Estafa "verificar billetera Uniswap": qué es y cómo protegerse (2026)

Cómo funciona la estafa "verificar billetera Uniswap"

El flujo de esta estafa es casi siempre el mismo. Lo hemos visto cientos de veces en investigaciones de inteligencia de amenazas y bases de datos públicas de typosquats. Estos son los seis pasos en orden.

Paso 1: la víctima busca "Uniswap" en Google o Twitter

El usuario quiere ir a Uniswap. En lugar de escribir la URL directamente, busca "uniswap" en Google o hace clic en un link en Twitter, Telegram o Discord. Este es el punto de entrada de la mayoría de los robos de cripto en 2026: no fue un hack, fue una búsqueda.

Paso 2: clic en un anuncio o resultado patrocinado falso

Los operadores de drainers compran anuncios pagados en Google y X que aparecen por encima del resultado real de Uniswap. El anuncio muestra el logo correcto, el texto correcto y a veces incluso un dominio que parece casi idéntico al verdadero. Como el anuncio se ve "verificado" por la plataforma, el usuario asume que es seguro. No lo es.

Paso 3: aterriza en un sitio lookalike

El usuario llega a una página que copia visualmente al Uniswap real al pixel. Lo único distinto es el dominio. Hemos visto variantes como uniswapv4.xyz, uniswap-app.top, app-uniswap.fun, uniswap.one, uniswap-defi.xyz y muchas más. El sitio real está en app.uniswap.org y solo en ese dominio.

Paso 4: el sitio muestra "Verifica tu billetera para continuar"

Aquí está la línea que delata la estafa. El sitio falso muestra una modal o un popup que dice frases como "Verifica tu billetera para continuar", "Sincroniza tu billetera con la red", "Valida tu billetera para acceder a Uniswap v4" o "Tu billetera necesita ser verificada antes de hacer swaps". Uniswap real nunca muestra esos mensajes. Nunca. No existen en su código.

Paso 5: el usuario firma una solicitud Permit2 sin leer

El usuario hace clic en "Verificar" y su billetera (MetaMask, Rabby, Phantom EVM, Trust Wallet) abre un popup de firma. La firma no es una transferencia obvia: es una solicitud Permit2 estructurada que aparenta ser técnica e inofensiva. La mayoría de los usuarios hace clic en "Firmar" sin leer los detalles porque están acostumbrados a que las dApps pidan firmas. Esa firma le da al atacante permiso para mover tokens específicos desde la billetera de la víctima hacia su dirección.

Paso 6: el drainer vacía la billetera

En menos de un minuto después de la firma, el contrato del drainer ejecuta un transferFrom que mueve los USDC, USDT, DAI y cualquier otro token aprobado fuera de la billetera. No hay popup de confirmación adicional porque Permit2 lo hace en una sola firma. Cuando el usuario refresca su billetera, los fondos ya no están. No hay forma de revertirlo.

Señales de alerta verificables

Cualquiera de estas señales por sí sola debe hacerte cerrar la pestaña. Si ves dos o más, estás definitivamente en un drainer.

• El dominio no es exactamente app.uniswap.org. No hay variantes oficiales. No hay "uniswap v4" en otro dominio. No hay subdominios alternativos.
• El sitio pide "verificación", "sincronización" o "validación" de tu billetera. Uniswap real no hace nada de eso.
• Solicitud de firma sin una explicación clara de la transacción (sin monto, sin token específico, sin destino).
• El dominio termina en .xyz, .top, .fun, .one, .click, .lol u otros TLDs baratos que casi nunca usan proyectos legítimos.
• Llegaste vía URL acortada (bit.ly, tinyurl, t.co que no resuelve al dominio oficial).
• Anuncio patrocinado en Google o X sin badge de "Anunciante verificado" o con un nombre de anunciante que no coincide con Uniswap Labs.
• El sitio te apura: "Disponibilidad limitada", "Solo por 24 horas", "Verifica antes de que tu billetera quede bloqueada".
• El sitio te muestra un balance ficticio o un "airdrop disponible" antes de pedir la firma.

