Te robaron cripto: un plan de acción paso a paso

Te robaron cripto: un plan de acción paso a paso

Conclusiones clave

  • Si tu cripto ha desaparecido, las próximas horas importan más que cualquier otra cosa que hagas. Los fondos se mueven rápido, y la ventana de intervención se mide en horas, no en días.
  • Registra primero el hash de la transacción del robo y la dirección del atacante. Sin ellos, ninguna investigación puede empezar.
  • No envíes dinero a nadie que prometa recuperar tus fondos. Las estafas de recuperación se dirigen a víctimas recientes precisamente porque están desesperadas.
  • Las stablecoins como USDT y USDC pueden congelarse a petición de las fuerzas del orden, lo que las convierte en uno de los pocos activos donde actuar rápido cambia de verdad el resultado.
  • La recuperación es posible en muchos casos, sobre todo cuando el robo se denuncia rápido y los fondos se rastrean antes de llegar a un exchange que no coopera o de convertirse por completo.
  • Match Systems rastrea activos robados a través de las cadenas y trabaja con exchanges y fuerzas del orden para apoyar la recuperación, pero el proceso tiene que empezar mientras el rastro sigue caliente.

En este artículo

  • Por qué las primeras horas lo deciden todo
  • La primera hora: detén la hemorragia y captura pruebas
  • Las primeras 24-48 horas: blinda y preserva tus opciones
  • Qué no hacer
  • Consigue ayuda antes de que el rastro se enfríe
  • Cómo toman el relevo los investigadores
  • ¿Puedes recuperar de verdad tu cripto?
  • Preguntas frecuentes

Por qué las primeras horas lo deciden todo

Hay un momento, justo después de que alguien se da cuenta de que su cripto ha desaparecido, en el que el instinto lleva a hacer algo inmediato y emocional: recargar el monedero, probar otra contraseña, publicar en un grupo de Telegram pidiendo ayuda. Casi ninguno de estos instintos apunta en la dirección correcta, y algunos empeoran la situación.

Lo que sigue es la secuencia que desearíamos que toda víctima conociera antes de contactarnos. Está construida a partir del patrón que vemos caso tras caso: quienes recuperan sus fondos son casi siempre los que actuaron con método en las primeras horas, y quienes no lo hacen suelen ser los que esperaron, entraron en pánico o confiaron en la persona equivocada.

La primera hora: detén la hemorragia y captura pruebas

La primera hora determina la mayor parte de lo que será posible después. Para cuando una víctima nos contacta, los fondos a menudo ya han pasado por varios monederos. Cuanto antes empiece la respuesta, más parte del rastro sigue siendo accionable.

  • Deja de interactuar con el monedero comprometido. Si tu frase semilla o tu clave privada quedaron expuestas, ese monedero ya no es tuyo, sin importar lo que quede en él. Enviar una transacción de rescate para mover los fondos restantes suele fracasar, porque los atacantes ejecutan scripts automatizados que barren cualquier gas entrante en el momento en que llega. Si tienes otros activos en el mismo monedero, muévelos solo desde un dispositivo limpio a un monedero recién creado cuyas claves nunca hayan tocado el entorno comprometido.
  • Registra las pruebas. Abre un explorador de blockchain y localiza la transacción no autorizada. Guarda el hash de la transacción, la dirección receptora del atacante, el importe, el token y la marca de tiempo. Este es el punto de partida de toda investigación, y cuanto más rápido se capture, antes podrá empezar el rastreo.
  • Identifica cómo ocurrió el robo, si puedes. Una firma de phishing, una frase semilla filtrada, un SIM swap y una aprobación maliciosa exigen cada una un seguimiento algo distinto. Si firmaste algo en un sitio web, anota el sitio. Si tu teléfono perdió la señal antes del robo, trátalo como un posible SIM swap y contacta de inmediato con tu operadora para bloquear la cuenta.

Las primeras 24-48 horas: blinda y preserva tus opciones

Una vez asegurada la prueba inmediata, la siguiente prioridad es cerrar el acceso restante del atacante y preservar cualquier posibilidad de congelación.

