Drenadores de falso airdrop en pages.dev: cómo detectarlos en 2026
Una página en un host gratis desechable que dice "reclama tus tokens gratis" y te pide conectar el monedero es una de las formas más comunes de que te roben cripto en 2026. PCRisk marcó cuatro ejemplos activos este mes: falsos airdrops de TokenSight "$TKST", Tonkeeper "TON", "$Bitcat" y "Qubit Inu", cada uno en su propio sitio desechable de pages.dev. Todos suplantan a un proyecto real, esperan a que conectes y, en el instante en que lo haces, un drenador vacía el monedero. Este es el patrón y cómo detectarlo antes de pulsar reclamar.
Veredicto: estafa / drenador de monederos
Una página de "airdrop gratis, conecta tu monedero para reclamar" alojada en un host gratis desechable es un drenador de monederos, no un airdrop. PCRisk reportó dos activas en junio de 2026: una falsa página "$TKST Airdrop Is Here!" de TokenSight en tkstio.pages[.]dev (22 de junio) y una falsa página de "airdrop de TON" de Tonkeeper en ton-keeper.pages[.]dev (19 de junio). Ambas copian la marca de un proyecto real, muestran un botón de Reclamar que abre un cuadro de conectar monedero (MetaMask, WalletConnect, Binance Wallet, todos los monederos) y, en el instante en que conectas, un drenador transfiere de forma automática tus tokens y monedas al atacante. No hace falta escribir nada más. Una dirección pages.dev es un host real y gratuito de Cloudflare Pages al que cualquiera puede desplegar en minutos, así que no es automáticamente una estafa, pero una página de "reclamar" con conexión de monedero alojada en uno es una trampa clásica de drenador. El sitio real de Tonkeeper es tonkeeper.com, y TokenSight solo se verifica en su propio sitio oficial, nunca en una página de reclamar en pages.dev. PCRisk marcó dos más con el mismo patrón el 24 de junio: un falso airdrop de "$Bitcat" en claim-bitcat.pages[.]dev y un falso airdrop de "Qubit Inu" en claim-qubit.pages[.]dev, ambos con un cuadro de conectar 47 monederos dirigido a tenedores de Solana. La misma regla de no conectes cubre el falso airdrop de ETH Genesis, el falso airdrop de XRP y los drenadores de Xaman, y cualquier otra campaña de token sorpresa en cualquier cadena.
Por qué funcionan las páginas de "airdrop, conecta para reclamar"
Los airdrops son reales. Los proyectos cripto legítimos sí reparten tokens a sus primeros usuarios, y quien se perdió uno siente el escozor. Los estafadores viven de ese sentimiento. Montan una página que dice que tienes derecho a una asignación gratuita, le pegan el nombre y el logo de un proyecto famoso, le ponen una cuenta atrás y colocan un único botón brillante de "Reclamar". La página casi no hace nada. Su único trabajo es conseguir que conectes un monedero.
La conexión en sí es la trampa. Los drenadores modernos no necesitan tu frase secreta ni necesitan una contraseña. Una vez conectado tu monedero, la página presenta una transacción o una aprobación de token disfrazada de "reclamar", y firmarla le entrega al operador el derecho a mover tus activos. Los mejores drenadores escanean lo que tienes y luego elaboran la firma única que se lleva primero los tokens más valiosos. Para ti parece un clic para reclamar una recompensa. Para el atacante es un clic para vaciar el monedero.
El montaje se ha vuelto barato, y por eso ves tantos de estos. Un subdominio pages.dev es un sitio gratuito de Cloudflare Pages. Cualquiera puede registrarse, desplegar una copia de la página de aterrizaje de un proyecto y tener una URL HTTPS activa en minutos, sin coste y sin un dominio que comprar. Lo mismo pasa con vercel.app, netlify.app y web.app. Son servicios de hosting legítimos que usan millones de desarrolladores reales, así que el host por sí solo no convierte un sitio en malo. Pero sí significa que un drenador se puede levantar y tirar gratis, que es justo lo que hacen los operadores de falsos airdrops. Cubrimos el mismo manual en Vercel en nuestro desglose de drenadores en hosting gratuito.
Cuatro ejemplos reales de junio de 2026
Todos fueron reportados este mes por el sitio de análisis de malware PCRisk. Todos son drenadores de monederos confirmados. Los dominios se muestran ofuscados abajo para que reconozcas el patrón, no para que los visites.
