INFORME DE AMENAZA - DRENADOR DE MONEDEROS

Falso airdrop de XRP y sitios drenadores de Xaman: la oleada de estafas de 2026

Q: ¿Cómo drena mi XRP un sitio falso de DeFi en XRPL?

Muestra un botón de Conectar monedero con monederos reales (XUMM/Xaman, GemWallet, Crossmark, a veces MetaMask). Tras conectar, al pulsar Reclamar o Hacer staking le pide a tu monedero que firme una transacción. En el XRP Ledger suele ser un Payment directo al atacante, un TrustSet que abusa de una línea de token o un SetRegularKey que entrega a una clave controlada por el atacante plena autoridad de firma sobre tu cuenta. Algunas variantes se saltan esto y solo te piden pegar tu frase secreta de recuperación, lo que deja al atacante importar tu cuenta directamente. El marketing de +12 % APY de la página no tiene relación con lo que de verdad estás firmando.

En mayo de 2026, el fundador de Xaman, Wietse Wind, y el CTO de Ripple, David Schwartz, salieron a decir lo mismo sin rodeos: no hay ningún airdrop de XRP y no existe un monedero de escritorio oficial de Xaman. Las versiones falsas solo existen para vaciar tu XRP en cuanto conectas el monedero.

SafeBrowz Threat Research Investigación de seguridad13 de junio de 20269 min de lectura

Lo esencial primero

Veredicto: el airdrop de XRP es una estafa y no existe un monedero de escritorio oficial de Xaman. El 24 y 25 de mayo de 2026, el fundador de Xaman, Wietse Wind, avisó de que los estafadores estaban montando más de 20 cuentas falsas en X y más de 10 dominios que imitan a Xaman, empujando una descarga falsa de un "monedero de escritorio de Xaman" y un falso "airdrop de XRP". El CTO de Ripple, David Schwartz, lo amplificó días antes con una alerta sobre vídeos hechos con IA, después de que varios usuarios perdieran fondos hablando con un falso "soporte de Xaman". El drenaje ocurre cuando conectas tu monedero a un sitio falso de DeFi en XRPL y firmas una petición, o cuando pegas tu frase secreta de recuperación en una página clonada. Ningún airdrop, exchange o monedero real te pide jamás tu frase secreta. Llega a Xaman solo en xaman.app y al XRP Ledger solo en xrpl.org.

Qué advirtieron de verdad Wietse Wind y David Schwartz

Esto no es un rumor. Las personas que construyen la infraestructura de XRP lo dijeron en voz alta.

El 24 y 25 de mayo de 2026, Wietse Wind, fundador de Xaman (el monedero antes conocido como XUMM) y desarrollador veterano del XRP Ledger, publicó una nueva advertencia para los poseedores de XRP. Su equipo se pasó fines de semana enteros peleando contra una avalancha de suplantaciones. Contó más de 20 cuentas falsas de X/Twitter y más de 10 dominios fraudulentos creados para imitar a Xaman, todos empujando dos mentiras: un "monedero de escritorio de Xaman" que puedes descargar y un "airdrop de XRP" que puedes reclamar. Su aclaración no pudo ser más directa. No hay un monedero de escritorio oficial de Xaman. No hay ningún airdrop de XRP.

Días antes, el 14 de mayo de 2026, el CTO de Ripple, David Schwartz, avisó a sus seguidores de una versión más afilada de la misma ola: vídeos deepfake con IA que clonaban su cara y su voz en TikTok y YouTube para promocionar falsos sorteos y airdrops. Dijo sin rodeos que cualquiera que lo suplante en Instagram, Telegram o plataformas parecidas es "probablemente un estafador". Varios poseedores ya habían reportado el drenaje de sus monederos tras hablar con cuentas falsas de "soporte de Xaman" que imitaban el tono del equipo real y luego escalaban a llamadas telefónicas, guiando a las víctimas para que firmaran peticiones maliciosas o revelaran su frase de recuperación.

El patrón es el mismo que hemos rastreado en cripto todo el año, desde el falso airdrop de cJUP de Jupiter hasta el comprobador de elegibilidad de Hyperliquid. Una comunidad con mucha atención, una oferta demasiado buena, un botón de "conectar monedero" y un monedero vaciado. Solo cambia el logo.

Cómo se ve el sitio falso de DeFi en XRPL

La versión más común es una página de aterrizaje pulida con el aspecto de un "protocolo DeFi de XRPL". Promete rendimiento. El texto está diseñado para que actúes deprisa: "gana recompensas en XRP", "+12 % APY", "recompensas distribuidas a diario", "TIEMPO LIMITADO". Hay una cuenta atrás. Hay un número que sube fingiendo ser el total de XRP ya "reclamado".