  • Revoca las aprobaciones de tokens activas. Si el robo llegó a través de una aprobación maliciosa o una firma Permit, el atacante puede conservar un permiso permanente para vaciar tokens que lleguen más tarde. Usa las funciones de gestión de aprobaciones integradas en tu monedero para revisar y cancelar cualquier aprobación a direcciones que no reconozcas.
  • Asegura las cuentas conectadas. Cambia las contraseñas de tu correo y de cualquier cuenta de exchange, y desactiva la autenticación de dos factores por SMS en favor de una aplicación de autenticación. Muchos robos de cripto empiezan con un correo comprometido o un número de teléfono secuestrado, y dejarlos abiertos invita a una segunda ronda.
  • Marca el robo ante cualquier exchange implicado. Si los fondos se originaron en un exchange centralizado o pasaron por él, notifícalo a los canales de soporte y cumplimiento de ese exchange. Si los fondos rastreados llegan más tarde a un exchange, un aviso previo puede acelerar la congelación.
  • Anota si hay stablecoins de por medio. Si los activos robados incluyen USDT o USDC, la situación tiene una auténtica ventaja de acción rápida. Tether y Circle pueden restringir direcciones concretas a petición de las fuerzas del orden. En junio de 2025, el Departamento de Justicia de EE. UU. reconoció a Tether por asistir en la incautación de unos 225 millones de dólares en USDT vinculados a una operación de pig butchering. Como dijo el sargento Ryan Berry de la RCMP en un caso distinto de 2025, el momento lo es todo: cuanto antes empiecen los investigadores a seguir las transacciones, mayor es la probabilidad de interceptación. Esa ventana se cierra en cuanto los fondos se cambian y dejan de estar en forma de stablecoin, así que este es el detalle sobre el que hay que actuar de inmediato.

Qué no hacer

Algunos de los errores más dañinos ocurren después del robo, no durante.

  • No pagues a un servicio de recuperación que te contacte. En las horas o días posteriores a un robo, a menudo se acercan a las víctimas cuentas que prometen una recuperación garantizada a cambio de un pago por adelantado. Casi siempre son estafas de seguimiento. El atacante original con frecuencia vende listas de víctimas, y un segundo equipo trabaja de nuevo a la misma persona. Ninguna firma legítima garantiza la recuperación, y ninguna firma legítima te pide que envíes cripto a un monedero para desbloquear tus fondos robados.
  • No trates el rastreo amateur como un sustituto de la denuncia. Ver cómo se mueven los fondos en un explorador de bloques da sensación de productividad, pero no dispara una congelación ni un proceso legal. El valor del rastreo rápido viene de lo que se hace con él: un aviso legal a un equipo de cumplimiento, una solicitud de congelación coordinada a través de las fuerzas del orden.
  • No esperes a reunir información perfecta antes de denunciar. Información parcial denunciada rápido supera a información completa denunciada tarde. El hash de la transacción y la dirección del atacante bastan para empezar.

El plan de acción de un vistazo

Plazo

Acciones prioritarias

Primera hora

Deja de usar el monedero comprometido; registra el hash de la transacción y la dirección del atacante; identifica el método de ataque; bloquea la cuenta de tu operadora si sospechas de un SIM swap.

Primeras 24-48 horas

Revoca las aprobaciones de tokens; asegura el correo y las cuentas de exchange; sustituye el 2FA por SMS por una aplicación de autenticación; marca el robo ante cualquier exchange; actúa rápido si hay stablecoins de por medio.

Denuncia

Presenta la denuncia ante el IC3 del FBI (o tu unidad nacional de ciberdelincuencia) e implica en paralelo a una firma de investigación especializada.

Evita

Pagar comisiones de recuperación por adelantado; enviar fondos a cualquiera que prometa desbloquear tu cripto; retrasar la denuncia para reunir información perfecta.

Consigue ayuda antes de que el rastro se enfríe

Una vez capturadas las pruebas, lo más útil que puede hacer una víctima es entregar el caso a personas que puedan actuar sobre él con rapidez. Denunciar un robo de cripto rara vez es tan simple como entrar en una comisaría, y el lugar adecuado para presentar la denuncia depende por completo de las circunstancias: qué activos se llevaron, por qué cadenas y servicios pasaron los fondos, dónde está la víctima y hacia dónde se dirige el rastro.

Este es el momento de contactar con una firma de investigación especializada. Cuanto antes vea Match Systems el hash de la transacción, la dirección del atacante y los detalles del entorno, antes podremos analizar el caso y determinar la respuesta más eficaz: dónde debe presentarse la denuncia, a qué autoridades y equipos de cumplimiento de exchanges implicar, y cómo cronometrar una solicitud de congelación mientras los fondos aún son alcanzables. Las relaciones directas entre investigadores y equipos de cumplimiento de exchanges a menudo avanzan más rápido que navegar los canales oficiales por tu cuenta, y acertar con esa secuencia desde el principio es lo que preserva las opciones que importan.

El trabajo de la víctima es actuar rápido y preservar las pruebas. Construir la estrategia de denuncia y recuperación en torno a los detalles del caso es el nuestro.

Cómo toman el relevo los investigadores

Una vez abierta una investigación, el trabajo pasa de la víctima a los investigadores, pero ayuda entender qué está ocurriendo.

