← Volver a los artículos

Como auditar la superficie de ataque de tu cartera de criptomonedas: revocar aprobaciones, usar carteras burner y fortalecer la seguridad Web3

· 15 min de lectura · Guia de seguridad
Como auditar la superficie de ataque de tu cartera de criptomonedas: revocar aprobaciones, usar carteras burner y fortalecer la seguridad Web3

Por que tu cartera crypto tiene una superficie de ataque (y por que la mayoria de usuarios no se da cuenta)

La mayoria de los usuarios de criptomonedas creen que una cartera hardware o una contrasena segura es suficiente. No lo es. Cada vez que te conectas a un protocolo DeFi o acunas un NFT, dejas un rastro de aprobaciones de tokens, permisos silenciosos y permanentes que permiten a contratos de terceros mover tus fondos sin volver a preguntar.

Una superficie de ataque es el conjunto total de puntos de entrada que un adversario puede explotar para acceder a tus activos sin tu cooperacion. Para una cartera crypto, esa superficie incluye el dispositivo que usas, las extensiones de navegador que ejecutas, los contratos inteligentes que has autorizado, las firmas que has producido y las URL que has visitado. Cada interaccion deja un residuo: permisos, aprobaciones y estados de sesion que persisten mucho despues de que la transaccion original sea olvidada.

Las aprobaciones de tokens son la parte mas subestimada de esa superficie. Cuando interactuas con un protocolo DeFi, firmas una transaccion ERC-20 approve() que otorga a un contrato inteligente el derecho de transferir tus tokens. La mayoria de los protocolos solicitan un limite ilimitado por defecto: firmas una vez y no vuelves a pensar en ello. El contrato retiene ese permiso indefinidamente, incluso si el protocolo es comprometido, abandonado o reemplazado por una version maliciosa.

La escala del problema

Chainalysis documento $516,8 millones robados mediante phishing de aprobaciones en 2022 y $374,6 millones en 2023, con mas de $1.000 millones sustraidos desde mayo de 2021. El informe del FBI IC3 de 2025 registro $20.800 millones en perdidas totales de ciberdelincuencia, de los cuales $11.000 millones involucraron criptomonedas. TRM Labs (2026) detecto que los flujos ilegales de cripto alcanzaron un record de $158.000 millones en 2025. Segun Chainalysis 2026, las estafas cripto totalizaron $17.000 millones en 2025, con estafas de suplantacion de identidad que aumentaron mas del 1.400%.

El mecanismo de phishing de aprobaciones es tecnicamente elegante y devastadoramente efectivo. A diferencia de un compromiso de clave privada, que requiere que el atacante controle directamente tu cartera, un exploit de aprobacion funciona a nivel de contrato inteligente. El atacante solo necesita una firma tuya: la llamada maliciosa approve(). Despues, el contrato drenador llama silenciosamente a transferFrom(), moviendo tus tokens a direcciones controladas por el atacante. Tu clave privada nunca es tocada.

Esta guia detalla los cinco pasos que todo usuario de criptomonedas deberia seguir para reducir la superficie de ataque de su cartera a un nivel manejable. El proceso es practico, lleva menos de una hora para la mayoria de carteras y no requiere conocimientos tecnicos mas alla de conectar una cartera a un navegador.

Paso 1 - Audita tus aprobaciones de tokens existentes

Antes de poder cerrar las brechas, necesitas saber que has dejado abierto. El primer paso es una auditoria completa de cada aprobacion de token activa asociada a tu direccion. La mayoria de las carteras no muestran esta informacion: tu dashboard de MetaMask muestra saldos, no la lista de contratos autorizados para gastarlos.

Tres herramientas hacen que esta auditoria sea sencilla:

Al ejecutar la auditoria, presta atencion a tres categorias: aprobaciones ilimitadas (cualquier aprobacion con un numero muy grande, que otorga al contrato gastador control completo); aprobaciones para contratos desconocidos o sospechosos (sin etiqueta en Etherscan, sin documentacion publica); y aprobaciones obsoletas de protocolos antiguos (los protocolos cierran o son hackeados, pero la aprobacion sigue activa).

Que encontraras

Un usuario activo de DeFi con 12 meses de historial on-chain tipicamente encontrara entre 20 y 60 aprobaciones activas. Muchas seran de protocolos que apenas recuerdas haber usado. Una parte significativa sera ilimitada. Esa es tu superficie de ataque, y hasta que la audites, no puedes verla.