En el centro hay un único botón grande: Conectar monedero. Lo pulsas y aparece una lista de nombres de monederos reales: XUMM / Xaman, GemWallet, Crossmark y a veces MetaMask para la sidechain compatible con EVM. Los nombres son reales. El sitio no. Un dominio como ripple-swap.com es un ejemplo real de esta clase de estafa. Está en la lista de bloqueo de SafeBrowz y se escanea como PELIGRO. (Pruébalo en el comprobador de abajo.) Las superficies reales y oficiales son xrpl.org, ripple.com, xaman.app y gemwallet.app.

Cuando conectas y luego pulsas "Reclamar" o "Hacer staking", el sitio le pide a tu monedero que firme una petición. En el XRP Ledger esa petición suele ser un Payment directo al atacante, un TrustSet que autoriza una línea de token sin valor que luego abusan, o en el peor caso un SetRegularKey que entrega a una clave controlada por el atacante plena autoridad de firma sobre tu cuenta. El texto tranquilizador de la página no tiene nada que ver con lo que de verdad estás firmando.

🛡 VERIFICACIÓN EN VIVO

Comprueba un enlace sospechoso ahora mismo

¿Recibiste un enlace de "reclama tu XRP" o una URL de descarga de Xaman? Pulsa el dominio en rojo de arriba o pega tu propio enlace sospechoso. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

La versión de la "frase secreta" es aún más simple

Algunas variantes se saltan por completo el truco de la firma y te piden a ti que hagas el trabajo por ellos. La descarga falsa del "monedero de escritorio de Xaman", o una página de "restaura tu monedero para reclamar el airdrop", te pide que importes tu monedero escribiendo tu secreto, tu family seed o tu frase de recuperación de 24 palabras en una casilla.

Ese es el ataque completo. En el XRP Ledger, cualquiera que tenga tu secreto puede firmar cualquier transacción exactamente igual que tú. No hay segundo factor, no hay reversión, no hay mostrador de soporte que pueda recuperarlo. En el momento en que tu frase toca esa casilla, el atacante importa tu cuenta en su propio dispositivo y mueve todo fuera.

Grábate esta regla: ningún monedero, exchange, airdrop o agente de soporte legítimo te pide jamás tu frase secreta de recuperación. Ni para "verificarte", ni para "sincronizar" una app de escritorio, ni para "reclamar" nada. Una petición de tu seed es, por sí sola, prueba de una estafa. Recorremos exactamente la misma trampa con monederos físicos en la alerta del correo falso de Ledger.

Por qué las falsificaciones se ven tan convincentes en 2026

Tres cosas se suman para que esta ola pegue más fuerte que las viejas estafas de XRP.

Deepfakes con IA de personas reales. La advertencia de Schwartz iba específicamente sobre vídeo clonado. Un poseedor minorista que pasa por TikTok ve lo que parece el CTO de Ripple anunciando en persona un sorteo. La voz coincide. La cara coincide. El "sitio para reclamar" del pie de página parece avalado. Nada de eso es real.

Rotación industrial de dominios. Wind contó diez y pico dominios en un solo fin de semana. Cuando una imitación se reporta y se cierra, la siguiente ya está activa. Las listas de bloqueo basadas en reputación que catalogan URLs exactas siempre van horas por detrás de un dominio nuevo, y horas es todo lo que un drenador necesita.

Nombres de monederos reales como cebo. Mostrar XUMM/Xaman, GemWallet y Crossmark en la pantalla de conexión toma prestada su confianza. Un poseedor nuevo que acaba de instalar Xaman reconoce el nombre y supone que el sitio es parte del ecosistema. El selector de monederos es código genuino hablando con monederos genuinos. La transacción que te pide firmar es la parte hostil.

