Qué hacer de inmediato si te roban tus criptomonedas

Qué hacer de inmediato si te roban tus criptomonedas

Puntos clave

  • En los hackeos más rápidos documentados en 2025, la cripto robada se movió a los pocos segundos del robo y se blanqueó por completo en cuestión de minutos. Los primeros 60 minutos tras darte cuenta son la parte de la respuesta que decide la mayoría de los desenlaces.
  • La primera prioridad es la contención: revocar cualquier aprobación maliciosa, desconectar las sesiones comprometidas y rescatar los fondos restantes cuando eso sea realmente posible. La captura de evidencia viene inmediatamente después.
  • Trata la cartera comprometida como si ya no fuera tuya. Deja de interactuar con ella y no envíes una transacción de «rescate» a menos que tengas un dispositivo limpio y una cartera nueva lista.
  • Si tu teléfono perdió señal o firmaste algo en un sitio web, esos detalles importan. Apuntan a los investigadores hacia el vector de ataque y dan forma a la respuesta.
  • Si los fondos robados incluyen stablecoins, los primeros 60 minutos son cuando una congelación a través de las fuerzas del orden es más factible. Una vez que los fondos se convierten fuera de la forma de stablecoin, esa opción se cierra.
  • Contacta a Match Systems antes de hacer cualquier otra cosa que lleve tiempo. Cuanto antes veamos el hash de la transacción, más parte del rastro sigue siendo accionable.

En este artículo

  • Por qué los primeros 60 minutos importan tanto
  • Minuto 0-15: detén la hemorragia
  • Minuto 15-30: confirma y captura
  • Minuto 30-45: asegura lo que está conectado
  • Minuto 45-60: involucra a especialistas
  • La lista de verificación de 60 minutos
  • Después de la primera hora
  • Preguntas frecuentes

Por qué los primeros 60 minutos importan tanto

En nuestro trabajo, vemos una única variable que separa los casos que terminan en recuperación de los que no. No es el tamaño del robo. No es la sofisticación del atacante. Es con qué rapidez actuó la víctima.

La razón se reduce a la velocidad a la que se mueve la cripto robada. Un estudio de 2025 de la firma de analítica blockchain Global Ledger analizó 119 hackeos en el primer semestre del año y descubrió que, en el caso documentado más rápido, los fondos se movieron a los cuatro segundos de la brecha: más de 75 veces más rápido que el sistema medio de alertas de un exchange o de DeFi. En otro incidente, todo el proceso de blanqueo tomó dos minutos y 57 segundos, más rápido que el tiempo de espera de la pantalla de un portátil. Para cuando la mayoría de las víctimas siquiera confirma que el robo ha ocurrido, los activos ya están en movimiento.

El mismo estudio halló que en el 68 % de los casos los hackers movieron los fondos antes de que el ataque se conociera públicamente, y uno de cada cuatro hackeos se blanqueó por completo antes de que se emitiera alerta alguna. Para el segundo semestre de 2025, esa cifra había subido al 84,6 %.

Por eso los primeros 60 minutos tienen tanto peso. Cada minuto que la víctima pasa entrando en pánico, publicando en Telegram o probando sitios de recuperación al azar, es un minuto que el atacante usa para fragmentar los fondos entre carteras, intercambiarlos por DEX o moverlos por puentes a una cadena con menos monitoreo. La ventana no se cierra en la marca de una hora, pero se estrecha bruscamente con cada minuto que pasa. Lo que haces en los primeros 60 es aquello sobre lo que tienes más control.

Minuto 0-15: detén la hemorragia

Los primeros 15 minutos deben producir una sola cosa: contención. Si algo aún es recuperable, lo es ahora.

Si todavía tienes activos valiosos en la misma cartera que fue comprometida, la pregunta más urgente es si pueden ponerse a salvo. El planteamiento honesto es que esto depende por completo de cómo ocurrió el robo. Si tu frase semilla o clave privada quedó expuesta, la cartera ya no es tuya, con independencia de lo que quede en ella. Los atacantes suelen ejecutar scripts automatizados que barren cualquier gas entrante en el momento en que llega, así que enviar una transacción de rescate a menudo falla y solo les entrega la comisión de gas. Un rescate genuino requiere un dispositivo limpio y una cartera recién creada cuyas claves nunca hayan tocado el entorno comprometido. Incluso entonces, trátalo como una jugada de baja probabilidad. Actúa rápido, espera que falle y no agraves la pérdida enviando más fondos persiguiendo una recuperación.

Si el robo implicó una aprobación maliciosa o una firma Permit en lugar de la exposición de la frase semilla, la situación es distinta. El atacante tiene permiso permanente para drenar tokens a medida que llegan, pero la cartera en sí sigue bajo tu control. Abre el panel de sitios conectados y aprobaciones de tokens de tu cartera y revoca cualquier permiso concedido a una dirección desconocida. Esta es la única acción que realmente se beneficia de hacerse de inmediato, y puede detener el daño en curso incluso cuando el robo inicial ya se ha completado.