Falso "airdrop $TKST" de TokenSight
Reportado el 22 de junio de 2026. La página en tkstio.pages[.]dev anuncia "$TKST Airdrop Is Here!" y suplanta al proyecto TokenSight. Hay un botón de Reclamar bien visible. Lo pulsas y se abre un cuadro de conectar monedero que ofrece MetaMask, WalletConnect, Binance Wallet y una opción de "todos los monederos", el mismo selector que ves en las dApps reales. En el instante en que conectas, el drenador incrustado transfiere de forma automática tus tokens y monedas al atacante. No hace falta rellenar nada más. La conexión es todo el ataque.
Falso "airdrop de TON" de Tonkeeper
Reportado el 19 de junio de 2026. La página en ton-keeper.pages[.]dev suplanta a Tonkeeper, el monedero legítimo de TON, y ofrece un falso airdrop de TON. Fíjate en el guion del subdominio, un cambio mínimo respecto al nombre real de la marca, diseñado para que parezca correcto de un vistazo. La misma forma: un aviso de reclamar, un paso de conectar monedero y un drenador que se activa al conectar. El monedero real de Tonkeeper vive en tonkeeper.com, y la TON Foundation y Tonkeeper no reparten airdrops a través de una página al azar en pages.dev.
Falso airdrop de "$Bitcat"
Reportado el 24 de junio de 2026. La página en claim-bitcat.pages[.]dev anuncia un airdrop gratis del token "$Bitcat". El botón de Reclamar abre un cuadro de conectar monedero que lista 47 monederos, entre ellos MetaMask, Phantom, Solflare, Jupiter, Ledger, Trust y BackPack. La presencia de monederos de Solana como Phantom, Solflare y BackPack delata que esta oleada apunta a los tenedores de Solana, no solo a EVM. En el instante en que conectas, el drenador transfiere tus fondos al atacante, normalmente en segundos tras aprobar la conexión.
Falso airdrop de "Qubit Inu"
Reportado el mismo día, 24 de junio de 2026. La página en claim-qubit.pages[.]dev promociona un falso airdrop de la meme-coin "Qubit Inu" ($Qubit). Aparece el mismo cuadro de conectar 47 monederos y pasa lo mismo al conectar: el drenador usa la aprobación para autorizar transacciones que mueven tus activos digitales a un monedero que controlan los atacantes. Dos nombres de marca distintos, el mismo host desechable de pages.dev, el mismo drenado en un clic.
Ninguno de los cuatro necesita tu frase de recuperación, que es lo que los hace peligrosos. No hay una casilla evidente de "escribe aquí tu frase secreta" que dispare una alarma. Parece un flujo normal de conectar y reclamar hasta que tu monedero ya está vacío.
Comprueba ese enlace de airdrop antes de conectar
¿Viste una página de airdrop o "reclama tus tokens", un popup de conectar monedero o un enlace en un host de pages.dev / vercel.app / netlify.app y no estás seguro? Pégalo abajo antes de conectar un monedero o firmar nada. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.
Señales de alerta de un drenador de falso airdrop
- Una promo de "airdrop" o "reclama" que no buscaste. No fuiste a buscarla. Llegó en un mensaje directo, una respuesta, un comentario, un anuncio o una pestaña al azar. La elegibilidad real es algo que compruebas en el sitio propio del proyecto, no algo que te manda un desconocido.
- Necesita "Conectar monedero" solo para reclamar. Una página que no puede mostrarte nada hasta que conectas el monedero tiene un único objetivo: conseguir la conexión para poder pedir la firma que drena.
- Está en un host gratis. La dirección termina en pages.dev, vercel.app, netlify.app o web.app. Los proyectos legítimos usan su propio dominio para un lanzamiento de token, no un subdominio gratis y desechable.
- Suplanta a un proyecto conocido en el dominio equivocado. La marca dice Tonkeeper o TokenSight u otro nombre real, pero la dirección no es el dominio oficial del proyecto. Un guion o una palabra extra en el subdominio (ton-keeper en lugar de tonkeeper) es la pista.
- Te mete prisa. Una cuenta atrás, una "elegibilidad limitada" o un "reclama antes de que caduque" existen para que no compruebes si algo de esto es real.
- Te pide firmar una transacción o aprobación para "reclamar". Reclamar un airdrop real suele ser una transacción clara y legible en el sitio oficial. Una firma vaga o una aprobación de token ilimitada presentada como "reclamar tu recompensa" es el drenaje.
- La recompensa es un número de papel. Una asignación enorme que no encuentras cotizada en ningún mercado real es cebo, no valor.
Qué hacer
- Nunca conectes un monedero a una página de reclamar o de airdrop. Ni para "comprobar elegibilidad", ni para "verificar", ni para "reclamar antes de que caduque". Una página que solo miraste no puede tocar tus fondos. Una página a la que te conectaste sí.
