Pink Drainer cerró - qué pasa ahora con los usuarios cripto

Q: ¿Cómo sé si mi wallet fue drenada por Pink Drainer específicamente?

Abre tu wallet en un explorador de bloques como Etherscan, BaseScan o Solscan. Busca transacciones salientes que no iniciaste tú. Una firma Permit2 o una llamada setApprovalForAll a un contrato desconocido seguida por un transferFrom que movió tus tokens es el patrón del drainer. ZachXBT y SlowMist mantienen listas de direcciones de contratos de drainers conocidos.

Q: ¿Una hardware wallet me protege completamente de los drainers?

No. Una hardware wallet protege las claves privadas de ser copiadas. No impide que el usuario firme una transacción maliciosa con esas claves. Si una hardware wallet está conectada a un sitio drainer y el usuario presiona Confirmar, el drainer gana. El valor de la hardware wallet es que le da al usuario un paso de firma más lento y más deliberado.

¿Qué es un wallet drainer, en un párrafo?

Un wallet drainer es una pieza de JavaScript que corre en un sitio web falso o hackeado. Cuando conectas tu wallet (MetaMask, Phantom, Trust Wallet, Ledger, Trezor, lo que sea), el script te pide firmar lo que parece ser una transacción normal. No es normal. Es una solicitud que le da al atacante permiso para mover cada token, NFT y stablecoin fuera de tu wallet. Haces clic en "Confirmar" una vez. En segundos, tu wallet está vacía. No hay una línea de soporte a la cual llamar. No hay un botón de "deshacer" en la blockchain.

Los drainers se venden "as-a-service" de la misma forma en que se vende Netflix. El creador del drainer es una persona o un equipo pequeño. Licencian el código a docenas o cientos de estafadores, que son quienes corren los sitios de phishing reales. El creador se lleva una comisión (usualmente 20–30 por ciento) de cada wallet drenada. Pink Drainer era uno de los tres kits más importantes en ese mercado.

Entonces, ¿qué le pasó a Pink Drainer?

A fines de mayo de 2026, los operadores de Pink Drainer publicaron un mensaje de despedida y dejaron de atender nuevos afiliados. Eso suena como una victoria para los buenos. No lo es. Aquí está el por qué.

La wallet on-chain que recibía las comisiones de Pink no fue drenada ni incautada. No hubo comunicado del FBI. No hubo recompensa de Chainalysis. La banda simplemente dio un paso atrás en silencio. En la economía del drainer, "shutdown" casi siempre significa lo mismo: los desarrolladores se dieron cuenta de que venía suficiente presión y quisieron reconstruir bajo un nombre nuevo, con infraestructura más limpia y probablemente nuevos afiliados. El nombre viejo se quema. El equipo detrás de él, no.

Mientras tanto, cada afiliado que estaba corriendo sitios de phishing con Pink necesita un kit nuevo para mañana. Su infraestructura de phishing (dominios typosquatted, presupuestos de anuncios, cuentas falsas de Twitter) sigue en pie. Solo necesitan un payload nuevo. Ese payload va a venir de alguno de los otros drainers activos.

¿Quién se queda con los clientes de Pink?

El mercado de drainers es lo suficientemente pequeño como para que ya sepamos quién se beneficia. Tres nombres dominan lo que viene a continuación:

Inferno Drainer

Inferno es el kit de drainer activo más grande. Apunta a Ethereum, Base, Arbitrum, Optimism, Polygon, BNB Chain y una larga cola de chains EVM más pequeñas. Su especialidad es el robo basado en firmas. Firmas un mensaje Permit2 o eth_signTypedData que parece rutinario, y en segundos el contrato de Inferno drena cada token aprobado. Los afiliados de Inferno son los más probables a absorber los clientes de Pink porque el onboarding es el más fácil.

Angel Drainer

Angel es de tamaño mediano, pero es peligroso porque innova más rápido que el resto. Angel fue uno de los primeros kits en envolver páginas de mint de NFT con llamadas ocultas a setApprovalForAll, y en usar puentes cross-chain para lavar fondos robados en minutos. Si los clientes de Pink quieren un kit que todavía funcione contra usuarios que corren extensiones con advertencias de wallet, Angel es la opción más cercana.

MS Drainer y Atomic Drainer

MS Drainer es fuerte en Solana. Atomic apunta a wallets multichain incluyendo TON. Juntos cubren las chains en las que Inferno y Angel son más débiles. Cualquier afiliado de Pink que estuviera corriendo phishing específico de Solana (mints falsos de NFT de Solana, páginas falsas de Jupiter) probablemente va a saltar a MS o Atomic en la próxima semana.

La conclusión es simple. El cierre de Pink no reduce la cantidad de sitios de phishing en los que podrías caer mañana. Solo cambia el logo del JavaScript que corre cuando conectas tu wallet.