Desconecta cualquier cartera de extensión del navegador del sitio sospechoso con el que interactuaste, si procede. Cierra la pestaña del navegador, no actualices ni vuelvas a visitar el sitio. Una vez gestionada la contención, has hecho lo que podías para limitar la pérdida adicional. La siguiente prioridad es documentar lo que ya fue robado.

Minuto 15-30: confirma y captura

Ahora la prioridad es construir un registro completo de lo que fue robado. Sin él, nada de lo que hagan después los investigadores tiene por dónde empezar.

Abre un explorador de blockchain (Etherscan para Ethereum, Tronscan para Tron, BscScan para BNB Chain, etc.) y encuentra la transacción no autorizada. No te fíes de la interfaz de tu cartera, que un atacante sofisticado puede manipular. La blockchain es la fuente de verdad.

Captura lo siguiente:

  • El hash de la transacción del robo (una larga cadena alfanumérica que empieza por 0x en la mayoría de las cadenas)
  • La dirección receptora del atacante
  • El importe y el tipo de token
  • La marca de tiempo exacta
  • Capturas de pantalla de la página del explorador que muestren todo lo anterior

Si hubo varias transacciones implicadas, captúralas todas. Algunos drainers reparten el robo en varias transferencias salientes a múltiples direcciones nuevas; los investigadores necesitan la imagen completa, no solo la primera.

Si tienes algún contexto sobre cómo ocurrió el robo (un enlace que pulsaste, una transacción que firmaste, un teléfono que perdió señal), anótalo ahora mientras esté fresco. Incluso los detalles inciertos importan.

Minuto 30-45: asegura lo que está conectado

El robo de cripto rara vez es un evento de una sola cartera. Los atacantes que consiguen un punto de apoyo a menudo saltan a otros, y las cuentas conectadas que rodean a la cartera suelen ser lo siguiente.

Cambia primero la contraseña de tu cuenta de correo. Casi todas las cuentas relacionadas con cripto dependen del correo para restablecer contraseñas, así que un atacante con acceso al correo puede encadenar hacia cuentas de exchange, carteras custodiadas y flujos de recuperación. Usa una contraseña nueva, establecida desde un dispositivo limpio.

Cambia las contraseñas de cualquier cuenta de exchange centralizado que uses y revisa de inmediato la configuración de seguridad. Sustituye la autenticación de dos factores basada en SMS por una app de autenticación o una clave de hardware. El 2FA por SMS puede vencerse con un SIM swap, y muchos casos que investigamos incluyen exactamente ese paso.

Si tu teléfono perdió señal de repente en los minutos u horas anteriores a que notaras el robo, trátalo como un posible SIM swap en curso. Llama a tu operador móvil desde otro teléfono, bloquea la cuenta y pide confirmación de que no se ha autorizado ninguna transferencia de SIM reciente. El hecho de que los hayas contactado también forma parte del rastro de evidencia.

Minuto 45-60: involucra a especialistas

Para el minuto 45, la evidencia está capturada, la exposición inmediata está cerrada y las cuentas conectadas están aseguradas. La prioridad restante para la primera hora es poner el caso en manos de personas que puedan actuar sobre él.

Este es el momento de contactar a Match Systems. Lo primero que pedimos es el hash de la transacción y la dirección del atacante: la misma evidencia capturada en los primeros 15 minutos. A partir de ahí, comienza la investigación: mapear el grafo de direcciones, identificar hacia qué exchanges o servicios se dirigen los fondos y determinar la vía de respuesta más eficaz para el caso. Las relaciones directas entre los investigadores y los equipos de compliance de los exchanges se mueven más rápido que navegar solo por los canales oficiales, y cuanto antes veamos el caso, más margen puede producir esa relación.

Si los activos robados incluyen stablecoins como USDT o USDC, esta hora importa aún más. Tether y Circle pueden restringir direcciones concretas a petición de las fuerzas del orden, y esa vía de intervención es más factible mientras los fondos siguen en forma de stablecoin. Coordinamos con las autoridades para iniciar ese proceso. Una vez que los fondos se intercambian, la opción se cierra.

Algunas víctimas también quieren presentar una denuncia policial o contactar a una unidad nacional de ciberdelincuencia en esta ventana. Es apropiado, pero no debería sustituir el contacto con los investigadores. Los canales oficiales a menudo tardan semanas en producir acción, mientras que la intervención del lado del exchange a través de firmas especializadas puede moverse en cuestión de horas.

La lista de verificación de 60 minutos

Tiempo Prioridad
Min 0-15 Si tu cartera no está totalmente comprometida, revoca las aprobaciones de tokens desconocidas y desconéctate de los sitios sospechosos. Una transacción de rescate desde un dispositivo limpio puede ser posible si solo se abusó de una firma de aprobación. No envíes una transacción de rescate a ciegas; si tu frase semilla está expuesta, los scripts de los atacantes probablemente la interceptarán.
Min 15-30 Encuentra la transacción del robo en un explorador de blockchain. Captura el hash de la transacción, la dirección del atacante, el importe, el token y la marca de tiempo. Anota cualquier contexto sobre cómo ocurrió.
Min 30-45 Cambia las contraseñas del correo y de las cuentas de exchange conectadas. Sustituye el 2FA por SMS por una app de autenticación. Si tu teléfono perdió señal, llama a tu operador y bloquea la cuenta.
Min 45-60 Contacta a Match Systems con el hash de la transacción y la dirección del atacante. Si se robaron stablecoins, este es el momento en que una congelación a través de las fuerzas del orden es más factible.