- Verifica solo en el dominio oficial del proyecto, escrito por ti. Entra en tonkeeper.com escribiéndolo, o llega a un proyecto por sus canales oficiales verificados, nunca por un enlace de airdrop que te enviaron. Si hay un airdrop real, el sitio oficial lo dirá.
- Trata el host como una advertencia, no como un pase libre. Una dirección de pages.dev o vercel.app con un airdrop de conectar monedero es una señal de stop. Cierra la pestaña.
- Si ya conectaste, mueve tus fondos ahora. Transfiere tus activos a un monedero nuevo con una frase secreta nueva que nunca haya tocado la página, primero los tokens y NFTs más valiosos. Luego revoca cualquier aprobación que hayas concedido en revoke.cash. Consulta qué hacer justo después de una estafa para la secuencia completa.
- Usa un monedero físico para tus tenencias. Un dispositivo como un Ledger de ledger.com te muestra en su propia pantalla lo que de verdad estás firmando y mantiene tus claves fuera de línea, lo que desactiva el drenador de un solo clic.
Cómo reportarlo
- Reporta la página al host y a Google Safe Browsing. Cloudflare Pages, Vercel y Netlify tienen canales de denuncia de abusos, y conseguir que cierren páginas como tkstio.pages[.]dev, ton-keeper.pages[.]dev, claim-bitcat.pages[.]dev y claim-qubit.pages[.]dev protege a la siguiente persona a la que le manden el enlace.
- Reporta las direcciones del drenador a investigadores on-chain. Rastrea los monederos receptores con un explorador de bloques y repórtalos para que exchanges y rastreadores como Chainabuse y Scam Sniffer puedan marcarlos.
- En España, denuncia ante la Policía Nacional o la Guardia Civil y consulta a la Oficina de Seguridad del Internauta del INCIBE (incibe.es) en la línea gratuita 017. En México, repórtalo a la CONDUSEF y, si hubo cargo en tarjeta, a la PROFECO.
- Avisa al proyecto. Los proyectos reales quieren saber que su marca se está usando en un drenador para publicar una advertencia a sus propios seguidores.
Cómo SafeBrowz bloquea esta amenaza
SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA.
- Capa 1 - Detección local: más de 60 firmas de patrones de URL más una base de datos de más de 550 marcas (Tonkeeper, MetaMask, Binance, Ledger y más incluidas) más comprobaciones de homógrafos y Punycode, todo ejecutándose dentro de la extensión antes de que la página se cargue. Atrapa dominios de reclamar parecidos donde un host no oficial como ton-keeper.pages.dev sirve una página de airdrop con el estilo de Tonkeeper, y trata los subdominios de hosting gratis como de mayor riesgo.
- Capa 2 - Comprobaciones por API: agrega los feeds de Google Safe Browsing, PhishTank, URLhaus y ScamAdviser más más de 30 listas de TLD de estafa para marcar dominios ya conocidos como maliciosos, lo que cubre las páginas de reclamar de los drenadores a medida que se reportan.
- Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido en más de 100 idiomas atrapa una página de reclamar totalmente nueva en segundos, incluido un sitio recién creado de "$TKST airdrop" o "airdrop de TON" que copia el estilo real, muestra un selector de conectar monedero y empuja un flujo de conectar para reclamar en un host gratis desechable.
Alcance honesto: SafeBrowz marca el falso airdrop y la página de reclamar antes de que conectes, así nunca llegas a la firma que drena. Lo que no puede hacer es revertir fondos que ya se fueron una vez que conectaste y firmaste, porque esa transacción es final en la cadena. Si ya conectaste, mueve tus fondos a un monedero nuevo y revoca las aprobaciones de inmediato. La defensa está en atrapar la página primero.
Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.
Dónde encaja la defensa en la capa del navegador
El botón de conectar es el último momento tranquilo antes del drenaje, y para entonces una persona real ya decidió que la página es genuina. El escaneo en la capa del navegador atrapa el paso anterior a ese: la propia página de reclamar. Cuando un airdrop con estilo de Tonkeeper o de TokenSight se carga en un host de pages.dev que no es el dominio del proyecto, un escáner consciente de la marca marca la suplantación antes de que pulses conectar. SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge (Safari muy pronto) que comprueba cada URL antes de que se cargue contra una base de datos de más de 550 marcas, con más de 60 firmas de patrones de URL y análisis profundo con IA opcional. Aprende a saber si un sitio web es una estafa, entiende cómo funcionan los drenadores de monederos, instala SafeBrowz y combínalo con la única regla que vence a toda esta categoría: nunca conectes un monedero a un airdrop que no buscaste tú en el dominio propio del proyecto.