Cómo verificar la URL real de Uniswap

La defensa principal es nunca buscar Uniswap. Tipea la URL directamente o guárdala como favorito. Aquí están las URLs oficiales:

• App principal: app.uniswap.org
• Sitio corporativo: uniswap.org
• Blog oficial: uniswap.org/blog (publican aquí cualquier anuncio importante)
• X oficial: @Uniswap (cuenta verificada de Uniswap Labs, no de "Uniswap Airdrop" ni nada parecido)

No confíes en links de Twitter, Telegram, Discord ni mensajes directos. Aunque vengan de una cuenta que parece oficial, esa cuenta puede estar comprometida o ser una imitación. Si necesitas confirmar una novedad, ve directamente a uniswap.org/blog escribiéndolo a mano.

Qué hacer si ya firmaste

Si firmaste una solicitud que ahora sospechas era un drainer Permit2, actúa en este orden. Cada minuto cuenta.

1. Mueve los fondos restantes a una billetera nueva inmediatamente

Crea una billetera completamente nueva (semilla nueva, no derivada de la anterior). Mueve cada token que todavía tengas en la billetera comprometida hacia la nueva. Hazlo antes de revocar nada porque el atacante puede ejecutar el drain en cualquier momento mientras la aprobación esté activa. No olvides los NFTs ni los tokens menos comunes: lista todo en un explorador de bloques como Etherscan o BaseScan.

2. Usa Revoke.cash para anular permisos

Una vez vaciada la billetera, ve a revoke.cash, conecta la billetera comprometida y revoca cada aprobación que no reconozcas. Especialmente las aprobaciones a contratos Permit2 desconocidos. Esto evita robos futuros si vuelves a usar esa billetera por error. Repite el proceso en cada red donde tengas fondos: Ethereum, Base, Arbitrum, Optimism, Polygon, BNB Chain.

3. Reporta el sitio a Chainabuse y Etherscan

Reporta el dominio del drainer en chainabuse.com con la dirección del contrato malicioso y la URL exacta. Etherscan también acepta reportes para etiquetar la dirección como "Phishing/Hack". Estas etiquetas ayudan a que otros usuarios vean una advertencia cuando inspeccionen la dirección.

4. Reporta el anuncio a Google o X

Si llegaste vía un anuncio patrocinado, reporta el anuncio en Google Ads (botón "Reportar este anuncio") y en X (clic en los tres puntos del anuncio). Toma una captura de pantalla del anuncio y la URL de destino. Los reportes con evidencia se procesan más rápido. Esto no recupera tus fondos pero corta el flujo de víctimas nuevas.

5. Documenta para denuncia legal

Guarda capturas de pantalla del sitio falso, el anuncio, la solicitud de firma y la transacción on-chain donde se movieron tus fondos. Si vives en EE.UU., reporta en IC3.gov del FBI. En España, en la Policía Nacional vía denuncia online. En México, en la Guardia Nacional. La recuperación es rara, pero la documentación es necesaria si los fondos fluyen a un exchange y hay posibilidad de congelarlos.

Cómo reportar la estafa

Para reportes proactivos cuando detectas un sitio drainer pero no fuiste víctima, los canales más efectivos son:

• Chainabuse: chainabuse.com agrega tu reporte a una base de datos pública usada por wallets y exchanges.
• Etherscan / BaseScan / Polygonscan: usa el formulario "Submit a tag" para marcar la dirección del contrato como phishing.
• Google Safe Browsing: reportar phishing hace que Chrome y Firefox empiecen a mostrar una advertencia de pantalla completa.
• PhishTank: phishtank.org alimenta los feeds de muchos navegadores y extensiones de seguridad.
• SafeBrowz: envíanos el dominio a info@safebrowz.com y lo agregamos a la capa de detección local de la extensión.

Última actualización: 2026-05-29.

Cómo SafeBrowz bloquea los drainers

SafeBrowz utiliza una arquitectura de detección de 3 capas: Local + APIs + IA. Está diseñada específicamente para detectar wallet drainers como el de Uniswap antes de que tu billetera abra el popup de firma.

• Capa 1 - Detección local: 60+ patrones de URL + 550+ firmas de marca (incluyendo Uniswap, MetaMask, Phantom, Trust Wallet, Ledger, Trezor y variantes typosquat conocidas) + listas blancas/negras de la comunidad, todo ejecutándose directamente en la extensión antes de que se renderice la página. Detecta instantáneamente patrones como Drainer-as-a-Service JavaScript signatures (Inferno, Angel, MS Drainer, Atomic), payloads de Permit2 batch-execute y páginas de drainer alojadas en hosts gratuitos como Vercel, Netlify o Wix.
• Capa 2 - Verificación de APIs: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y 30+ TLDs de alto riesgo para dominios maliciosos conocidos.
• Capa 3 - Análisis IA profundo (Premium): análisis de contenido en más de 100 idiomas que detecta variantes novedosas en segundos, incluyendo páginas que el sistema nunca vio antes y que aparecen como typosquats nuevos de Uniswap, MetaMask u otros wallets.