Después de la primera hora

La primera hora es de triaje. Las horas y los días que siguen consisten en preservar opciones y apoyar la investigación que ya está en marcha.

No pagues a nadie que te contacte ofreciendo recuperación. A las pocas horas de un robo, las víctimas suelen ser abordadas por cuentas que prometen recuperar los fondos robados a cambio de una tarifa por adelantado. Casi siempre son estafas de seguimiento, a veces dirigidas por el mismo grupo que robó los fondos en primer lugar, trabajando a partir de una lista de víctimas recientes. Ninguna firma legítima te pide enviar cripto a una cartera para desbloquear tus fondos robados, y ninguna firma legítima garantiza la recuperación.

Conserva todo. Capturas de pantalla, registros de mensajes, correos, cualquier cosa que documente lo que ocurrió o lo que condujo a ello. Parte de esto importará para el proceso legal, y parte importará para la propia investigación.

Mantente en contacto con los investigadores que hayas involucrado. El trabajo continúa, a menudo en silencio, durante días o semanas. Cuanto más estrecha sea la comunicación, mayor será la posibilidad de actuar sobre las oportunidades a medida que aparezcan.

Preguntas frecuentes

¿Con qué rapidez mueven realmente los hackers la cripto robada?

Más rápido de lo que la mayoría imagina. En los casos documentados analizados por Global Ledger en 2025, el primer movimiento más rápido tras un hackeo fue de cuatro segundos, y el blanqueo completo más rápido tomó menos de tres minutos. En el 68 % de los casos, los fondos se movieron antes de que la brecha se conociera públicamente. Esta es la razón por la que la primera hora importa tanto. La ventana de intervención se mide en minutos, no en días.

¿Puedo recuperar mi cripto si noto el robo después de una hora?

A menudo sí, pero las probabilidades dependen de lo que haya ocurrido mientras tanto. Los fondos que han llegado a un exchange centralizado pero aún no se han retirado todavía pueden marcarse mediante un requerimiento legal a compliance. Las stablecoins que aún no se han convertido todavía pueden ser objeto de una congelación por parte del emisor a petición de las fuerzas del orden. Los casos denunciados dentro del primer día son en general los de mejores perspectivas. Cuanto mayor sea la demora, más se fragmenta el rastro.

¿Debería mover mis fondos restantes fuera de la cartera hackeada?

Solo si tienes un dispositivo limpio, una cartera totalmente nueva cuyas claves nunca hayan sido expuestas y una expectativa realista de que el intento pueda fallar. Si tu frase semilla fue comprometida, los atacantes a menudo ejecutan scripts que barren el gas entrante al instante, así que una transacción de rescate puede entregarles el gas sin recuperar nada. Captura primero la evidencia y luego decide si vale la pena intentar un rescate según lo que quede y cómo ocurrió el robo.

¿Necesito presentar una denuncia policial de inmediato?

Presentar una denuncia es apropiado, pero no debería ser lo único que hagas, y no debería retrasar el contacto con los investigadores. Los canales oficiales de las fuerzas del orden a menudo tardan semanas en producir acción. Las firmas de investigación especializadas con relaciones directas con los equipos de compliance de los exchanges pueden moverse en cuestión de horas. Hacer ambas cosas en paralelo es el enfoque estándar, y el orden en que las hagas puede aconsejártelo los investigadores que involucres.

¿Qué hace realmente Match Systems una vez contactado?

Una vez que tenemos el hash de la transacción y la dirección del atacante, mapeamos el flujo de fondos a través de carteras y cadenas, identificamos los puntos de intersección más probables donde los activos robados tocarán un exchange regulado y coordinamos con los equipos de compliance de esos exchanges para marcar o congelar la cuenta. Si hay stablecoins implicadas, coordinamos con las fuerzas del orden para iniciar una congelación por parte del emisor. El trabajo es procedimental y sensible al tiempo, y cuanto antes comience, más parte del rastro sigue siendo accionable.

En las investigaciones de robo de cripto, el tiempo importa más de lo que la mayoría de las víctimas creen.

Una vez que los fondos se mueven por puentes, se mezclan o se retiran a través de canales OTC, la recuperación se vuelve significativamente más difícil.

Match Systems trabaja con exchanges, emisores de stablecoins y fuerzas del orden para rastrear activos robados y apoyar la recuperación legal, apoyándose en una base de datos propia de etiquetado de direcciones y en relaciones directas de compliance construidas a lo largo de años de investigaciones activas.

Inicia una evaluación de tu caso: https://matchsystems.com

Populares

Enviar una solicitud

Deja una solicitud

¿Cómo contactarte?

Indica tu usuario de Telegram o tu correo, según el método de comunicación elegido.