Conclusiones clave
- Un solo clic en un enlace malicioso puede vaciar un monedero de cripto en segundos, sin que nadie conozca tu contraseña ni tu frase semilla.
- El mecanismo es un drainer de monedero: un contrato inteligente malicioso que te engaña para que firmes una transacción que le concede permiso para mover tus fondos.
- Los kits de drainer se venden ahora como software comercial con redes de afiliados, lo que rebaja la barrera técnica para ejecutar estos ataques.
- Los cebos parecen plataformas legítimas: falsos airdrops, minteos de NFT, interfaces DeFi y correos que suplantan a las autoridades tributarias.
- La recuperación es posible en muchos casos, sobre todo cuando los fondos llegan a un exchange que coopera o involucran stablecoins que pueden congelarse a petición de las fuerzas del orden. Actuar de inmediato marca la diferencia.
- Match Systems investiga incidentes de drainer de monederos, rastrea fondos robados a través de las cadenas y trabaja con exchanges y fuerzas del orden para apoyar la recuperación cuando es posible.
En este artículo
- Qué ocurre realmente cuando haces clic en un enlace malicioso
- Cómo funcionan los drainers de monederos
- Los cebos: cómo acaban las víctimas en estos sitios
- Drainer como servicio: por qué ahora cualquiera puede ejecutar este ataque
- Qué pasa con tus fondos después del vaciado
- ¿Se pueden recuperar los fondos robados?
- Cómo protegerte
- Preguntas frecuentes
Qué ocurre realmente cuando haces clic en un enlace malicioso
La mayoría de la gente supone que perder cripto por un enlace significa que un virus infectó su dispositivo o que un hacker entró en su monedero de forma remota. En la mayoría de los casos que investigamos en Match Systems, no ocurrió ninguna de las dos cosas. La propia víctima autorizó el robo, firmando una transacción que dio a un contrato inteligente malicioso permiso para mover sus fondos.
Un drainer de monedero no roba tu clave privada; te engaña para que entregues el permiso de gastar tus activos, disfrazado de una interacción rutinaria con un sitio web. La víctima hace clic en un enlace, aterriza en lo que parece una plataforma DeFi legítima, conecta su monedero, aprueba lo que parece una confirmación estándar, y el drainer vacía el monedero en cuestión de segundos.
Cómo funcionan los drainers de monederos
Estos ataques funcionan explotando cómo operan los permisos de tokens en Ethereum y cadenas similares. Cuando interactúas con un protocolo DeFi, tu monedero te pide que firmes una transacción de aprobación que concede a ese contrato permiso para gastar una cantidad determinada de tus tokens.
Los drainers explotan esto. El sitio malicioso presenta un aviso de monedero idéntico a una solicitud de aprobación legítima. La víctima lo firma, pero el permiso va al contrato del atacante en lugar de a un protocolo real, y la cantidad se fija en ilimitada. El drainer entonces barre todos los tokens del monedero antes de que el usuario cierre la pestaña del navegador.
Las variantes más sofisticadas usan firmas Permit de EIP-2612, que autorizan transferencias de tokens mediante una firma off-chain en lugar de una transacción on-chain. La firma no aparece como una aprobación estándar en el simulador de transacciones del monedero, por lo que esquiva las advertencias visuales habituales. La víctima firma lo que parece un mensaje de inicio de sesión, y el atacante usa esa firma para vaciar el monedero más tarde.
Tras la actualización Pectra de Ethereum en mayo de 2025, los atacantes empezaron a explotar EIP-7702 en cuestión de semanas, agrupando varias acciones dañinas en una sola firma.
Los cebos: cómo acaban las víctimas en estos sitios
Aunque el mecanismo técnico es sofisticado, la capa de ingeniería social no necesita serlo.
Un patrón que vemos repetidamente es un enlace compartido desde una cuenta oficial comprometida. En 2025, los atacantes secuestraban de forma rutinaria cuentas verificadas de X pertenecientes a proyectos de cripto, influencers y organismos gubernamentales, y luego publicaban enlaces a sitios de drainer. Las víctimas seguían el enlace porque la fuente parecía de fiar.
Los cebos más comunes son:
- Falsos airdrops que prometen tokens gratis y que exigen conectar un monedero y aprobar una transacción para reclamarlos.
- Suplantación de minteos de NFT, clonando proyectos populares en su lanzamiento para captar el tráfico de usuarios que buscan la página de minteo.
- Clones idénticos al píxel de Uniswap, Curve y otras interfaces DeFi. La única diferencia es la dirección del contrato detrás del botón de aprobación.
