Las estafas de phishing en cripto evolucionaron. Ya no son emails toscos: son sitios web idénticos al original, falsos «soporte técnico» en Discord/Telegram, transacciones de aprobación que vacían wallets en un clic, y direcciones contaminadas que se parecen a una a la que ya transferiste. La defensa: pausar antes de hacer clic, verificar URL letra por letra, no firmar lo que no comprendés.
1. Sitios falsos de exchange / wallet
Páginas que clonan exactamente la interfaz de Bitso, Binance, MetaMask, Phantom. Llegan por:
- Anuncios pagados en Google que aparecen arriba del resultado oficial.
- Resultados orgánicos manipulados con dominios casi idénticos (bitsо.com con «о» cirílica).
- Enlaces compartidos en chats de Telegram o Discord.
Defensa: tipear la URL manualmente o usar bookmark guardado. Nunca llegar al exchange por buscador. Verificar el dominio letra por letra antes de introducir credenciales.
2. Ice phishing (firma maliciosa)
Esta es la forma dominante en 2025–2026. Un sitio fraudulento te invita a conectar la wallet y firmar una «verificación» o «reclamar airdrop». La firma no es un login: es una aprobación que da permiso para gastar tus tokens.
Tipos comunes:
- Approve(spender, max): autoriza al contrato del estafador a gastar todos tus tokens X.
- Permit2 / Permit: firma off-chain que vale como aprobación gas-less.
- SetApprovalForAll: autoriza a mover todos tus NFT de una colección.
Defensa: leer SIEMPRE lo que pide la firma. Si una página te pide aprobar un contrato que no reconocés, no firmes. Revisar y revocar aprobaciones antiguas en revoke.cash o equivalente.
3. Soporte falso en Discord / Telegram
Una hora después de que reportés un problema en el canal oficial, un «moderador» te escribe por privado con perfil idéntico al moderador real. Te ofrece ayuda y termina pidiendo:
- La seed phrase para «verificar».
- Que vayas a un link de soporte «interno».
- Que descargues un .exe.
Regla absoluta: ningún soporte legítimo te pide nunca la seed phrase. Ni Ledger, ni Trezor, ni Coinbase, ni Binance, ni Bitso. Si te la piden, es estafa.
4. Address poisoning
Después de hacer una transferencia legítima, recibís una transacción de cero valor desde una dirección casi idéntica a la del destinatario (mismos primeros y últimos caracteres). El objetivo: que la próxima vez copies la dirección equivocada del historial.
Defensa: verificar siempre las últimas 6–8 caracteres de la dirección, no solo los primeros. Mantener libreta de direcciones nombradas en la wallet. Hacer transferencia de prueba pequeña la primera vez.
5. Aplicaciones móviles falsas
Apps que aparecen en App Store o Google Play con nombre y logo idénticos a wallets conocidas. Una vez instaladas, generan una seed que el atacante también conoce, o piden importar la tuya y la transmiten al servidor.
Defensa: descargar siempre desde el enlace oficial en la web del fabricante. Verificar publisher de la app. Para hardware wallets: revisar precintos y comprar al distribuidor oficial.
6. Estafa romántica + cripto (pig butchering)
Esquema de varias semanas. Empieza con un contacto romántico o «amigo de negocios» en redes sociales. Lleva a una «oportunidad de inversión» en una plataforma cripto inventada que muestra ganancias falsas. Cuando intentás retirar, la plataforma exige un «impuesto» que vos pagás. Después desaparece.
Defensa: desconfiar de oportunidades que llegan por contacto íntimo no buscado. Las inversiones legítimas no se promueven por DM. La FBI estima pérdidas globales por pig butchering en miles de millones anuales.
Checklist rápido antes de firmar cualquier transacción
- ¿La URL es la oficial? Letra por letra.
- ¿Tengo bookmark? Si no, salgo y vuelvo desde bookmark.
- ¿Qué pide exactamente la firma? Leer el contenido.
- ¿El contrato destinatario es el oficial? Verificar en Etherscan o explorador equivalente.
- ¿Llegué aquí por anuncio o link de chat? Reconsiderar.
- ¿Estoy operando bajo presión de tiempo o emoción? Esperar.
Ver también: Seed phrase: cómo guardarla · Ledger vs Trezor.