Señales de alerta que deben frenar el clic

Promete un airdrop o sorteo de XRP. No hay airdrop de XRP. Wind lo dijo directamente. Schwartz lo dijo directamente. Cualquier página o mensaje directo que ofrezca uno es una estafa, punto.
Ofrece una descarga del "monedero de escritorio de Xaman". No existe un monedero de escritorio oficial de Xaman. Xaman es una app móvil, accesible solo desde xaman.app.
Te pide tu secreto, tu family seed o tu frase de recuperación. Ningún sitio ni persona legítima lo hace nunca. Esta señal sola basta para marcharte.
Un rendimiento demasiado bueno. "+12 % APY", "recompensas distribuidas a diario", una cuenta atrás, un contador falso de "ya reclamado". Urgencia más rendimiento garantizado es la firma de un drenador.
El dominio no es uno oficial. Las superficies reales de XRPL son xrpl.org y ripple.com; los monederos reales son xaman.app y gemwallet.app. Un host del estilo "ripple-swap" o "xrp-rewards" no lo es.
El "soporte" te contactó a ti. El soporte real de Xaman no te escribe primero, no te llama y no te pide firmar nada para "arreglar" tu cuenta.
Una petición de firma que no esperabas. Si solo querías "reclamar" y el monedero abre un Payment, un TrustSet o un SetRegularKey que no iniciaste, recházalo y cierra la pestaña.

Qué hacer si ya conectaste o firmaste

Actúa rápido. El orden importa.

Si solo conectaste tu monedero pero no firmaste nada, probablemente estés bien. Una conexión de solo lectura no mueve fondos en el XRP Ledger. Desconéctate, cierra la pestaña y vigila la cuenta en un explorador real como xrpscan.com por si aparece alguna transacción que no autorizaste.

Si firmaste una petición, revisa tu cuenta de inmediato. Abre tu cuenta en xrpscan.com o bithomp.com y mira las transacciones más recientes. Un Payment de salida sorpresa es un robo directo. Un TrustSet que no hiciste es una línea de token hostil. La peligrosa es un SetRegularKey: si un atacante puso una clave regular en tu cuenta, puede seguir firmando como tú. Si aún controlas la clave maestra, pon tú una clave regular nueva o desactiva la hostil, y mueve tu XRP a una cuenta nueva.

Si escribiste tu secreto o tu frase seed en cualquier sitio, trata la cuenta como totalmente comprometida. No la "arregles". Crea una cuenta nueva con un secreto nuevo en un dispositivo limpio y mueve lo que quede de inmediato. La cuenta vieja la podrá firmar el atacante para siempre.

Reporta el dominio fraudulento y las cuentas falsas a Xaman y a los canales de la comunidad de XRPL para que el proceso de cierre se ponga al día. En España, denuncia ante la Policía Nacional o la Guardia Civil, y consulta la Oficina de Seguridad del Internauta (osi.es) o el INCIBE en la línea gratuita 017. En México, repórtalo a la CONDUSEF y, si hubo cargo en tarjeta, a la PROFECO. La recuperación de fondos ya movidos es rara, pero los reportes aceleran el cierre de dominios. Nuestra guía de recuperación de monedero drenado tiene la lista completa de las primeras 24 horas y los 7 días, y desconfía de cualquiera que prometa "recuperación de fondos" garantizada a cambio de una tarifa, esa es una segunda estafa apilada sobre la primera.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA. Lo importante para esta estafa es que nuestra detección no se fía del texto de marketing tranquilizador de la página. Lee las señales que el atacante no puede falsificar.

Capa 1 - Detección local: más de 60 patrones de URL y una base de datos de más de 550 marcas se ejecutan en el navegador antes de que la página se cargue. Un sitio falso de XRPL dispara varias señales a la vez: una marca o palabra clave (Xaman, XUMM, XRP, Ripple) en un dominio que no es el oficial, un aviso de "conectar monedero" junto a varios nombres de proveedores de monedero (XUMM, GemWallet, Crossmark, MetaMask) y hosts parecidos o recién registrados. Dominios drenadores conocidos como ripple-swap.com se marcan en rojo directamente.
Capa 2 - Comprobaciones por API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y más de 30 listas de TLD de estafa en el servidor. Los dominios drenadores de airdrop recién creados aparecen en estos feeds a las pocas horas de salir, y la capa de API los recoge automáticamente. Un dominio totalmente nuevo sin historial es por sí mismo una señal ponderada.
Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido con IA (a través de nuestro proxy, más de 100 idiomas) atrapa variantes nuevas que ninguna lista de bloqueo tiene aún. Sopesa la oferta de rendimiento demasiado buena ("+12 % APY", "recompensas distribuidas a diario"), el patrón de conectar monedero con muchos proveedores, el desajuste de marca en dominio equivocado y, del lado del servidor, un paquete de script drenador de monederos ofuscado, y luego devuelve un veredicto de peligro en segundos en lugar de creerse el texto de "staking oficial de XRP" de la página.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Bloquea los falsos airdrops de XRP y las imitaciones de Xaman antes de conectar

SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge, con Safari muy pronto. Marca sitios falsos de DeFi en XRPL, páginas que imitan a Xaman y XUMM y trampas drenadoras de "conectar monedero" antes de que la página pueda pedir una firma o una frase seed. La capa local cubre más de 550 marcas. El análisis profundo con IA (Premium, 14,99 $ al año) atrapa nuevos dominios drenadores de airdrop el mismo día en que aparecen, incluso cuando ninguna lista de bloqueo los tiene aún.