Por qué los drainers siguen funcionando en 2026

Los wallet drainers robaron aproximadamente medio billón de dólares (USD) a usuarios cripto en 2024, afectando a más de 300.000 direcciones únicas de wallet, según investigación publicada por Group-IB y confirmada por el analista independiente ZachXBT. El número de 2025 se ve parecido. Entonces la pregunta obvia es: ¿por qué esto sigue funcionando si cada wallet importante ahora trae una pantalla de advertencia de transacción?

Tres razones.

La primera razón es que las pantallas de advertencia no son específicas. Tu wallet puede decir "esto es una aprobación de token". No dice "estás por darle a un contrato permiso para mover cada USDC que tienes a una dirección que ha sido vista en 14.000 robos previos". El usuario lee "aprobación de token", se encoge de hombros y hace clic en Confirmar.

La segunda razón es Permit2. Permit2 es un estándar de firma ingenioso de Uniswap que permite a un usuario pre-aprobar múltiples tokens en una sola firma. Ahorra gas en uso legítimo. En phishing, la misma firma le da al atacante un único clic que drena la wallet, muchas veces sin siquiera un popup de transacción. El usuario piensa que está iniciando sesión en un sitio web. Está firmando la transferencia bancaria.

La tercera razón son los anuncios de búsqueda. Los afiliados de drainer más grandes pagan para posicionarse por encima de los sitios reales. Cuando buscas en Google "Uniswap" o "MetaMask download" en medio de un momento de mercado movido, el primer resultado suele ser un anuncio pagado que apunta a un typosquat. Los afiliados de Pink Drainer gastaban seis cifras al mes en anuncios de Google y X. Inferno gasta más.

5 cosas para hacer esta semana, en español claro

1. Revocar aprobaciones (approvals) sin uso en Revoke.cash

Abre revoke.cash, conecta tu wallet y mira la lista de contratos que has aprobado a lo largo de los años. La mayoría de los usuarios tienen entre 30 y 100 aprobaciones viejas. Algunas de esas aprobaciones son ilimitadas. Si un contrato que aprobaste hace dos años resulta estar comprometido mañana, el atacante puede usar esa aprobación para drenar el token correspondiente. Revoca todo lo que no uses activamente. El costo de gas es bajo. La protección dura para siempre.

2. Mueve tus tenencias de largo plazo a una billetera fría (cold wallet) que no conectas a dApps

Las hardware wallets no te impiden firmar un mensaje malicioso. Solo lo hacen más difícil. Tienes que presionar físicamente un botón en el dispositivo. Ese paso extra te da una oportunidad de leer la solicitud de firma. Si además mantienes esa hardware wallet completamente fuera de cualquier dApp (usa una "hot wallet" o billetera caliente separada para trading, NFTs y DeFi), el drainer nunca tiene la oportunidad de pedir una firma en primer lugar.

3. Guarda los dominios reales como favoritos, nunca los busques

Tipea, no busques. Si googleas "uniswap" o "metamask" o "phantom" o "ledger live download", hay una probabilidad no menor de que el primer resultado sea un anuncio pagado apuntando a un typosquat. Guarda los sitios reales una vez como favoritos, y nunca los vuelvas a buscar. Este único cambio de comportamiento bloquea la mayoría de los puntos de entrada de drainers.

4. Ve más despacio con las firmas

Si un sitio web le pide a tu wallet firmar algo dentro de los primeros diez segundos de haber aterrizado en él, eso es una señal de alerta. Los sitios legítimos casi nunca piden una firma inmediata. Te piden que elijas una red, que elijas un token, que ingreses un monto y que hagas clic en un botón. La firma viene al final. Si un sitio que nunca usaste te pide firmar antes de que hayas hecho cualquier cosa, cierra la pestaña.

5. Agrega un escáner a nivel del navegador

Aquí es donde estamos sesgados, y vamos a ser directos al respecto. SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge que escanea cada URL antes de que la página se renderice. Compara el dominio contra una base de datos de más de 550 marcas y el contenido de la página contra firmas de JavaScript conocidas de drainers (Inferno, Pink, Angel, MS, Atomic). Cuando detecta una página de wallet drainer, muestra una advertencia a pantalla completa antes de que tu wallet siquiera cargue. El tier gratis bloquea todo esto. Premium ($14.99/año) suma escaneo con IA del contenido de la página en más de 100 idiomas para sitios que no hemos visto antes. Instala SafeBrowz si quieres una segunda línea de defensa.

Lo que estamos vigilando a continuación

Dos tendencias para mirar en los próximos 30 días. Ambas vienen directo de lo que estamos viendo en nuestro propio pipeline de detección.