El rastro empieza en la transacción del robo. Los investigadores mapean el flujo de fondos hacia fuera a través de cada monedero intermedio, siguiendo swaps, divisiones y puentes entre cadenas. Los activos robados suelen fragmentarse de inmediato y pueden cambiarse a un token distinto en cuestión de minutos, pero cada movimiento queda registrado de forma permanente en la blockchain.

El objetivo es un punto de intersección. El momento más accionable es cuando los fondos robados tocan un exchange centralizado con requisitos de KYC. Ahí es donde un aviso legal al equipo de cumplimiento puede marcar la cuenta y bloquear la retirada, y donde el rastro seudónimo se conecta con una identidad real. Una sólida base de datos de etiquetado de direcciones, construida a lo largo de años de investigaciones, es lo que permite a los investigadores reconocer esos puntos de intersección con rapidez y anticipar hacia dónde se dirigen los fondos a continuación.

Match Systems combina el rastreo on-chain con relaciones consolidadas con exchanges y coordinación directa con las fuerzas del orden. Hemos recuperado decenas de millones en activos robados en casos como Atomic Wallet, CoinsPaid y otros, y mantenemos una base de datos de etiquetado propia usada tanto en investigaciones activas como en el filtrado de cumplimiento en tiempo real.

¿Puedes recuperar de verdad tu cripto?

La realidad honesta es que no todos los casos terminan en recuperación, y ninguna firma creíble prometerá lo contrario. Pero la variable que más importa es casi siempre la misma: con qué rapidez empezó la respuesta. Fondos denunciados en cuestión de horas, cuando aún están en una forma rastreable o congelable, dan a los investigadores mucho con lo que trabajar. Fondos denunciados semanas más tarde, tras su conversión y blanqueo a través de múltiples cadenas, les dan mucho menos.

Lo más útil que puede hacer una víctima es tratar el primer día como la prioridad que es.

Preguntas frecuentes

¿Qué es lo primerísimo que debo hacer cuando me roban la cripto?

Registra el hash de la transacción del robo y la dirección receptora del atacante desde un explorador de blockchain, y luego deja de interactuar con el monedero comprometido. Esas dos piezas de información son el punto de partida de toda investigación, y capturarlas rápido permite que el rastreo empiece antes de que los fondos se dispersen.

¿Debería sacar mis fondos restantes del monedero hackeado?

Solo desde un dispositivo limpio, y solo a un monedero completamente nuevo cuyas claves nunca hayan estado expuestas. Si tu frase semilla quedó comprometida, los atacantes a menudo ejecutan scripts automatizados que barren cualquier gas entrante al instante, así que una transacción de rescate puede fracasar y simplemente entregarles el gas. En caso de duda, captura primero las pruebas y consulta a un especialista.

Alguien me escribió ofreciéndose a recuperar mis fondos. ¿Es legítimo?

Casi con certeza no. Las estafas de recuperación se dirigen específicamente a víctimas recientes de robos, a menudo usando listas vendidas por el atacante original, y piden una comisión por adelantado o un depósito a un monedero. Ninguna firma legítima garantiza la recuperación ni te pide que envíes cripto para desbloquear tus fondos robados.

¿Importa si los fondos robados eran stablecoins?

Importa mucho. Tether y Circle pueden restringir direcciones concretas de USDT y USDC a petición de las fuerzas del orden, lo que significa que el robo de stablecoins tiene una vía de intervención real que otros activos no tienen. La pega es el momento: en cuanto los fondos se cambian y dejan la forma de stablecoin, esa opción se cierra. Si hay stablecoins de por medio, actuar en las primeras horas es especialmente importante.

¿Cuánto tiempo tengo antes de que la recuperación se vuelva improbable?

No hay un plazo fijo, pero las probabilidades caen con cada hora. Los fondos pueden pasarse por un puente, cambiarse o encaminarse hacia una mesa OTC en cuestión de horas desde el robo. Los casos denunciados el mismo día, cuando los activos aún son rastreables o congelables, son los que tienen las mayores opciones. Cuanto mayor sea la demora, más se fragmenta el rastro.

En las investigaciones de robo de cripto, el tiempo importa más de lo que la mayoría de las víctimas cree.

Una vez que los fondos se pasan por un puente, se mezclan o se retiran a través de canales OTC, la recuperación se vuelve mucho más difícil. Match Systems trabaja con exchanges, emisores de stablecoins y las fuerzas del orden para rastrear activos robados y apoyar la recuperación legal, apoyándose en una base de datos propia de etiquetado de direcciones y en relaciones directas de cumplimiento construidas a lo largo de años de investigaciones activas.

Inicia una evaluación de tu caso: https://matchsystems.com

Populares

Enviar una solicitud

Deja una solicitud

¿Cómo contactarte?

Indica tu usuario de Telegram o tu correo, según el método de comunicación elegido.