Paso 2 - Revoca aprobaciones peligrosas o ilimitadas

Revocar una aprobacion es una transaccion on-chain. Cuesta gas, tarda unos segundos en confirmarse y elimina permanentemente la autorizacion del gastador sobre ese token. No necesitas cerrar tus posiciones ni retirar fondos primero: revocar simplemente significa que el contrato ya no puede mover esos tokens en tu nombre.

Trabaja tu lista de auditoria en el siguiente orden de prioridad:

Consejo practico: revocaciones en lote

Revoke.cash soporta revocacion en lote en algunas redes, permitiendote poner en cola multiples revocaciones y enviarlas en una sola sesion de cartera. Esto reduce el numero de ventanas emergentes de confirmacion de MetaMask y puede reducir el costo total de gas. Usa la opcion "Seleccionar todo" y el boton de revocacion en lote donde este disponible.

Una preocupacion comun es si revocar rompe posiciones DeFi activas. En la mayoria de los casos no lo hara: tu posicion en el pool de liquidez o staking persiste on-chain independientemente de las aprobaciones. La aprobacion solo importa para futuras transferencias de tokens. Una vez que hayas revocado todo lo que no necesitas, convierte la revocacion en parte de tu rutina despues de cada sesion DeFi importante.

Paso 3 - La estrategia de cartera burner: aisla tu riesgo

Incluso despues de revocar todas tus aprobaciones existentes, las nuevas interacciones DeFi crearan nuevas. La respuesta estructural a este problema es la segmentacion de carteras: especificamente, el uso de una cartera burner dedicada.

Una cartera burner es una direccion de cartera caliente separada usada exclusivamente para interacciones DeFi, acunacion de NFT, reclamacion de airdrops y cualquier otra actividad on-chain donde necesitas conectarte a un protocolo desconocido. El principio central es sencillo: la cartera burner solo contiene los fondos minimos necesarios para la transaccion inmediata. Tus tenencias principales, especialmente cualquier cantidad significativa, nunca residen en el burner.

El principio de aislamiento

Si una aprobacion maliciosa vacia tu cartera burner, el atacante solo obtiene lo que fue cargado en ella para esa sesion. Tu cartera principal, guardada en un dispositivo hardware, nunca conectada directamente a dApps, permanece completamente intacta. El burner esta disenado para ser desechable.

Configurar una cartera burner lleva unos cinco minutos: crea una nueva direccion de cartera en MetaMask con la funcion "Crear cuenta" y una frase semilla unica almacenada de forma segura offline. Financiala solo para la sesion: transfiere solo lo que necesitas, suficiente gas mas los tokens para la transaccion especifica. Mantienla completamente separada de tu identidad principal. Retirala periodicamente despues de un periodo de uso intensivo.

La cartera hardware es el complemento del burner, no un reemplazo. Tu Ledger o Trezor guarda la mayor parte de tu portfolio y nunca se conecta directamente a dApps. Juntas, una cartera caliente burner y una cartera hardware cubren todo el espectro de la actividad cripto: agilidad para interacciones DeFi cotidianas, maxima seguridad para tenencias a largo plazo.

Paso 4 - Reconoce intentos de phishing de aprobaciones en tiempo real

Revocar aprobaciones antiguas elimina la exposicion historica. Reconocer intentos de phishing en tiempo real previene que se cree nueva exposicion. El phishing de aprobaciones no es un ataque puramente tecnico: depende de la ingenieria social para que firmes una transaccion que no firmarias si entendieras lo que hace.

La mecanica es consistente entre campanas. Una victima es dirigida a un sitio malicioso a traves de un mensaje de Discord, un falso anuncio de airdrop, una URL de protocolo falsificada o una cuenta de suplantacion en X. El sitio les pide "conectar cartera" y luego inmediatamente solicita la aprobacion de una transaccion. La aprobacion parece rutinaria. El objetivo hace clic en confirmar. Desde ese momento, el drenador tiene acceso silencioso e ilimitado al token aprobado.

Operacion Atlantic: como se ve la aplicacion coordinada de la ley

En marzo de 2026, una operacion conjunta de EE.UU./Reino Unido/Canada, analizada con la analitica blockchain de Elliptic, interrumpio una de las redes de phishing de aprobaciones mas grandes conocidas. La operacion congelo $12 millones, derribo 120 dominios e identifico mas de 20.000 victimas que representan $45 millones en fraude interrumpido. Las estafas de suplantacion de identidad habian aumentado mas del 1.400% en los 12 meses anteriores, segun Chainalysis.

