SSP Editorial Team

Ataques de phishing dirigidos a usuarios de criptomonedas (y cómo reconocerlos)

·7 min de lectura·Por SSP Editorial Team
Portada de seguridad de SSP con iconos de cartera, llave, escudo y chip, que ilustra una guía sobre ataques de phishing en criptomonedas.

El phishing es la forma más común en que los usuarios de autocustodia pierden dinero. No un cifrado roto, no una clave privada vulnerada — un mensaje convincente, un sitio web que imita al original, o una transacción que parece rutinaria hasta que deja de serlo. La criptografía detrás de tu cartera es sólida, y el atacante lo sabe, por lo que la evita por completo y va a por la única parte del sistema que puede ser manipulada para hacer lo incorrecto: tú. Cada año, miles de millones se pierden por fraude cripto e ingeniería social, y la mayoría comienza con un mensaje de phishing en lugar de un exploit técnico.

Este artículo explica en qué se enfoca realmente el phishing cripto, los patrones específicos que puedes aprender a reconocer a simple vista, y cómo el diseño de SSP ayuda — siendo honestos sobre dónde no puede protegerte.

En qué se enfoca realmente el phishing

El phishing contra un usuario de autocustodia persigue una de tres cosas: tu seed phrase, tus aprobaciones, o tu firma. Robar el seed le da al atacante control sobre todas las cuentas derivadas de él, para siempre. Engañarte para que otorgues una aprobación de token les permite vaciar activos específicos cuando quieran. Conseguir que firmes una sola transacción maliciosa y los fondos se mueven en un bloque.

Lo que los tres tienen en común es que debes actuar. El atacante no puede meterse en tu cartera y tomar nada; necesita que escribas, hagas clic, apruebes o firmes. Esa dependencia también es tu ventaja — cada ataque tiene un momento en que puedes detenerlo, si sabes cómo reconocer ese momento.

Los patrones que puedes reconocer

El phishing cripto reutiliza un conjunto reducido de tácticas. Una vez que puedes nombrarlas, es mucho más difícil caer en ellas.

Sitios de cartera falsos y typosquats en anuncios de búsqueda

La táctica más antigua es un clon de un sitio real de cartera o exchange, servido desde un dominio que imita al original y frecuentemente colocado en los primeros resultados de búsqueda como anuncio pagado. La página parece perfecta a nivel visual y existe por una sola razón: robar tu seed phrase, o engañarte para que te conectes y firmes. Trata la barra de búsqueda como un lugar hostil. Encuentra el sitio real una vez, verifícalo y guárdalo en favoritos — y a partir de entonces accede siempre solo a través de ese favorito. SSP nunca te pedirá tu seed phrase en un sitio web, y la extensión oficial se instala desde la tienda oficial del navegador, no desde un anuncio de búsqueda. Si no estás seguro de cómo es una cartera de extensión de navegador legítima, lee carteras de extensión de navegador explicadas.

Solicitudes de introducción de seed phrase

Esta merece su propia regla, porque es absoluta: ninguna cartera legítima te pedirá jamás que escribas tu seed phrase en un sitio web, un formulario, una ventana emergente o un DM. No para "validarla", no para "sincronizarla", no para "reclamar" nada. Tu seed se introduce en exactamente un lugar — dentro del propio software de la cartera, durante la configuración inicial o la recuperación. SSP solo acepta tu seed dentro de la extensión o la aplicación móvil para ese fin, y nunca en una página web. Si cualquier otra cosa te lo pide, es un intento de robo, sin excepciones. Para la disciplina más amplia de protegerla, consulta mejores prácticas para la seed phrase.

Phishing de aprobaciones y wallet drainers

Más reciente y más peligrosa: una dApp maliciosa no te pide tu seed en absoluto. Te pide que firmes lo que parece una transacción normal — pero la acción es una aprobación de token o un setApprovalForAll que le otorga al contrato del atacante permiso para mover tus tokens o NFTs. Conservas la custodia de tus claves; simplemente firmaste los derechos sobre tus activos, y un wallet drainer los vacía después, a veces semanas más tarde. La defensa consiste en entender qué es una aprobación y mantenerlas de corta duración. Lee aprobaciones de tokens — los permisos que sigues otorgando y luego revoca los que ya no uses.

Envenenamiento de direcciones

El envenenamiento de direcciones aprovecha los hábitos de copiar y pegar. El atacante envía una transferencia de valor mínimo o nulo a tu cartera desde una dirección diseñada para parecerse a una que ya usas — con los mismos primeros cuatro y últimos cuatro caracteres. Luego queda en tu historial, de modo que la próxima vez que copies una dirección "conocida" de transacciones pasadas, copias la suya en cambio, y envías tus fondos directamente al atacante. La solución es mecánica: nunca copies una dirección del historial de transacciones y verifica la dirección completa, carácter por carácter — no solo los primeros y últimos cuatro. Un clon puede coincidir perfectamente en ambos extremos y diferir por completo en el medio.

