Cómo los hackers roban criptomonedas

Cómo los hackers roban criptomonedas

Conclusiones clave

  • La blockchain en sí nunca ha sido hackeada. Casi todos los robos de cripto ocurren a través de las personas y sistemas que la rodean: monederos, interfaces, exchanges y errores humanos.
  • Los hackers no necesitan romper el cifrado. Solo necesitan tu clave privada o tu frase semilla, y hay muchas formas de obtenerla sin tocar una sola línea de código.
  • El phishing es, con diferencia, el método de ataque más común. Los sitios web falsos, las aprobaciones de transacciones maliciosas y la suplantación generada por IA representan ahora una enorme parte de las pérdidas individuales.
  • El SIM swapping permite a los atacantes secuestrar tu número de teléfono y saltarse la autenticación de dos factores.
  • Los fallos en los contratos inteligentes y los hackeos de exchanges suelen acaparar los titulares, pero la mayoría de las pérdidas de 2025 provinieron de claves privadas comprometidas y de la ingeniería social, no de exploits de código.
  • Si te roban los fondos, las primeras 48 horas son la ventana que más importa. Firmas como Match Systems pueden rastrear los fondos robados a través de las cadenas y trabajar directamente con los exchanges para congelar activos, pero solo si el proceso comienza a tiempo.

En este artículo

  • Por qué se roban las cripto: la verdadera razón
  • Phishing e ingeniería
  • social
  • Robo de claves privadas y
  • frases semilla
  • SIM swapping
  • Exploits de contratos inteligentes
  • Hackeos de exchanges y custodios
  • Qué hacer si te han atacado
  • Preguntas frecuentes

Por qué se roban las cripto: la verdadera razón

Existe una suposición persistente de que el robo de cripto es un problema de criptografía: que en algún lugar un matemático descifró un algoritmo o encontró un fallo en el diseño de la blockchain. Esa suposición es errónea, y es importante, porque lleva a la gente a colocar mal sus defensas.

El código de la blockchain no se hackea. Las claves privadas, las frases semilla y los humanos sí.

El acceso a un monedero de cripto requiere exactamente una cosa: la clave privada que lo controla. Esa clave existe en algún lugar: en un archivo, en una extensión del navegador, escrita en papel, memorizada. Y dondequiera que exista, puede robarse sin tocar una sola línea de código de la blockchain. La mayoría de los métodos de ataque que vemos en las investigaciones se parecen más al fraude tradicional que a algo técnico: engaño, suplantación, manipulación.

La escala lo refleja. El Informe sobre Delitos en Internet de 2025 del FBI registró 181.565 denuncias de fraude con criptomonedas por parte de estadounidenses, por un total de más de 11.000 millones de dólares en pérdidas. El cifrado resistió, pero todo lo que lo rodeaba, no.

Phishing e ingeniería social

El phishing es el punto de entrada en más casos de robo de cripto que cualquier otro método. No es el vector más dañino por incidente, pero es con diferencia el más común, y cada vez es más difícil de detectar.

La mecánica esencial no ha cambiado: conseguir que la víctima entregue sus credenciales, firme algo que no debería o introduzca su frase semilla en algún lugar controlado por el atacante. Lo que ha cambiado es la calidad del engaño.

Un patrón que vemos repetidamente es la interfaz de monedero falsa. Un usuario busca MetaMask o Ledger Live, llega a un sitio idéntico al real e introduce su frase semilla para «restaurar» su monedero. La frase se captura en tiempo real. Para cuando se dan cuenta de lo que ha pasado, los fondos ya se están moviendo.

Una variante más sofisticada técnicamente que hemos observado es la transacción de aprobación maliciosa. En DeFi, casi toda interacción con un protocolo requiere firmar una aprobación de tokens: un permiso que permite a un contrato inteligente gastar tus tokens. Los atacantes construyen sitios DeFi falsos que solicitan aprobaciones ilimitadas. La víctima firma lo que parece una transacción rutinaria. El contrato del atacante vacía el monedero a voluntad, a veces horas o días después.

La IA ha cambiado por completo la economía de todo esto. El IC3 del FBI señaló en su informe de 2025 que los deepfakes, las clonaciones de voz y los personajes guionizados por IA son ahora herramientas estándar para la ingeniería social a gran escala. Más de 22.000 denuncias en 2025 involucraron fraude facilitado por IA, con pérdidas que superaron los 893 millones de dólares, y eso solo en Estados Unidos. La barrera para llevar a cabo una campaña convincente se ha desplomado por completo.

