Estafas con criptomonedas crecen 550% y superan el PIB de varios países

julio 30, 2025

Estafas con criptomonedas crecen 550% y superan el PIB de varios países

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Las finanzas descentralizadas (DeFi) y la Web3 (se refiere a la próxima generación de Internet que se basa en tecnologías como blockchain para descentralizar el control y la propiedad de los datos) prometían liberar a los usuarios de las comisiones bancarias y la burocracia, pero han creado un ecosistema donde un solo error puede costar millones.

En 2024, los cibercriminales y estafadores robaron activos digitales por un valor que supera el PIB de algunos países, y en los últimos 12 meses, las estafas de criptomonedas crecieron alrededor de 550%.

Los ciberdelincuentes han perfeccionado sus tácticas gracias a la inteligencia artificial (IA), que les permite crear sitios web falsos, clonar aplicaciones y enviar correos de phishing a una velocidad sin precedentes. Por ejemplo, en 2025, un caso destacado involucró el robo de 6,9 millones de dólares mediante un dispositivo Ledger falsificado, comprado a través de un anuncio en TikTok. El dispositivo, perfectamente sellado, incluía mnemónicos pregenerados y un chip reprogramado para redirigir fondos al atacante.

Además, las estadísticas subestiman la magnitud del problema, ya que muchas víctimas no reportan sus pérdidas. La Web3 opera bajo el principio de “tus claves, tus monedas”, lo que otorga libertad, pero también responsabilidad total: un error en una dirección o una estafa significa la pérdida irreversible de fondos.

Las billeteras para criptomonedas se dividen en dos categorías principales:

- Billeteras calientes (hot wallets): Aplicaciones móviles o de escritorio, como Trust Wallet o Metamask, que son convenientes pero vulnerables a ataques en línea debido a su conexión a internet.

- Billeteras frías (cold wallets): Dispositivos de hardware (Ledger, Trezor) o billeteras de papel que almacenan claves privadas fuera de línea. Aunque más seguras, no son inmunes a manipulaciones físicas o falsificaciones.

Es importante enfatizar en que el tipo de billetera define el nivel de dificultad para los atacantes, pero ninguna elimina el riesgo por completo.

Las aplicaciones falsas son un problema recurrente en plataformas como Google Play. Los estafadores replican apps populares con logotipos y nombres similares, como “unisvvap.org” en lugar de “uniswap.org”.

Por lo anterior, algunas recomendaciones para estar protegidos son:

- Verifica el desarrollador: Las apps legítimas tienen miles de reseñas y años de historial. Desconfía de apps con pocas reseñas o desarrolladores desconocidos.

- Descarga desde fuentes oficiales: Usa enlaces directos desde sitios como trustwallet.com o metamask.io. Evita banners en redes sociales que prometan bonos, como “1000 USD gratis”.

- Cuidado con las frases semilla: Si una app solicita tu frase inicial “para verificación de seguridad”, ciérrala inmediatamente.

- Advertencias recientes: En junio, Bitget alertó sobre clones de su app móvil que replicaban cada detalle visual.

De igual forma, las billeteras frías pueden ser comprometidas. Los atacantes han aprendido a abrir embalajes, clonar microcontroladores y resealar dispositivos sin dejar rastro, por lo que para evitar ser víctimas del cibercrimen, se recomienda:

- Compra en sitios oficiales: Adquiere dispositivos solo en los sitios de Ledger, Trezor o distribuidores certificados. Desconfía de descuentos sospechosos o promesas de “entrega rápida”.

- Inspecciona el embalaje: Verifica el holograma y el sello. Si parece alterado o pre-cortado, no uses el dispositivo.

- Actualiza el firmware: Usa la aplicación oficial del fabricante para instalar la última versión antes de configurar la billetera.

- Genera la frase semilla en el dispositivo: Nunca uses mnemónicos incluidos en la caja o generados en otro lugar.

Otro punto importante a señalar es que el phishing ha evolucionado más allá de correos con errores gramaticales. Los estafadores crean réplicas idénticas de plataformas DeFi como Uniswap u OpenSea, con gráficos funcionales y datos en tiempo real. La diferencia está en el contrato inteligente, que redirige fondos al atacante. Además, los deepfakes permiten a los estafadores hacerse pasar por soporte técnico, solicitando códigos de SMS o frases semilla, por lo que las recomendaciones contra este tipo de ataque, son:

- Verifica URLs: Guarda dominios oficiales en tus favoritos y accede directamente. Dominios como “unisvvap.org” o “metamask.com” (en lugar de .io) son trampas comunes.

- Consulta comunidades confiables: Revisa repositorios de GitHub o canales de Discord oficiales para confirmar anuncios y actualizaciones.