Instala SafeBrowz gratis
Añade la extensión de navegador, o la app SafeBrowz para Android, que ejecuta todas las comprobaciones de este artículo de forma automática, en cada página, antes de que se cargue. Gratis para siempre, con análisis profundo con IA opcional en Premium por 14,99 $ al año.
Añadir a Chrome
Añadir a Firefox
Añadir a Edge
Disponible en Google Play
Preguntas frecuentes
¿Es legítimo el airdrop $TKST de TokenSight en tkstio.pages.dev?
No. PCRisk reportó tkstio.pages.dev el 22 de junio de 2026 como un drenador de monederos que suplanta al proyecto TokenSight. La página dice "$TKST Airdrop Is Here!" y muestra un botón de Reclamar que abre un cuadro de conectar monedero con MetaMask, WalletConnect, Binance Wallet y otras opciones. En el instante en que conectas, un drenador transfiere de forma automática tus tokens y monedas al atacante. Verifica TokenSight solo en su sitio oficial, nunca en una página de reclamar en pages.dev.
¿Es real el airdrop de TON de Tonkeeper en ton-keeper.pages.dev?
No. PCRisk reportó ton-keeper.pages.dev el 19 de junio de 2026 como un drenador de monederos que suplanta a Tonkeeper, el monedero legítimo de TON. Ofrece un falso airdrop de TON, te pide conectar un monedero para reclamar y ejecuta un drenador al conectar. El sitio real de Tonkeeper es tonkeeper.com, y la TON Foundation y Tonkeeper no reparten airdrops a través de una página al azar en pages.dev. El guion en "ton-keeper" es la pista de que no es la marca oficial.
¿Son legítimos los airdrops de $Bitcat y Qubit Inu en claim-bitcat.pages.dev y claim-qubit.pages.dev?
No. PCRisk reportó ambos el 24 de junio de 2026 como drenadores de monederos. claim-bitcat.pages.dev promociona un falso airdrop de "$Bitcat" y claim-qubit.pages.dev un falso airdrop de "Qubit Inu" ($Qubit). Cada uno abre un cuadro de conectar 47 monederos (MetaMask, Phantom, Solflare, Jupiter, Ledger y otros), y en el instante en que conectas, un drenador transfiere tus fondos al atacante en segundos. El amplio conjunto de monederos de Solana muestra que esta oleada apunta a los tenedores de Solana. Ningún proyecto real reparte un airdrop desde una página desechable de pages.dev, así que no conectes el monedero a ninguno.
¿Un sitio en pages.dev siempre es una estafa?
No. Una dirección pages.dev es un sitio gratuito de Cloudflare Pages que usan millones de desarrolladores reales, así que el host por sí solo no convierte un sitio en malo. El problema es que cualquiera puede desplegar una página de falso airdrop en uno gratis en minutos. Una página de pages.dev (o vercel.app, netlify.app, web.app) que suplanta a un proyecto cripto conocido y te pide conectar un monedero para reclamar una recompensa es un patrón clásico de drenador. Trata esa combinación concreta como una señal de stop.
Conecté mi monedero a una página de falso airdrop. ¿Y ahora qué?
Actúa rápido. Mueve tus activos a un monedero totalmente nuevo con una frase secreta nueva que nunca haya tocado la página, enviando primero los tokens y NFTs más valiosos. Luego revoca cualquier aprobación que hayas concedido en revoke.cash desde un dispositivo limpio. Deja de usar el monedero conectado para cualquier cosa de valor. Ignora a quien ofrezca "recuperación de fondos" de pago, que es una segunda estafa que apunta a las víctimas de la primera. Un monedero físico de ledger.com es el lugar más seguro para mover tus tenencias.
Cobertura relacionada de SafeBrowz
- Drenadores en hosting gratuito: el patrón de phishing de Vercel
- Falso airdrop de XRP y sitios drenadores de Xaman
- Drenador de delegación EIP-7702: cómo funciona
- El cierre de Pink Drainer y los kits que heredaron sus afiliados
- Me robaron la frase secreta cripto: qué hacer
- Estafa de "verifica tu billetera" de Uniswap
- Cómo saber si un sitio web es una estafa
- Me estafaron: qué hacer en 2026
- Más del blog de SafeBrowz
En resumen: una página en un host gratis que dice "reclama tu airdrop gratis" y te pide conectar el monedero es un drenador, no un regalo. Los falsos de junio de 2026 en tkstio.pages[.]dev y ton-keeper.pages[.]dev vacían tu monedero en cuanto conectas, sin necesidad de la frase secreta. Verifica un proyecto real solo en su propio dominio escrito por ti, nunca conectes a un airdrop que te envió un desconocido, y mantén SafeBrowz en tu navegador para que una página falsa de airdrop se marque antes de que conectes tu monedero.