Si estás en modo pánico ahora mismo, ve directamente a la sección Primeros 60 minutos a continuación. Cada otra sección es contexto y limpieza para después de que el triaje inmediato esté hecho. El objetivo en la primera hora es simple: salva lo que todavía se puede salvar, detén lo que todavía se está moviendo, y evita empeorar la situación con una transacción apresurada. Una vez que el sangrado se haya detenido, el resto de esta guía te lleva a través de la lista de verificación de 24 horas, la lista de verificación de 7 días, y cómo asegurarte de que el próximo drenaje nunca ocurra.

Primeros 60 minutos: lo que realmente puedes salvar

Esta es la sección de mayor prioridad. Lee cada paso antes de tocar una sola clave. Una transacción incorrecta desde el dispositivo equivocado y pierdes los activos que todavía eran rescatables.

  1. No muevas la billetera comprometida. El atacante tiene un script barredor vigilando tu dirección. En el momento en que nuevas comisiones o tokens lleguen a esa billetera, el barredor se activa y los saca. Enviar ETH, SOL o cualquier token nativo para "pagar comisiones de rescate" es cómo las víctimas de segunda etapa pierden una segunda ronda.
  2. Verifica qué todavía está bloqueado y sin reclamar. Abre la billetera en modo solo lectura en un dispositivo limpio y busca contratos de vesting, tokens en staking, posiciones LP bloqueadas, asignaciones de airdrop pendientes y NFT en custodia. Estos activos no están en el alcance directo del atacante aún y PODRÍAN ser salvables si actúas con cuidado.
  3. Genera una nueva frase semilla en un dispositivo limpio. Lo ideal es una billetera de hardware. Si no tienes una, usa un teléfono recién reseteado o una computadora que nunca haya tenido la frase semilla comprometida. Escribe la nueva frase en papel, nunca en un gestor de contraseñas, captura de pantalla o nota en la nube.
  4. Revoca cada aprobación de token, en cada cadena. Usa revoke.cash, las aprobaciones de tokens en Etherscan, o las herramientas nativas de revocación en Solana, Base, Arbitrum, Polygon, BNB y cualquier otra cadena que haya usado la billetera. Muchos drenajes usan aprobaciones Permit2 o ERC20 abiertas que siguen funcionando mucho después del robo inicial. Si no revocar, cualquier cosa que recibas después puede ser sacada de nuevo.
  5. Mueve los activos rescatables a la nueva billetera. Haz esto desde un dispositivo de firma limpio. Desbloquea el staking, sal del LP, reclama tokens en vesting, transfiere NFT. Envía a la nueva dirección únicamente, nunca a una dirección de depósito en un intercambio desde la billetera comprometida, porque algunos intercambios congelan cuentas vinculadas a fuentes marcadas.
  6. No te apresures. Las transacciones lentas y deliberadas ganan aquí. Un clic incorrecto y el gas que acabas de enviar alimenta el barredor. Si un paso parece confuso, detente y vuélvelo a leer. Cuarenta minutos de trabajo cuidadoso superan cuatro minutos de pánico.

Cómo ocurrió realmente el drenaje

Conocer el vector importa porque te dice qué más en tu dispositivo está comprometido. En casi todos los casos que vemos, el drenaje se remonta a una de cinco causas raíz. Léelas cuidadosamente, porque la que te afectó también te dice qué tan profunda debe ser la limpieza.

  1. Hiciste clic en un enlace de phishing y firmaste una aprobación Permit2. El sitio parecía Uniswap, OpenSea, una popular página de reclamación de airdrop, o un inicio de sesión de billetera. La firma que aprobaste no era un intercambio o un inicio de sesión. Otorgó al atacante gasto ilimitado en tus tokens. No se necesitó malware. La clave en sí nunca salió de tu billetera, pero el permiso sí.
  2. Ejecutaste un comando de PowerShell del "captcha" ClickFix. Una página falsa de verificación de Cloudflare o Google te dijo que presionaras Windows+R, pegaras un comando y presionaras Enter. Ese comando descargó un ladrón de información que escaneó tu navegador en busca de extensiones de billetera, frases semilla almacenadas en notas y tokens de sesión. Nuestra página de protección ClickFix cubre esto en detalle.
  3. Descargaste una billetera falsa o una aplicación de billetera de hardware falsa. Un anuncio de Google o un enlace de un foro apuntaba a un clon de MetaMask, Phantom, Trust Wallet o Ledger Live. El instalador parecía legítimo e incluso funcionó al principio. Durante la configuración exfiltró tu frase semilla, o intercambió silenciosamente tu dirección de destino en cada transacción saliente.
  4. Ingresaste tu frase semilla en una página falsa de recuperación o sincronización. Una ventana emergente, un DM de soporte o un anuncio de búsqueda te dijeron que tu billetera estaba "fuera de sincronía" y pidió tus 12 o 24 palabras. Esto incluye la variante de Ledger que analizamos en la advertencia sobre correos falsos de Ledger. Las billeteras reales nunca piden tu frase semilla en un sitio web.
  5. Instalaste una extensión de navegador maliciosa. Podría haber sido un "asistente de billetera", una herramienta de captura de pantalla, un lector de PDF o un asistente de IA. Una vez instalada, leía el contenido del portapapeles, reescribía direcciones sobre la marcha y en algunos casos inyectaba transacciones directamente en tus sesiones de billetera.