Primero, esperamos un pico de typosquats de nombres de marcas legítimas de Web3. Cuando los afiliados cambian de kit, suelen reconstruir su inventario de phishing al mismo tiempo, comprando nuevos dominios parecidos. Atrapamos uno este mes: hyrpia.xyz, un typosquat del cliente de Farcaster hypria.app (nota el cambio r-p). El dominio pasó de estar registrado a drenar wallets activamente en 48 horas. Esperen más de eso.

Segundo, esperamos que páginas falsas de CAPTCHA estilo ClickFix empiecen a empujar usuarios directamente hacia popups de wallet-connect. ClickFix ha estado creciendo más del 500 por ciento en 2025 según datos de Microsoft. Hasta ahora ha entregado principalmente infostealers de Windows como Lumma. La próxima evolución obvia es una página ClickFix que, en lugar de pedirte pegar un comando de PowerShell, te pide conectar tu wallet y "verificarla". No hemos visto esa variante en estado salvaje todavía. Esperamos verla dentro del trimestre.

Preguntas frecuentes

Si Pink Drainer está cerrado, ¿mis aprobaciones viejas de wallet están a salvo?

No automáticamente. Las aprobaciones que diste a contratos de phishing afiliados a Pink siguen vivas on-chain. El atacante puede usar esas aprobaciones en cualquier momento, incluso si el sitio de phishing original ya no está. Revoca cualquier aprobación que no reconozcas en revoke.cash hoy.

¿Cómo sé si mi wallet fue drenada por Pink Drainer específicamente?

Abre tu wallet en un explorador de bloques (Etherscan, BaseScan, Solscan). Busca transacciones salientes que no iniciaste tú. Si ves una firma Permit2 o una llamada setApprovalForAll a un contrato desconocido seguida por un transferFrom que movió tus tokens, ese es el patrón del drainer. ZachXBT y el equipo de SlowMist mantienen listas de direcciones de contratos de drainers conocidos que puedes cruzar como referencia.

¿Cuál es la diferencia entre un wallet drainer y un sitio de phishing común?

Los sitios de phishing tradicionalmente roban nombres de usuario y contraseñas. Los wallet drainers no necesitan ninguna de las dos. Roban a través de una transacción firmada o una aprobación (approval) de token. Tu seed phrase nunca queda comprometida. El drainer simplemente usa el permiso que otorgaste para mover fondos. Por eso "yo nunca di mi seed phrase" no es suficiente.

¿Una hardware wallet me protege completamente de los drainers?

No. Una hardware wallet protege tus claves privadas de ser copiadas. No te impide firmar una transacción maliciosa con esas claves. Si conectas tu hardware wallet a un sitio drainer y presionas el botón físico de Confirmar, el drainer gana. El valor de la hardware wallet es que te da un paso de firma más lento y más deliberado donde puedes leer la solicitud primero.

¿Por qué los drainers siguen apuntando a cuentas de menos de $2.000?

Las wallets pequeñas reciben menos atención. Sus dueños son menos propensos a hacer una denuncia policial, menos propensos a estar activos en el Twitter cripto, menos propensos a disparar alertas de analíticas de blockchain. Los drainers prefieren alto volumen sobre alto valor. El medio billón de dólares de 2024 vino de cientos de miles de robos pequeños, no de unos pocos drenajes de ballenas que hacen titulares.

¿Hay algo que wallets como MetaMask o Phantom podrían hacer para solucionar esto?

Lo están intentando. MetaMask Snaps y el simulador de transacciones integrado de Phantom son pasos reales hacia adelante. Pero el problema de fondo son las firmas legibles por humanos. Hasta que cada wallet muestre "este contrato ha sido usado en X robos previos" en lugar de "Aprobar transacción", los drainers van a seguir ganando. La detección a nivel del navegador (extensiones como SafeBrowz, Scam Sniffer, Wallet Guard) llena ese vacío al advertir antes de que el popup de la wallet siquiera aparezca.

En resumen

El cierre de Pink Drainer no es una victoria. Es un reacomodamiento. Las bandas detrás de él se van con sus fondos y reconstruyen. Sus afiliados portan sus sitios de phishing a Inferno, Angel, MS o Atomic para la próxima semana. Los anuncios de phishing siguen corriendo. El manual del truco de la firma sigue funcionando.

La defensa no ha cambiado. Revoca aprobaciones viejas. Usa una hardware wallet para lo que importa. Guarda los sitios reales como favoritos. Ve más despacio con las firmas. Y agrega un escáner a nivel de navegador que atrape al kit antes de que el kit te atrape a ti.

Si todavía no instalaste SafeBrowz, puedes hacerlo en 30 segundos: gratis para Chrome, Firefox y Edge. Si quieres profundizar en la mecánica del wallet drainer, nuestro explicador del ataque de firma Permit2 recorre el flujo exacto de firma que los drainers usan para saltarse las aprobaciones de tokens. Y si quieres una guía más general, cómo darte cuenta de si un sitio web es una estafa cubre las pistas visuales que distinguen un dApp real de un clon de phishing.