario antes de enviar el dinero, sobre todo los primeros y últimos caracteres.
  • Leer solicitudes de firma: Lee atentamente todas las solicitudes de firma de transacciones que aparezcan en tu monedero. Asegúrate de comprender exactamente lo que estás aprobando. Las solicitudes sospechosas (por ejemplo, las que solicitan «Establecer aprobación para todo» para un contrato desconocido) podrían ser estafas.

5. Utiliza la autenticación de dos factores (2FA)

La autenticación de dos factores (2FA) añade una capa adicional de seguridad a tus cuentas en las plataformas de intercambio y los servicios.

• Qué hacer: Activa la autenticación de dos factores siempre que sea posible, utilizando aplicaciones de autenticación (como Google Authenticator o Authy) en lugar de SMS, ya que la autenticación de dos factores por SMS es más vulnerable a la interceptación.

6. Ten cuidado con las ofertas y los mensajes inesperados

Si una oferta parece demasiado buena para ser verdad, probablemente lo sea.

• Qué hacer: No hagas caso a los mensajes de desconocidos que prometen criptomonedas «gratis» o ganancias fáciles. Verifica la información a través de los canales oficiales del proyecto.

7. Carteras de hardware y firma con aislamiento físico

Las carteras «en caliente» (navegador/móvil) constituyen la mayor superficie de ataque en el ámbito de las criptomonedas. Traslada tus activos a largo plazo a una monedero físico — Ledger, Trezor, Keystone o BitBox — donde las claves privadas nunca salen del dispositivo. Para transacciones de gran valor, considera aislado físicamente firma mediante código QR (Keystone, Coldcard, AirGap Vault), de modo que ni siquiera un ordenador comprometido pueda sustraer las claves.

• Comprar monederos físicos solo directamente del fabricante canales: la manipulación de la cadena de suministro es un ataque real.
• Instala el dispositivo en un entorno limpio; comprueba las firmas del firmware antes de utilizarlo por primera vez.
• Anota la frase de semillas en tallo copias de seguridad (Cryptotag, Billfodl): el papel se quema y se decolora.
• Nunca escribas, fotografíes ni guardes la clave de forma digital, ni en iCloud, ni en Google Drive, ni en gestores de contraseñas, ni en aplicaciones de notas.

8. Aprobar las dietas con cautela

Los estafadores no necesitan tu clave privada, sino una única firma de autorización que les permita transferir tus tokens. Cada vez que firmes una transacción, lee atentamente:

• Comprueba el funcionamiento: approve, setApprovalForAll, permit, increaseAllowance, y signOrder conceder derechos de traslado de tokens, no de transferencia.
• Comprueba el dispensador: La dirección que vas a aprobar debe ser un contrato de protocolo conocido; nunca una EOA (cuenta de propiedad externa) ni un contrato sin verificar.
• Comprueba el importe: si se solicita un plan ilimitado (2^256-1), prefieren fijar un límite máximo concreto.
• Comprueba la cadena: Un sitio de phishing podría cambiar tu monedero a una cadena inesperada para eludir tus filtros.
• Uso Blockaid, ScamSniffer, o Protector de cartera extensiones para detectar aprobaciones maliciosas antes de la firma.

9. Mantenimiento de dominios y marcadores

Los ataques de phishing más exitosos se producen en el momento en que escribes una URL o haces clic en un enlace. Medidas de protección:

• Añadir a favoritos todas las carteras, plataformas de intercambio y puentes que utilices: nunca escribas a mano las direcciones de los sitios web confidenciales.
• Evita los resultados patrocinados o publicitarios en Google: las palabras clave patrocinadas relacionadas con monederos de criptomonedas, plataformas de intercambio y puentes son el principal vector de phishing. Lo documentamos en Los registradores facilitan las estafas a escala mundial.
• Desconfía de cualquier URL que contenga caracteres extra: uniswap-app.org, metamask-extension.com, app-pancakeswap.io — Los dominios oficiales son sencillos.
• Verificar dominios mediante Certificate Transparency (Convertir a SH) — Un certificado recién expedido para una marca muy parecida es una señal de alarma enorme.