Senales de advertencia de que una solicitud de transaccion es un intento de phishing: la solicitud de aprobacion aparece inmediatamente despues de conectar tu cartera, antes de ninguna interaccion significativa; la direccion del gastador no tiene etiqueta reconocible; la solicitud llego a traves de un mensaje directo; la URL es un homoglifo o typosquat de un protocolo legitimo; la transaccion te pide firmar datos fuera de la cadena con un payload inusual. Ante la duda, no firmes.

Paso 5 - Refuerza tu higiene de firma

Tu clave privada es tan segura como tu comportamiento al firmar. Incluso si tu cartera nunca es comprometida directamente, firmar descuidadamente te expone a toda la gama de vectores de ataque Web3: phishing de aprobaciones, vaciados Permit2, llamadas de delegado maliciosas y ataques de repeticion de firmas. La buena higiene de firma es la disciplina de tratar cada solicitud de firma como potencialmente hostil hasta que se verifique lo contrario.

Practicas fundamentales de higiene de firma: lee los datos completos de la transaccion antes de firmar; usa una cartera hardware para cualquier cosa por encima de tu umbral personal de riesgo; nunca establezcas aprobaciones ilimitadas cuando una cantidad especifica sea suficiente; verifica obsesivamente las URL de las dApps; nunca firmes desde un enlace recibido en un mensaje directo o notificacion de airdrop no solicitada; comprende la diferencia entre eth_sign y las firmas de datos tipados; mantiene un entorno de firma limpio con solo la extension de cartera instalada en tu perfil de navegador dedicado a DeFi.

Contexto del GAFI y regulatorio

La actualizacion del Grupo de Accion Financiera Internacional (GAFI) de 2025 sobre activos virtuales y VASPs senalo explicitamente el phishing de aprobaciones y la explotacion de contratos inteligentes como vectores de riesgo emergentes. El documento de indicadores de senales de alerta lista patrones de transacciones inusuales, incluyendo aprobaciones rapidas de alto valor seguidas de transferencias inmediatas, como senales que justifican diligencia debida reforzada.

Que hacer inmediatamente si tu cartera ha sido vaciada

La velocidad es lo unico que importa en los primeros 30 minutos despues de un vaciado por aprobacion. Las transacciones blockchain son irreversibles, pero el pipeline del atacante, convertir tokens robados a stablecoins, enrutar a traves de puentes y cobrar, requiere tiempo. Cada minuto que actuas es un minuto en que potencialmente puedes reducir las perdidas.

En los primeros 10 minutos: transfiere inmediatamente los activos restantes fuera de la cartera comprometida; no uses el mismo navegador o dispositivo si sospechas una infeccion de malware; revoca todas las aprobaciones restantes usando Revoke.cash o Etherscan desde un dispositivo limpio.

Dentro de la primera hora: documenta todo con capturas de pantalla de los hashes de la transaccion de vaciado, la direccion del contrato malicioso y la URL del sitio si se conoce; reporta al FBI IC3 en ic3.gov; reporta el contrato malicioso a plataformas de analitica blockchain como Etherscan y Chainabuse.com; contacta a una firma de forensia blockchain como Recoveris para rastreo en las primeras 24-48 horas.

Como se ve una recuperacion realista

El rastreo on-chain puede seguir fondos a traves del puenting y la conversion de stablecoins. Si el atacante usa un exchange centralizado para cobrar, las citaciones al exchange pueden congelar cuentas, especialmente en jurisdicciones donde el FBI IC3 y Europol tienen acuerdos activos de cooperacion. La Operacion Atlantic congelo $12 millones en marzo de 2026 exactamente a traves de esta coordinacion. La recuperacion no esta garantizada, pero no es imposible, y actuar temprano es la diferencia entre una pista rastreable y un caso frio.

¿Necesita ayuda?

Complete el formulario de nuestro socio de confianza para que su caso sea revisado de forma segura por investigadores con experiencia.

Completar formulario

Evalúe su preparación ante incidentes

Gratis
Sin registro
Resultados al instante
100% privado

¿Está preparado para responder a un incidente de seguridad cripto? Realice nuestra evaluación interactiva para conocer su nivel de respuesta ante crisis.