Suplantación de identidad en DMs

Si alguien te escribe primero en Discord, Telegram o X diciéndose ser "soporte oficial", es una estafa por defecto. El soporte real no se mete en tus DMs, y ningún administrador, moderador o "bot de validación" necesita jamás tu seed phrase, tu clave privada, ni que conectes tu cartera para "verificarla". La urgencia es la señal — "tus fondos están en riesgo, actúa ahora" existe para impedirte pensar. Cierra el DM y contacta con el soporte solo a través de un canal al que hayas llegado tú mismo.

Solicitudes de firma maliciosas / firma ciega

La táctica más técnica te pide que firmes un mensaje en lugar de una transacción — un Permit, un payload de eth_sign, o un blob opaco que no puedes leer. Estos pueden autorizar transferencias de tokens o aprobaciones fuera de cadena, a veces sin costo de gas y sin ninguna advertencia obvia. La regla: entiende qué estás firmando antes de firmarlo, y sé muy desconfiado ante cualquier solicitud que no puedas descifrar. Cuando te conectes a dApps, conoce cómo funciona la sesión y sus solicitudes de firma — qué es WalletConnect y cómo funciona con SSP recorre esa superficie.

Cómo ayuda el diseño de SSP — y dónde no

SSP es una cartera multisig 2-de-2: cada transacción debe ser cofirmada en un segundo dispositivo, la SSP Key, antes de poder ser emitida. Eso te da una segunda pantalla, en hardware independiente, que muestra la solicitud una vez más antes de que se complete — una superficie de revisión genuinamente secundaria que una cartera de un solo dispositivo no tiene. La extensión tampoco pide nunca tu seed en una página web, lo que cierra por diseño la ruta de recolección más común.

Aquí va la parte honesta: el multisig no es una cura contra el phishing. Si una transacción maliciosa está frente a ti y la apruebas en la extensión y la confirmas en tu SSP Key, la cartera hace exactamente lo que le dijiste. El segundo dispositivo te protege de que un dispositivo comprometido firme solo — no te protege de aprobar una acción incorrecta dos veces. Así que lee ambas pantallas: si el destinatario, el importe o la acción no coinciden con lo que pretendías, recházalo en la SSP Key. La defensa contra el phishing sigue dependiendo en última instancia de ti. Por qué esa responsabilidad vale la pena es el núcleo de por qué la autocustodia importa ahora.

Una comprobación antiphishing de 60 segundos

Antes de firmar cualquier cosa, ejecuta esta comprobación:

  1. Comprobación de URL — ¿llegaste a través de tu propio favorito, o a través de un enlace o anuncio que alguien te proporcionó? Si no es tu favorito, detente.
  2. Comprobación de seed — ¿algo te pide tu seed phrase? Si es así, es una estafa, siempre, sin excepciones.
  3. Lee la SSP Key — ¿la acción y el importe en tu segundo dispositivo coinciden exactamente con lo que pretendías hacer?
  4. Comprobación de destino — verifica la dirección completa del destinatario, no solo los primeros y últimos cuatro caracteres.
  5. Comprobación de DM — ¿comenzó esto con un mensaje no solicitado o un urgente "actúa ahora"? Trátalo como hostil.
  6. Higiene de aprobaciones — revoca las aprobaciones de tokens obsoletas que ya no necesitas, para que una olvidada no pueda ser vaciada más tarde.

Si algún paso falla, rechaza y aléjate. Una oportunidad perdida no cuesta nada; un drainer firmado puede costarlo todo.

Continúa aprendiendo

El phishing es una capa de una práctica de seguridad personal más amplia. Refuerza el resto con higiene de extensiones de navegador para usuarios de criptomonedas, y ponlo todo en un programa recurrente con tu lista de verificación de opsec cripto. Para saber cómo el ecosistema en general rastrea estos ataques, los informes de tendencias de phishing de APWG y el IC3 del FBI son fuentes primarias sólidas.

Comparte este artículo

Artículos relacionados

Frase semilla de doce palabras impresa en una tarjeta de papel junto a una cartera de hardware

Buenas prácticas para la frase semilla

Qué es realmente una frase semilla, cómo guardarla sin perderla ni filtrarla, y cómo el multisig 2-of-2 de SSP cambia el modelo de amenazas.

7 min read
Portada cuadrada de la guía SSP sobre aprobaciones de tokens ERC-20 y allowance ilimitados

Aprobaciones de tokens: los permisos que sigues concediendo

Cómo funciona approve() en ERC-20, por qué los allowance ilimitados son arriesgados y qué concede cada interacción con dApps desde tu cartera SSP.

8 min read
Portada de seguridad de SSP con iconos de monedero, llave, escudo y chip en una tarjeta cuadrada azul marino

Higiene de extensiones de navegador para usuarios de cripto

Seguridad de extensiones de navegador: revisa lo que instalas, aplica mínimo privilegio y deja que el 2 de 2 de SSP frene una extensión comprometida.

6 min read