10. Cuidado con las estafas relacionadas con la «publicidad» y los programas de visualización en el lugar de trabajo

Los equipos del sector de las criptomonedas se ven cada vez más afectados por técnicas de ingeniería social de tipo empresarial camufladas como publicidad u ofertas de colaboración. El atacante te pide que instales un «visor de kits de prensa», un «gestor de anuncios», un «cliente de Zoom» o una «herramienta segura para acuerdos de confidencialidad»; esa «herramienta» es, en realidad, un programa de robo de datos. Hemos documentado un caso en el que este método acabó con los fondos de un proyecto: Se han devuelto 100 000 dólares: se ha frustrado una estafa publicitaria.

• Nunca instales clientes, visores o «programas de actualización» especiales proporcionados por terceros no verificados.
• Utiliza únicamente las descargas oficiales de Zoom, Telegram y Discord; nunca los resultados de búsqueda patrocinados.
• Si un flujo de trabajo requiere un cliente personalizado, considéralo hostil por defecto.

11. Higiene operativa para equipos de criptomonedas

• Máquina específica Para operaciones de tesorería: sistema operativo nuevo, monedero físico, número mínimo de extensiones, sin correo electrónico ni redes sociales.
• Firma múltiple para cualquier fondo que supere la quema mensual (Safe, Squads, etc.).
• Incluir direcciones de retirada en la lista blanca en las plataformas de intercambio; establecer restricciones de tiempo siempre que sea posible.
• Semillas operativas de reserva en el almacenamiento de datos en acero distribuido geográficamente con división M-de-N (división secreta de Shamir).
• Manual de gestión de incidentes: documenta de antemano quién llama a quién, qué carteras hay que revocar y dónde se encuentran los registros de auditoría. La primera hora tras una filtración es decisiva.

12. Si ya te han hackeado

• Transferir fondos de inmediato de cualquier monedero que haya visitado un sitio web malicioso o haya firmado una transacción sospechosa. La rapidez es más importante que un proceso perfecto.
• Revocar todas las autorizaciones de tokens en revoke.cash desde un dispositivo limpio.
• Desconecta el dispositivo afectado de todas las redes; cambia todas las credenciales utilizadas en ese equipo; reinstala el sistema operativo desde un soporte limpio.
• Conserva las pruebas: imagen del disco, historial del navegador, hash de las transacciones... Lo necesitarás para el informe del incidente y para una posible recuperación.
• Informar a @PhishDestroy_bot y ponerse en contacto SEAL 911 para obtener ayuda profesional de emergencia en materia de seguridad.
• Lee nuestra guía completa sobre la respuesta ante incidentes: Medidas urgentes: qué hacer tras un ataque informático.

Recursos adicionales para mejorar la seguridad

Mantenerse informado es la mitad del camino. Fuentes recomendadas:

• Security Alliance — Malware — Análisis en profundidad de las familias de malware dirigidas a los usuarios de criptomonedas.
• PhishDestroy: lista de eliminación — Más de 130 000 dominios activos relacionados con el phishing y las estafas; intégrelos en su DNS, cortafuegos o navegador.
• @PhishDestroyAlerts — alertas en tiempo real sobre nuevas infraestructuras de estafa.
• Anatomía de un derribo — Cómo PhishDestroy desarticula la infraestructura de phishing.
• Herramientas de código abierto para la lucha contra la ciberdelincuencia — Conjunto completo de herramientas OSINT.
• Investigación sobre más de 150 extensiones falsas de Mozilla — Cómo recopilan datos las extensiones maliciosas.

«En PhishDestroy, nos esforzamos por ofrecerte las herramientas y los conocimientos necesarios para que te mantengas a salvo en el mundo digital. Recuerda: tu vigilancia es tu primera y mejor línea de defensa».

Proteger tus activos criptográficos requiere una atención constante y medidas proactivas. Si sigues estas recomendaciones, reducirás considerablemente el riesgo de caer en manos de estafadores y podrás moverte por el mundo de las finanzas descentralizadas con mayor confianza.