Qué es recuperable y qué no

Establece expectativas con honestidad, porque la próxima mala decisión suele venir de esperar una recuperación que no es posible.

  • No recuperable. Tokens que ya han sido barridos e intercambiados. No hay marcha atrás en una transacción en cadena firmada. Los fondos puenteados, mezclados y convertidos a efectivo desaparecieron para propósitos minoristas. Cualquiera que te diga lo contrario quiere tu dinero.
  • Recuperable, a veces. Posiciones en staking, LP bloqueado, futuras asignaciones de airdrop vinculadas a tu dirección, NFT que el atacante aún no ha listado, tokens del equipo en vesting. Si actúas antes de que el atacante lo note, puedes mover estos a la nueva billetera.
  • Parcial, raro, costoso. Las empresas de análisis en cadena a veces pueden rastrear fondos hasta un intercambio centralizado y trabajar con las fuerzas del orden en congelaciones. Esto es realista solo para pérdidas de seis y siete cifras, tarda meses y cuesta un gran anticipo.

La lista de verificación de 24 horas

Una vez que la primera hora esté lista y los activos rescatables estén en tu nueva billetera, tienes 24 horas para hacer la limpieza aburrida pero crítica. Trabaja en esta lista antes de dormir.

  • Notifica al intercambio si los tokens pasaron por uno. Si el atacante movió fondos a Binance, Coinbase, Kraken, Bybit o cualquier intercambio centralizado, contacta inmediatamente a su equipo de cumplimiento con el hash de la transacción y la dirección del drenador. Algunas cadenas y algunos intercambios congelarán fondos pendientes de investigación, especialmente si eres rápido.
  • Presenta un informe en Chainabuse. Etiqueta la billetera del atacante y describe el incidente. Esto ralentiza el cobro del atacante porque los principales intercambios y puentes leen los feeds de Chainabuse. Tu informe te ayuda a ti y también a la próxima persona que casi fue víctima.
  • Verifica si la billetera del drenador ya está etiquetada. Ejecuta la dirección del atacante a través de Chainalysis, TRM Labs o las etiquetas públicas en Etherscan y Solscan. Una dirección pre-etiquetada puede ayudar tu caso con intercambios, seguro si lo tienes, y cualquier informe policial que presentes.
  • Cambia las contraseñas en cada cuenta no cripto. Si el vector fue malware o un instalador falso, el atacante probablemente tiene las contraseñas guardadas de tu navegador, tus cookies de sesión y todo lo que tenías abierto. El correo, el banco, el almacenamiento en la nube, la contraseña maestra del gestor de contraseñas, las redes sociales y las cuentas de Steam o juegos necesitan nuevas contraseñas únicas y 2FA nuevo.
  • Presenta un informe ante la policía local e IC3 (EE.UU.) o Action Fraud (Reino Unido). No porque vayan a recuperar fondos, sino porque necesitarás el número de caso para impuestos, seguros y cualquier solicitud de congelación de intercambio.

La lista de verificación de 7 días

Asume que tu dispositivo sigue comprometido hasta que lo demuestres. Un ladrón de frases semilla no se desinstala solo después de un día de pago. Espera a que configures la próxima billetera.

  • Configura una billetera de hardware para la nueva frase semilla. Ledger, Trezor, Keystone o similar. Compra directamente al fabricante, nunca en un marketplace de terceros. Cuando llegue, verifica el sello y genera la frase semilla en el dispositivo, no en el papel que venía en la caja.
  • Reinstalación completa del sistema operativo en cada dispositivo que tocó la frase semilla anterior. No un escaneo, no un pase de Malwarebytes. Un borrado completo y una instalación limpia de Windows, macOS o tu teléfono. Las familias de malware que roban frases semilla están diseñadas para sobrevivir a todos los limpiadores comunes.
  • Contraseñas únicas y 2FA en cada cuenta que compartía un correo o contraseña. Usa un gestor de contraseñas, y usa 2FA basado en app o de hardware en lugar de SMS siempre que sea posible.
  • Considera una nueva dirección de correo para cripto. Tu correo anterior ahora está en las listas de objetivos del atacante para phishing y relleno de credenciales. Un correo cripto dedicado con su propia contraseña y su propio 2FA reduce mucho tu superficie de ataque.
  • Revisa qué vio el atacante. Si se ejecutó el ladrón de información, asume que cada archivo en Descargas, Escritorio y Documentos fue cargado. Los documentos fiscales, escaneos de ID y cualquier foto de respaldo de frase semilla deben tratarse como expuestos.

Nunca más: qué previene realmente el próximo drenaje

Los drenajes se repiten porque los hábitos que causaron el primero siguen en su lugar. Corrige los hábitos, no solo la billetera.