Las firmas de detección se derivan de investigación de inteligencia de amenazas y análisis de base de datos de marcas, no de datos de navegación del usuario. No se almacena historial de navegación por usuario.

Preguntas frecuentes

¿Uniswap pide verificar tu billetera?

No. Uniswap nunca pide verificar, sincronizar ni validar tu billetera. No existe ese paso en la app real. Para hacer un swap en Uniswap, conectas tu billetera y firmas la transacción de swap específica con monto y tokens visibles. No hay un paso intermedio de "verificación". Cualquier sitio que pida verificar tu billetera es un drainer.

¿Cómo se ve un drainer de Uniswap?

Visualmente es una copia exacta del Uniswap real. La interfaz, el logo, los colores y los textos están clonados al pixel. La diferencia está en el dominio (no es app.uniswap.org) y en una modal extra que aparece pidiendo "verificar" la billetera. La firma que pide es de tipo Permit2 estructurada que aparenta ser técnica e inofensiva, sin un monto claro ni un destino reconocible.

¿Qué hago si firmé un Permit2 sospechoso?

Actúa en este orden: 1) Mueve los fondos restantes a una billetera nueva con semilla nueva inmediatamente, antes de que el atacante ejecute el drain. 2) Revoca todas las aprobaciones desconocidas en revoke.cash, especialmente las relacionadas con contratos Permit2. 3) Reporta el dominio del drainer en Chainabuse y Google Safe Browsing. 4) Documenta el incidente con capturas y la transacción on-chain para una posible denuncia legal.

¿Cuál es la URL real de Uniswap?

La app oficial está en app.uniswap.org y el sitio corporativo en uniswap.org. No hay variantes oficiales en .xyz, .top, .fun, .one ni ningún otro TLD. Tampoco existen subdominios alternativos como uniswapv4.xyz o uniswap-app.com. Si ves cualquier dominio distinto a app.uniswap.org pretendiendo ser Uniswap, es una estafa.

¿Cómo me protege SafeBrowz contra estos drainers?

SafeBrowz escanea cada URL antes de que la página se renderice. Compara el dominio contra una base de datos de más de 550 marcas (incluyendo Uniswap y sus typosquats conocidos) y el contenido de la página contra firmas de JavaScript de drainers conocidos como Inferno, Pink, Angel y MS. Cuando detecta una página de wallet drainer, muestra una advertencia a pantalla completa antes de que tu billetera siquiera cargue. El tier gratuito bloquea esto. Premium suma análisis IA en 100+ idiomas para sitios que el sistema nunca vio antes.

¿Una hardware wallet me protege completamente?

No. Una hardware wallet (Ledger, Trezor) protege tus claves privadas de ser copiadas, pero no impide que firmes una transacción maliciosa con esas claves. Si conectas tu hardware wallet al sitio drainer de Uniswap falso y presionas el botón físico de Confirmar, el drainer gana. El valor de la hardware wallet es que te obliga a un paso de firma más lento y deliberado donde puedes leer la solicitud primero.

Lecturas relacionadas

Si quieres profundizar en cómo funcionan los drainers Permit2 a nivel técnico, lee nuestro explicador del ataque de firma Permit2 (en inglés, pendiente traducción al español). Para entender el ecosistema completo de wallet drainers en 2026, revisa qué son los wallet drainers cripto: guía 2026 y nuestro reporte sobre el cierre de Pink Drainer que cubre cómo migran los afiliados entre kits. Si te interesan otros lookalike drainers, ve el caso de stable.xyz y la estafa de airdrop de Hyperliquid.

Para extensiones de seguridad alternativas, compara las mejores extensiones anti-estafa de 2026, o ve directamente a SafeBrowz vs Wallet Guard y SafeBrowz vs Guardio. Y para casos similares de phishing por email apuntando a usuarios de wallets, revisa el email falso de actualización obligatoria de MetaMask. También tenemos cobertura en español del cierre de Pink Drainer y del phishing de Vercel y hosting gratuito.