- Envenenamiento de motores de búsqueda, con sitios maliciosos posicionados por encima de los legítimos para consultas de mucho tráfico.
- Suplantación regulatoria. En 2025, Kaspersky documentó campañas de phishing que suplantaban a las autoridades tributarias de Alemania, Francia, Austria y otros países europeos, amenazando con multas de hasta un millón de euros por incumplimiento. Se instaba a las víctimas a introducir frases semilla o a conectar sus monederos a portales gubernamentales falsos.
El hilo común es la urgencia disfrazada de legitimidad: plazos, marca de aspecto oficial, presión para actuar antes de perder la oportunidad.
Drainer como servicio: por qué ahora cualquiera puede ejecutar este ataque
Hasta hace poco, ejecutar un drainer de monedero requería una verdadera destreza técnica: escribir contratos inteligentes, construir infraestructura de phishing, gestionar una campaña. Eso ya no es cierto. Investigadores de seguridad que siguen estas operaciones han documentado que los afiliados de kits importantes como Angel Drainer pagan una cuota inicial de 5.000 a 10.000 dólares más una comisión del 20 % sobre los activos robados. Los operadores proporcionan el contrato inteligente, las plantillas de phishing y el panel de gestión. El afiliado se encarga de la distribución.
Esto es Drainer como servicio (Drainer-as-a-Service), y ha industrializado el robo de monederos. Kits con nombre como Inferno, Angel y Pink operaban cada uno redes de afiliados y publicaban actualizaciones periódicas para eludir las nuevas advertencias de seguridad de los monederos. Cuando un kit cierra bajo la presión de las fuerzas del orden, otro llena el mercado en cuestión de semanas. Inferno transfirió su infraestructura a Angel Drainer a finales de 2024, un traspaso abierto de herramientas criminales.
El resultado es volumen. 106.000 víctimas perdieron en conjunto 83,85 millones de dólares por phishing de drainer de monederos en 2025, frente a los 494 millones de 2024. La caída refleja en parte una mejor tecnología de seguridad de los monederos, pero también un giro de los atacantes hacia vectores más difíciles de rastrear, como el compromiso de claves privadas y la ingeniería social dirigida. La amenaza se desplazó más que disminuir.
Qué pasa con tus fondos después del vaciado
Desde la perspectiva del rastreo, los momentos posteriores a un ataque de drainer son críticos, y avanzan rápido. Los activos robados suelen fragmentarse de inmediato. El contrato del drainer reparte los fondos entre múltiples monederos nuevos para complicar el seguimiento y retrasar las alertas de los exchanges que disparan las grandes transferencias entrantes. En cuestión de minutos, los activos pueden cambiarse a través de un exchange descentralizado por un token distinto, eliminando cualquier vínculo obvio con la dirección del robo.
A partir de ahí, la ruta de blanqueo suele implicar pasar a otra cadena por un puente, encaminar los fondos a través de un servicio de mezcla, o llevarlos a una mesa OTC para su conversión a dinero fiat. Cada paso reduce la ventana para congelar.
La ventaja que tienen los investigadores es que cada paso queda registrado en la blockchain. La fragmentación, los swaps, los puentes: todo ello deja un grafo rastreable. Que ese grafo lleve a algún punto accionable depende de la rapidez con la que empiece la investigación.
¿Se pueden recuperar los fondos robados?
La respuesta honesta: a veces, y depende mucho de la velocidad. Cuando los fondos robados llegan a un exchange centralizado con requisitos de KYC, los investigadores pueden presentar un aviso legal al equipo de cumplimiento para marcar la cuenta receptora y bloquear la retirada. Si el aviso llega antes de que el atacante retire, los fondos pueden preservarse a la espera del proceso legal.
Cuando los fondos robados incluyen stablecoins como USDT o USDC, hay una opción adicional. Tether y Circle pueden restringir direcciones concretas a petición de las fuerzas del orden. Match Systems trabaja directamente con las fuerzas del orden para iniciar ese proceso lo más rápido posible. Una vez que los fondos se convierten y dejan la forma de stablecoin, esa vía se cierra.
Los casos más difíciles son los de fondos que fueron convertidos por completo a tokens nativos, pasados por puentes a través de múltiples cadenas y encaminados por infraestructura descentralizada antes de que empezara ninguna investigación. En muchos de los casos que investigamos, la víctima esperó días antes de denunciar, lo que ya había estrechado significativamente las opciones.
Cómo protegerte
Las defensas más eficaces son de comportamiento, no técnicas.
- Nunca apruebes una transacción que no entiendas por completo. Si un aviso del monedero no explica con claridad qué permiso concedes y a qué dirección de contrato, recházalo.