Robo de claves privadas y frases semilla

Si el phishing genera la mayor cantidad de incidentes, el robo de claves privadas y frases semilla causa el mayor daño por caso. Una frase semilla es la llave maestra de todo lo que hay en un monedero. No existe un proceso de recuperación ni una escalada al servicio de atención al cliente, a menos que se abra rápidamente una investigación profesional.

Como hemos visto en nuestro trabajo, la mayoría de las víctimas, por desgracia, no se dan cuenta de cuántas superficies exponen su frase semilla. El malware infostealer busca frases almacenadas en archivos de texto, extensiones de navegador y capturas de pantalla. Las aplicaciones de monedero falsas generan una frase para el usuario y luego la transmiten en silencio al atacante. Las copias de seguridad en la nube (iCloud, Google Photos) convierten la foto de una frase escrita a mano en un objetivo accesible de forma remota.

Desde la perspectiva del rastreo, los robos de frases semilla suelen ser los casos más limpios de identificar y los más difíciles de recuperar. La transacción del robo es instantánea y total. Para cuando la víctima nos contacta, los fondos ya han pasado normalmente por varios monederos. Aproximadamente el 70 % de los fondos de cripto robados en los últimos años se remontan a alguna forma de exposición de la frase semilla, lo que significa que la mayoría de los casos que vemos eran evitables.

El hackeo de Bybit de febrero de 2025 es especialmente ilustrativo: 1.500 millones de dólares en una sola operación, el mayor robo de cripto de la historia. Los atacantes no explotaron un fallo en un contrato inteligente. Aplicaron ingeniería social a un firmante interno del monedero multifirma Safe de Bybit, comprometieron la clave privada y vaciaron 400.000 ETH en cuestión de minutos. Lo que se vulneró no fue el perímetro del exchange, sino la capa humana.

SIM swapping

Según nuestra experiencia, la mayoría de las víctimas de SIM swapping no se dan cuenta de que el ataque ha comenzado hasta que su teléfono pierde la señal. Para ese momento, el atacante ya ha recibido sus códigos de verificación por SMS y está restableciendo las contraseñas de sus cuentas de exchange.

El método no requiere ninguna habilidad técnica. El atacante reúne datos personales (nombre, dirección, los últimos cuatro dígitos de un número de seguridad social, por ejemplo) a partir de filtraciones de datos o perfiles de redes sociales. Llama a la compañía de telefonía móvil de la víctima, se hace pasar por ella, alega que el teléfono se perdió o fue robado y pide que el número se transfiera a una nueva SIM. Un agente de atención al cliente, presionado para resolver las llamadas con rapidez, se convierte en el eslabón más débil.

Una vez secuestrado el número, la autenticación de dos factores basada en SMS es inútil. Cada código va al atacante. A partir de ahí, restablece la cuenta de correo, luego la cuenta del exchange y retira todo lo disponible.

La escala ha crecido drásticamente. El informe IC3 de 2024 del FBI registró 28,4 millones de dólares en pérdidas de cripto documentadas en EE. UU. atribuidas específicamente al SIM swapping. En marzo de 2025, un tribunal de arbitraje estadounidense ordenó a T-Mobile pagar 33 millones de dólares tras un único SIM swap que vació las tenencias de criptomonedas de un cliente.

En octubre de 2025, Europol desmanteló la Operación SIMCARTEL, una red con base en Letonia que proporcionaba infraestructura de SIM a estafadores en 80 países, dando soporte a más de 49 millones de cuentas falsas usadas para saltarse la autenticación de dos factores en exchanges de cripto, bancos digitales y plataformas sociales.

Exploits de contratos inteligentes

Los exploits de contratos inteligentes son lo que la mayoría de la gente imagina cuando oye «hackeo de cripto». Son reales, son dañinos y requieren una verdadera sofisticación técnica, que es precisamente por lo que son menos comunes que los métodos que describimos arriba.

La premisa básica: los contratos inteligentes son código; el código tiene errores; los errores pueden explotarse para vaciar los fondos que guarda el contrato. El atacante no necesita la clave privada de nadie: encuentra un fallo en la lógica y lo usa directamente contra el protocolo.