  • Billetera de hardware para cualquier cantidad por encima de lo que llevas en el bolsillo. Si la cantidad dolería perderla, pertenece a una billetera de hardware. Un dispositivo de firma en frío detiene a todos los ladrones de información, todos los instaladores falsos y todos los ataques de extensiones de navegador en un solo movimiento.
  • Las frases semilla se quedan fuera de línea, para siempre. Nunca escribas tu frase semilla en un sitio web, un campo del navegador, una aplicación de teléfono fuera de la configuración oficial de la billetera, un gestor de contraseñas, una aplicación de notas, una unidad en la nube o una foto. El papel, las placas de respaldo de metal y una caja fuerte son los únicos lugares correctos.
  • Separa las billeteras calientes y de bóveda. Mantén una pequeña billetera caliente para uso diario y acuñaciones, y una billetera de bóveda para ahorros. La billetera de bóveda solo firma en un dispositivo de hardware y solo cuando deliberadamente mueves fondos a la billetera caliente.
  • Bloquea sitios de phishing y drenadores antes de hacer clic. Una extensión de navegador que verifica la URL en tiempo real es el seguro más barato en cripto. Consulta nuestra guía de alternativas a wallet guard para ver cómo el bloqueo previo al clic se compara con la simulación de transacciones.
  • Lee cada solicitud de firma. Nunca firmes a ciegas. Si el aviso muestra "Permit2", "SetApprovalForAll" o un contrato desconocido, cancela y verifica el dominio. La mayoría de los drenajes necesitan tu clic para completarse.
  • Marca los sitios reales de billeteras y DEX. Nunca llegues a Uniswap, MetaMask, Phantom o Ledger desde un anuncio de motor de búsqueda. Los anuncios de búsqueda son el vector número uno para los imitadores de billeteras.

Señales de alerta de que estás a punto de drenarte tú mismo

Estos son exactamente los avisos que las personas ven justo antes de firmar la transacción incorrecta. Si alguno de estos aparece, detente, cierra la pestaña y verifica a través del sitio oficial de la billetera.

  • "Vuelve a verificar tu billetera" o "tu billetera está fuera de sincronía". Ninguna billetera real pide esto. Siempre es una página de phishing.
  • Un aviso de "actualización" de MetaMask o Phantom fuera del propio flujo de actualización de la billetera. Las actualizaciones ocurren a través de la tienda del navegador o la configuración de la billetera, nunca a través de un banner de página web.
  • Una solicitud de firma para un contrato que no reconoces. Si no puedes leer el nombre de la función y los tokens afectados, no firmes. Los dos segundos de fricción salvan la billetera.
  • El soporte de Ledger pidiendo tus 24 palabras. El soporte de Ledger nunca lo pedirá. Ningún fabricante de billeteras legítimo jamás lo hará. En el instante en que la palabra "frase semilla" o "frase de recuperación" sale del soporte, estás hablando con un atacante.
  • Una página de reclamación que necesita una firma para "verificar elegibilidad". Las verificaciones de elegibilidad son de solo lectura. Si una reclamación quiere tu firma antes de mostrar el monto, es un drenador.

Errores comunes en modo de recuperación

El pánico hace que las personas hagan cosas que convierten un mal día en una peor semana. Presta atención a estos.

  • Mover fondos en pánico a otra billetera caliente en el mismo dispositivo. Si tu máquina está infectada, la nueva billetera está comprometida en el momento en que la configuras. Usa un dispositivo diferente, idealmente una billetera de hardware.
  • Ingresar una nueva frase semilla en un sitio web de "servicio de recuperación". No existe ningún servicio de recuperación legítimo que necesite tu nueva frase semilla. Cada resultado de escribir una nueva frase semilla en un formulario de recuperación es un segundo drenaje.
  • Pagar a "hackers" por recuperación. Las cuentas de Telegram y X que te envían mensajes directos minutos después de un drenaje, ofreciendo recuperación por una tarifa o un porcentaje, son el atacante original o un segundo estafador. Bloquea y sigue adelante.
  • Compartir tu frase semilla con "soporte" para ayudarte a recuperarte. El soporte real nunca necesita tu frase semilla. No para MetaMask, no para Ledger, no para Trezor, no para Phantom, no para ningún intercambio. Una solicitud de tu frase semilla es prueba de que te están estafando.
  • Ignorar el dispositivo. Las personas se enfocan en la billetera y olvidan la laptop. Si la causa raíz fue malware y no limpias la máquina, la próxima frase semilla muere de la misma manera.

Detén el próximo drenaje antes de que comience

SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge que bloquea sitios de phishing, páginas falsas de billeteras y dominios de drenadores conocidos antes de que puedas hacer clic en firmar. La extensión es gratuita para siempre. Premium añade detección de drenadores de billeteras, guardián de secuestro del portapapeles y análisis de contenido IA en tiempo real en más de 100 idiomas, en más de 500 marcas suplantadas.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

La versión gratuita bloquea phishing, tiendas falsas y estafas de soporte técnico. Premium ($14.99/año, una clave cubre 3 dispositivos) añade detección de drenadores de billeteras y borradores de advertencias previas al clic ajustadas a la marca del atacante que te está apuntando.

Artículos relacionados