- Usa exploradores de blockchain: Verifica direcciones en Etherscan; algunas ya están marcadas como fraudulentas.

- Herramientas AML: Servicios como SlowMist AML o Chainalysis KYT identifican conexiones con direcciones sospechosas.

Además, hay que estar atentos al Rug Pull, el cual ocurre cuando los creadores de un proyecto DeFi atraen inversión y luego retiran los fondos mediante funciones ocultas en el contrato inteligente, existiendo tres variantes principales:

- Retiro de liquidez: Los creadores vacían el pool, dejando tokens invendibles.

- Bloqueo selectivo: Funciones ocultas impiden ventas, salvo para los creadores.

- Venta gradual: Los creadores venden sus tokens lentamente, manipulando el precio.

Los rug pulls a largo plazo son especialmente insidiosos, ya que los proyectos parecen legítimos durante meses, ganándose la confianza de los usuarios antes de desaparecer.

De la misma manera, el mercado de tokens no fungibles (NFTs) es un terreno fértil para estafas. Los atacantes crean copias de colecciones populares con cambios mínimos en los metadatos, engañando a compradores que pagan miles por falsificaciones. OpenSea elimina colecciones falsas, pero nuevas aparecen rápidamente y para ello se recomienda:

- Verifica los detalles técnicos: Revisa la dirección del contrato y el nombre del proyecto en la blockchain.

- Compra en plataformas confiables: Usa mercados establecidos y verifica la autenticidad de la colección.

Hay que considerar que los contratos inteligentes eliminan intermediarios, pero un error en el código puede costar millones. Vulnerabilidades como ataques de reentrada, desbordamientos de variables o problemas con oráculos de precios son explotadas por los cibercriminales. Los préstamos flash, una innovación de DeFi, permiten a los atacantes pedir prestados millones, manipular mercados y devolver el préstamo en una sola transacción, obteniendo ganancias ilícitas.

También se recomienda estar atentos ante el malware Clipper, el cual reemplaza direcciones de billeteras copiadas en el portapapeles por las de los atacantes, un riesgo especialmente alto para usuarios que transfieren direcciones entre dispositivos.

Además, las claves privadas son el eslabón débil de la Web3: si se pierden o son robadas, los fondos se pierden para siempre. Evita almacenar claves en navegadores o servicios en la nube y verifica cada carácter de las direcciones antes de enviar fondos.

Otro tipo de ataques son los perpetrados por bots de Valor Máximo Extraíble (MEV) que manipulan transacciones en el mempool, adelantándose o rodeando tus operaciones para obtener ganancias. Los tokens “Honeypot” permiten compras pero bloquean ventas, atrapando a inversores desprevenidos. Verifica siempre la dirección del contrato antes de operar.

A pesar de la descentralización, muchos usuarios confían en exchanges centralizados, que son vulnerables a hackeos, fraudes internos o colapsos como el de FTX. Las estafas de salida, donde plataformas falsas operan brevemente antes de desaparecer, son comunes. Revisa licencias y evita plataformas con promesas de rentabilidad inusualmente alta.

La seguridad en Web3 requiere estar muy alerta, por lo que estas prácticas pueden ser de utilidad:

- Nunca compartas tu frase semilla: Los servicios legítimos nunca la solicitan.

- Verifica firmas y hashes: Para billeteras de escritorio como Electrum, confirma la autenticidad con firmas PGP y hashes SHA-256.

- Usa billeteras segmentadas: Mantén billeteras separadas para NFTs, DeFi y almacenamiento a largo plazo.

- Revisa permisos: Usa servicios como Revoke.cash para cancelar permisos de contratos inteligentes no utilizados.

- Prueba con pequeñas cantidades: Antes de enviar grandes sumas, realiza una transacción de prueba.

¿Qué hacer si eres víctima de una estafa? Actúa rápido si sospechas un fraude:

- Bloquea el dispositivo: Desconéctalo de internet y aísla las billeteras comprometidas.

- Notifica a la plataforma: Si usas un exchange, contacta al soporte de inmediato.

- Recopila evidencia: Guarda capturas de pantalla, hashes de transacciones y correspondencia.

- Denuncia a las autoridades: Aunque la recuperación es difícil, reportar ayuda en investigaciones.

- Rastrea los fondos: Usa herramientas de blockchain para intentar congelar los activos robados.

La Web3 ofrece libertad, pero a un costo: la responsabilidad total recae en el usuario. Los estafadores evolucionan más rápido que las defensas, utilizando IA, deepfakes y contratos inteligentes maliciosos.

La única protección efectiva es combinar el sentido común con conocimientos técnicos básicos. Verifica cada enlace, dirección y contrato, y mantén un enfoque paranoico. En un mundo donde el código es ley, el escepticismo es tu mejor antivirus.

Para más información, visita: https://www.silikn.com/