Estas son las variantes que vemos con más frecuencia en las investigaciones:

  • Ataques de reentrancy: se manipula el contrato para que realice retiros repetidos antes de actualizar sus registros de saldo. El hackeo de The DAO fue pionero en esto en 2016. Sigue funcionando cuando los contratos no se escriben con cuidado.
  • Manipulación de oráculos: los protocolos dependen de fuentes de precios de oráculos externos. Un atacante que pueda mover temporalmente los precios en un DEX poco líquido puede engañar a un protocolo de préstamos para que libere mucho más de lo que debería.
  • Fallos de lógica: errores de diseño en el manejo de casos límite. El exploit de mayo de 2025 en el DEX Cetus sobre Sui (223 millones de dólares) implicó tokens falsificados que abusaron de un fallo en la forma en que el protocolo calculaba las posiciones de liquidez.
  • Fallos de control de acceso: funciones de administrador que no están debidamente restringidas. Cuando se explotan, los atacantes pueden acuñar tokens ilimitados, vaciar tesorerías o cambiar por completo la propiedad del contrato.

Un patrón que vale la pena señalar: los exploits de contratos inteligentes son cada vez más precedidos por auditorías que pasaron por alto la vulnerabilidad. Un protocolo se audita, se lanza y luego es vaciado precisamente por el tipo de caso límite que se supone que las auditorías deben detectar.

Hackeos de exchanges y custodios

Los exchanges centralizados son los objetivos de mayor valor del ecosistema. Guardan los fondos de los usuarios en monederos calientes que deben permanecer conectados a internet para las operaciones diarias. Una sola brecha exitosa puede rendir cientos de millones. Los atacantes lo saben, e invierten en consecuencia.

La superficie de ataque es más amplia de lo que la mayoría de los usuarios cree. Incluye campañas de phishing dirigidas al personal de atención al cliente, credenciales de administrador comprometidas, empleados malintencionados, integraciones vulnerables de terceros y robo de claves de API. En muchos de los casos que investigamos con pérdidas a nivel de exchange, la brecha técnica fue secundaria a un paso de ingeniería social que la precedió.

Los puentes entre cadenas (cross-chain bridges) merecen especial atención. Son infraestructura crítica, ya que permiten mover activos entre blockchains, y son estructuralmente complejos de formas que introducen nuevas superficies de ataque: conjuntos reducidos de validadores, claves de administrador con privilegios, lógica intrincada que maneja múltiples tipos de activos. Un exploit de un puente en 2025 que implicaba un fallo en el diseño de los validadores provocó 700 millones de dólares en pérdidas. Los puentes siguen siendo una de las categorías más explotadas de forma sistemática en el sector.

Bybit es el ejemplo reciente más claro de cómo se desarrollan realmente estos ataques. Los atacantes vaciaron 401.000 ETH de monederos multifirma basados en Safe en Ethereum y Arbitrum. Los fondos se fragmentaron en decenas de direcciones nuevas y se movieron a través de puentes y servicios de mezcla en cuestión de horas. Para cuando el exchange confirmó públicamente la brecha, el blanqueo ya había comenzado.

Los métodos de ataque de un vistazo

Tipo de ataque

Objetivo principal

Escala en 2025

Defensa clave

Phishing e ingeniería social

Usuarios individuales

132+ incidentes, 410M+ de dólares en el 1.º semestre de 2025

Verifica las URL; nunca compartas la frase semilla

Robo de frase semilla / clave privada

Monederos individuales

1.710M de dólares: el 69 % de las pérdidas del 1.º semestre por valor

Monedero hardware; copia de seguridad solo sin conexión

SIM swapping

Cuentas de exchange

Aumento del 1.055 % en el Reino Unido; 26M+ de dólares en pérdidas en EE. UU. (2024)

Sustituye el 2FA por SMS por una app de autenticación

Exploits de contratos inteligentes

Protocolos DeFi

25 incidentes, 11,1M de dólares de media cada uno (2025)

Contratos auditados; usa protocolos consolidados

Hackeos de exchanges / custodios

Monederos calientes de los CEX

1.500M de dólares solo de Bybit (feb. 2025)

Almacenamiento no custodiado para grandes tenencias

Qué hacer si te han atacado

El primer instinto de la mayoría de las víctimas es seguir intentando acceder a su monedero, contactar con el servicio de atención al cliente del exchange o buscar ayuda en foros. Ninguna de estas es la primera acción correcta.

Los atacantes se mueven rápido. En casos que hemos investigado, los fondos robados se transfirieron a otra cadena en un plazo de 15 minutos desde el robo. En una hora, habían pasado por tres o cuatro monederos intermedios. En 12 horas, llegaron a una mesa OTC o a un mezclador. Cada paso hace más difícil la recuperación. Cada hora que pasa sin un especialista implicado estrecha la ventana.