Iniciar evaluación

3-5 minutos • 10 preguntas • Resultados personalizados al instante

Referencias

  1. 1.Chainalysis. Targeted Approval Phishing Scams See Explosive Growth. 14 de diciembre de 2023. chainalysis.com
  2. 2.Chainalysis. Crypto Scams 2026. Marzo 2026. chainalysis.com
  3. 3.Elliptic. Inside Operation Atlantic: How Blockchain Analytics Helped Disrupt Approval Phishing at Scale. 16 de marzo de 2026. elliptic.co
  4. 4.Elliptic. The State of Crypto Scams 2025. Diciembre 2025. elliptic.co
  5. 5.FBI Internet Crime Complaint Center. 2025 Internet Crime Report. Abril 2026. ic3.gov
  6. 6.Financial Action Task Force. Targeted Update on Virtual Assets and VASPs 2025. Junio 2025. fatf-gafi.org
  7. 7.Financial Action Task Force. Virtual Assets: Red Flag Indicators of Money Laundering and Terrorist Financing. Septiembre 2020. fatf-gafi.org
  8. 8.TRM Labs. 2026 Crypto Crime Report. Enero 2026. trmlabs.com
  9. 9.Ledger Academy. Ethereum Token Approvals Explained. Mayo 2024. ledger.com
  10. 10.Chainalysis. Crypto Drainers. Octubre 2024. chainalysis.com
  11. 11.US Secret Service. Operation Atlantic Disrupts More Than $45 Million Cryptocurrency Fraud, Freezes Assets. Abril 2026. secretservice.gov
  12. 12.Etherscan. Token Approval Checker. 2024-presente. etherscan.io
  13. 13.MetaMask. How to revoke smart contract allowances / token approvals. 2024. support.metamask.io

Preguntas frecuentes

Que es una aprobacion de token ERC-20 y por que es peligrosa?

Una aprobacion de token ERC-20 es un permiso que concedes a un contrato inteligente, llamado gastador, para transferir tokens desde tu direccion de cartera en tu nombre. El riesgo surge cuando el importe de la aprobacion se establece en ilimitado: el contrato gastador puede entonces vaciar todo tu saldo de tokens en cualquier momento, en cualquier transaccion que inicie, sin requerir ninguna accion adicional de tu parte. Un contrato malicioso que ha recibido una aprobacion ilimitada es funcionalmente equivalente a tener acceso directo a esos tokens.

Cuanto se ha robado mediante phishing de aprobaciones?

Chainalysis documento $516,8 millones robados a traves de phishing de aprobaciones en 2022 y $374,6 millones en 2023, con mas de $1.000 millones sustraidos mediante este metodo desde mayo de 2021. De manera mas amplia, el informe del FBI IC3 de 2025 registro $11.000 millones en perdidas relacionadas con cripto ese ano, y TRM Labs reporto flujos ilegales de cripto por $158.000 millones en 2025.

Que herramientas puedo usar para revocar aprobaciones de tokens?

Las tres principales opciones son: Etherscan Token Approval Checker (etherscan.io/tokenapprovalchecker) para mainnet de Ethereum; Revoke.cash para soporte multicadena en Ethereum, BNB Chain, Polygon, Arbitrum, Base y muchas otras; y MetaMask Portfolio (portfolio.metamask.io) para usuarios de MetaMask que quieren un dashboard de aprobacion y revocacion en una sola interfaz. Las tres son gratuitas, solo pagas el costo de gas on-chain de cada transaccion de revocacion.

Que es una cartera burner y como me protege?

Una cartera burner es una direccion de cartera caliente dedicada que usas exclusivamente para interacciones DeFi y NFT. Solo contiene los fondos minimos necesarios para la transaccion inmediata. Tus tenencias principales permanecen en una cartera hardware que nunca se conecta directamente a dApps. Aunque una aprobacion maliciosa vacie el burner, el atacante solo obtiene lo que fue cargado para esa sesion. La cartera hardware nunca esta expuesta a flujos de aprobacion basados en web, por lo que su superficie de ataque permanece casi cero.

Que debo hacer inmediatamente si mi cartera ha sido vaciada?

Actua de inmediato. Primero, transfiere los activos restantes de la cartera comprometida a una direccion limpia. Luego revoca todas las aprobaciones pendientes desde un dispositivo limpio. Documenta los hashes de la transaccion de vaciado, la direccion del contrato malicioso y la URL del sitio involucrado. Reporta al FBI IC3 en ic3.gov. Contacta a una firma de forensia blockchain: la participacion temprana, en las primeras 24-48 horas, mejora significativamente las posibilidades de rastrear fondos antes de que sean dispersados a traves de mezcladores o protocolos de puente.

Aviso de Privacidad y Cookies

Utilizamos cookies propias y de terceros para analizar el tráfico y mejorar su experiencia de navegación. Para más información, consulte nuestra Política de Privacidad.