- Usa un monedero hardware para tenencias significativas. Los requisitos de confirmación física rompen la secuencia automatizada de vaciado.
- Audita y revoca las aprobaciones de tokens con regularidad a través de los ajustes de tu monedero o de una interfaz de gestión de aprobaciones de confianza. Las aprobaciones antiguas a protocolos que ya no usas son un pasivo permanente.
- Guarda en marcadores los sitios que realmente usas. El envenenamiento de motores de búsqueda posiciona de forma rutinaria los sitios de drainer por encima de los legítimos para consultas de mucho tráfico.
- Trata los enlaces de airdrops y minteos de NFT con escepticismo por defecto. Si no encontraste el enlace a través de un canal que controlas, verifícalo contra el dominio oficial del proyecto antes de conectar tu monedero.
- Usa un monedero aparte para protocolos desconocidos, con solo lo que estés dispuesto a perder.
Preguntas frecuentes
¿Pueden vaciar mi monedero solo por hacer clic en un enlace, sin firmar nada?
En la mayoría de los casos, no. Visitar un sitio malicioso sin conectar un monedero ni firmar una transacción no vacía tus fondos. El vaciado requiere tu autorización, aunque esté disfrazada. Los ataques avanzados que usan vulnerabilidades de extensiones del navegador o malware del portapapeles operan de otra forma, pero la inmensa mayoría requiere una aprobación firmada.
Firmé una transacción en un sitio sospechoso. ¿Qué debo hacer de inmediato?
Abre tu monedero y revisa el historial de transacciones en busca de transferencias salientes que no iniciaste. Muchos monederos incluyen ya funciones integradas para ver y revocar las aprobaciones de tokens activas; úsalas para cortar cualquier permiso permanente que hayas podido conceder. Si los fondos ya se movieron, registra el hash de la transacción del robo y la dirección receptora, y contacta con una firma de investigación especializada. No vuelvas a interactuar con el sitio sospechoso.
¿Qué es una firma Permit y por qué es peligrosa?
El estándar Permit permite a un monedero autorizar transferencias de tokens mediante una firma off-chain en lugar de una transacción de aprobación on-chain. Como no aparece como una aprobación estándar en la mayoría de las interfaces de monedero, esquiva las advertencias visuales habituales. Los atacantes usan firmas Permit para vaciar monederos mientras aparentan pedir algo inofensivo, como un inicio de sesión o una confirmación de identidad.
¿Se puede responsabilizar a la plataforma que estaba usando?
Si interactuaste con un clon falso, la plataforma legítima no tiene ninguna responsabilidad legal. Si el dominio o la cuenta social de una plataforma real fueron comprometidos y usados para distribuir el enlace del drainer, puede haber fundamentos para reclamaciones, aunque son complejas y dependen de la jurisdicción.
¿Cómo rastrean los investigadores los ataques de drainer?
Los investigadores parten de la transacción del robo, mapean el rastro de fragmentación y swaps a través de monederos y cadenas, e identifican los puntos donde los fondos tocaron un exchange centralizado. Luego se envían avisos legales a los equipos de cumplimiento de los exchanges. Match Systems gestiona esto con relaciones consolidadas con exchanges, lo que comprime significativamente el plazo de respuesta en comparación con los canales estándar de las fuerzas del orden.
En las investigaciones de robo de cripto, el tiempo importa más de lo que la mayoría de las víctimas cree.
Una vez que los fondos robados se cambian, se pasan por puentes o se encaminan a través de canales OTC, la recuperación se vuelve mucho más difícil. Match Systems investiga incidentes de drainer de monederos y ataques de phishing, rastreando activos robados a través de las cadenas y trabajando con exchanges y fuerzas del orden para apoyar la recuperación legal.
Inicia una evaluación de tu caso: https://matchsystems.com
Populares
- Artículos Un usuario legítimo puede ver su USDT congelado por fondos con un historial contaminado.
- Artículos ¿Se pueden recuperar las criptomonedas robadas?
- Noticias Estafa del enlace de reunión falso: cómo se roba la cripto
- Noticias Sanciones a HTX: riesgos para los activos cripto
- Artículos Cómo los hackers roban criptomonedas
- Noticias Tether descongeló 79 M$ — y sabemos por qué
- Artículos ¿Te robaron cripto? Los primeros 60 minutos deciden qué se puede recuperar.
- Noticias Recuperación de criptoactivos a través de redes OTC
- Artículos Tether congeló tus USDT: qué está pasando y qué hacer
- Artículos Las carteras cripto se hackean a través de dispositivos, apps y error humano, no de la blockchain.