Añadir a Chrome Añadir a Firefox Añadir a Edge

Preguntas frecuentes

¿Es real el airdrop de XRP?

No. No hay ningún airdrop de XRP. El fundador de Xaman, Wietse Wind, lo dijo directamente en su advertencia de mayo de 2026, y el CTO de Ripple, David Schwartz, lo repitió mientras avisaba de vídeos deepfake con IA que promocionan falsos sorteos. Toda página, vídeo o mensaje directo que ofrezca un enlace de "reclama tu airdrop de XRP" es una estafa diseñada para drenar tu monedero cuando lo conectas o para robar tu frase secreta. Ripple y el XRPL no hacen airdrops sorpresa que reclamas conectando un monedero a un sitio de terceros.

¿Existe un monedero de escritorio oficial de Xaman?

No. Wietse Wind, fundador de Xaman (antes XUMM), dijo que no existe un monedero de escritorio oficial de Xaman. Xaman es una app móvil. Cualquier descarga de "Xaman desktop" que encuentres por un anuncio, un resultado de búsqueda o un mensaje directo es falsa y está hecha para robar tu frase secreta de recuperación o drenar tu cuenta. El único lugar legítimo para obtener Xaman es xaman.app, que enlaza a las tiendas de apps móviles oficiales.

¿Cómo drena mi XRP un sitio falso de DeFi en XRPL?

Muestra un botón de "Conectar monedero" con monederos reales (XUMM/Xaman, GemWallet, Crossmark, a veces MetaMask). Tras conectar, al pulsar "Reclamar" o "Hacer staking" le pide a tu monedero que firme una transacción. En el XRP Ledger suele ser un Payment directo al atacante, un TrustSet que abusa de una línea de token o un SetRegularKey que entrega a una clave controlada por el atacante plena autoridad de firma sobre tu cuenta. Algunas variantes se saltan esto y solo te piden pegar tu frase secreta de recuperación, lo que deja al atacante importar tu cuenta directamente. El marketing de "+12 % APY" de la página no tiene relación con lo que de verdad estás firmando.

¿Qué pasa si conecté mi monedero a uno de estos sitios?

Si solo conectaste y no firmaste nada, probablemente estés bien, porque una conexión de solo lectura no mueve fondos en el XRP Ledger. Desconéctate y vigila tu cuenta en un explorador real como xrpscan.com. Si firmaste una petición, revisa de inmediato tus transacciones recientes por un Payment sorpresa, un TrustSet inesperado o un SetRegularKey. Una clave regular hostil deja al atacante seguir firmando como tú, así que desactívala y mueve fondos a una cuenta nueva si aún tienes la clave maestra. Si escribiste tu secreto o tu frase seed, la cuenta está totalmente comprometida, crea una nueva y mueve todo fuera ahora.

¿Algún servicio real me pedirá alguna vez mi secreto o frase seed de XRP?

Nunca. Ningún monedero, exchange, airdrop o agente de soporte legítimo te pedirá jamás tu secreto, tu family seed o tu frase de recuperación, ni para verificarte, ni para sincronizar una app de escritorio, ni para reclamar una recompensa. Cualquiera que tenga tu secreto de XRP puede firmar cualquier transacción como tú, y no hay reversión. Una petición de tu frase seed es, por sí sola, prueba definitiva de una estafa. Márchate y repórtalo.

¿Cómo sé que estoy en el sitio real de Xaman o XRPL?

Llega al XRP Ledger solo en xrpl.org, a Ripple en ripple.com, a Xaman en xaman.app y a GemWallet en gemwallet.app. Guárdalos en marcadores y entra desde el marcador, nunca desde un anuncio, un resultado de búsqueda, el pie de un vídeo o un mensaje directo. Si un sitio usa un nombre como "ripple-swap" o "xrp-rewards", lista varios proveedores de monedero detrás de un botón de conexión, promete rendimiento garantizado o pone una cuenta atrás, es un drenador. Puedes pegar cualquier URL sospechosa en el comprobador de SafeBrowz de esta página para obtener un veredicto de 3 capas antes de conectar nada.

Última actualización: 13 de junio de 2026