Las prioridades inmediatas:

  • Registra el hash de la transacción del robo y la dirección del monedero del atacante antes de hacer cualquier otra cosa. Es el punto de partida de toda investigación.
  • No envíes fondos adicionales a ninguna dirección que afirme ofrecer ayuda para la recuperación. Las estafas de seguimiento dirigidas a víctimas de robos son extremadamente comunes, y funcionan, porque las víctimas están desesperadas.
  • Contacta con una firma especializada antes de presentar una denuncia policial, cuando sea posible. La cooperación de los exchanges avanza más rápido a través de canales directos de investigadores que mediante solicitudes oficiales a las fuerzas del orden, que pueden tardar semanas.
  • Si el robo implicó un SIM swap, bloquea tu cuenta móvil con tu operadora de inmediato y revoca el 2FA basado en SMS en todas las cuentas vinculadas.
  • Si entre los fondos robados había stablecoins como USDT o USDC, contacta con una firma que pueda coordinarse con las fuerzas del orden para solicitar una congelación al emisor. Tether y Circle pueden congelar direcciones específicas a petición de las autoridades, pero solo mientras los fondos sigan en su sitio.

La mayoría de las víctimas que recuperan alguna parte de sus fondos lo hacen porque actuaron en las primeras 24 a 48 horas. La mayoría de quienes no recuperan nada esperaron demasiado, probaron métodos de recuperación de aficionados o contactaron primero con las personas equivocadas.

Preguntas frecuentes

¿Se pueden recuperar realmente las criptomonedas robadas?
Sí, en muchos casos, especialmente cuando el robo se denuncia rápidamente y los fondos se rastrean antes de llegar a una jurisdicción que no coopera o de convertirse por completo. La recuperación es más probable cuando hay stablecoins de por medio, ya que los emisores pueden congelar direcciones específicas a petición de las fuerzas del orden. Match Systems trabaja tanto con exchanges como con las fuerzas del orden para apoyar ese proceso. Ninguna firma legítima garantiza la recuperación, pero actuar pronto mejora significativamente las probabilidades.

¿Los monederos hardware evitan el robo?
Reducen significativamente la superficie de ataque al mantener las claves privadas sin conexión. Pero no eliminan el riesgo. El phishing, el robo físico y la exposición de la frase semilla siguen siendo amenazas, sea cual sea el tipo de monedero. Un monedero hardware es la herramienta adecuada para asegurar tenencias importantes; no es un sustituto de entender el panorama de amenazas.

¿Es DeFi más arriesgado que usar un exchange centralizado?
Conllevan riesgos diferentes. DeFi te expone a fallos en los contratos inteligentes y al phishing basado en aprobaciones, pero mantienes la custodia de tus fondos. Los exchanges centralizados son más cómodos, pero introducen el riesgo de custodia: si hackean el exchange, tu recurso depende por completo de sus seguros y reservas. Ninguno es categóricamente más seguro.

¿Qué es una transacción de aprobación maliciosa?
Las interacciones DeFi requieren firmar aprobaciones de tokens: permisos que permiten a un contrato gastar tus tokens. Los atacantes construyen sitios DeFi falsos que solicitan aprobaciones ilimitadas. Una vez firmadas, su contrato puede vaciar tu monedero en cualquier momento. Audita y revoca las aprobaciones antiguas con regularidad.

¿Cómo rastrean los investigadores los fondos tras un robo?
Los investigadores trazan el grafo de transacciones desde la dirección del robo, pasando por los monederos intermedios, hasta las direcciones de depósito de los exchanges. Cuando los fondos llegan a un exchange con KYC verificado, se envía una notificación legal al equipo de cumplimiento del exchange. Match Systems combina este rastreo en la blockchain con relaciones consolidadas con los exchanges, lo que hace que el proceso de marcar los fondos avance mucho más rápido que una solicitud estándar de las fuerzas del orden.

En las investigaciones de robo de cripto, el tiempo importa más de lo que la mayoría de las víctimas cree.

Una vez que los fondos se transfieren entre cadenas, se mezclan o se retiran a través de canales OTC, la recuperación se vuelve mucho más difícil. Match Systems trabaja con exchanges, emisores de stablecoins y las fuerzas del orden para rastrear activos robados y apoyar la recuperación legal, con una base de datos propia de etiquetado de direcciones y relaciones directas de cumplimiento que comprimen los plazos de semanas a días.

Inicia una evaluación de tu caso: https://matchsystems.com

Populares

Enviar una solicitud

Deja una solicitud

¿Cómo contactarte?

Indica tu usuario de Telegram o tu correo, según el método de comunicación elegido.