← Volver a los artículos

Qué hacer si caíste en una estafa de drenado de billetera o phishing de aprobación: guía completa de recuperación

21 de mayo de 2026 10 min de lectura Guía de recuperación
Guía de recuperación de estafas de drenado de billetera y phishing de aprobación

Conectaste tu billetera a lo que parecía un sitio legítimo, firmaste una transacción y en cuestión de segundos tus tokens habían desaparecido. Los drenadores de billeteras y los ataques de phishing de aprobación se encuentran entre las estafas cripto más sofisticadas desde el punto de vista técnico que operan en la actualidad. En 2024, drenaron aproximadamente 494 millones de dólares de más de 332.000 billeteras. Aunque las defensas mejoraron y las pérdidas de 2025 cayeron significativamente, más de 83 millones de dólares fueron robados a más de 106.000 víctimas. Esta guía explica exactamente qué ocurrió, qué debes hacer ahora mismo y cómo es la recuperación en términos realistas.

1. Respuesta rápida: el primer paso más importante

⚡ Si acabas de sufrir un drenado:

Abre inmediatamente un verificador de aprobaciones de tokens como revoke.cash o la herramienta de aprobaciones de Etherscan, conecta la billetera afectada y revoca todas las aprobaciones a direcciones desconocidas. Esto no recupera los fondos ya robados, pero detiene a un drenador activo antes de que vacíe los tokens restantes. Hazlo en minutos.

Una vez revocadas las aprobaciones, deja de usar la billetera comprometida para cualquier cosa que no sea documentación. No firmes ninguna transacción nueva hasta que entiendas lo que ocurrió.

2. Cómo funciona esta estafa

Un ataque de drenador de billetera explota un mecanismo incorporado en Ethereum y las blockchains compatibles: la función approve. Esta permite que una dirección de terceros —un gastador aprobado— mueva tokens desde tu billetera sin necesidad de una transacción separada cada vez. Fue diseñada para uso legítimo en DeFi. Los atacantes la han convertido en arma.

Los puntos de entrada más comunes incluyen:

En todas las variantes, la víctima nunca envía fondos directamente al atacante: firma un permiso. El backend del atacante llama entonces a la función aprobada para transferir tokens, a menudo milisegundos después de que se envía la firma. Como no aparece ninguna transferencia saliente en el historial de la billetera de la víctima, muchos no se dan cuenta de lo sucedido hasta que su saldo es cero.

La escala es considerable. Chainalysis documentó al menos 374 millones de dólares robados mediante phishing de aprobación solo en 2023, con una sola dirección responsable de 44,3 millones de dólares de miles de víctimas. Las pérdidas aumentaron a aproximadamente 494 millones de dólares de 332.000 billeteras en 2024. El Informe Anual 2025 de Scam Sniffer registró 83,85 millones de dólares en pérdidas de 106.106 víctimas, con un solo robo mediante firma Permit que alcanzó los 6,5 millones de dólares en una única transacción.

3. Por qué la gente cae en ella

Estos ataques tienen éxito no porque las víctimas sean descuidadas, sino porque están diseñados para superar las defensas normales. Cuatro factores se combinan:

4. Primeras 24 horas: qué hacer de inmediato

La velocidad importa. Sigue estos pasos en orden: cada uno protege los activos restantes o preserva evidencia.

  1. Revoca todas las aprobaciones de tokens de inmediato. Ve a revoke.cash o al verificador de aprobaciones de tokens de Etherscan. Conecta la billetera afectada y revoca cada aprobación a direcciones no reconocidas. Se requiere una pequeña tarifa de gas. Esto no recupera los fondos robados, pero detiene el drenado adicional.
  2. Conserva todas las evidencias. Toma capturas de pantalla de la URL del sitio de estafa, las transacciones de la billetera y cualquier comunicación relacionada. Registra las marcas de tiempo exactas. No borres el historial del navegador. Exporta el historial completo de transacciones desde el explorador de bloques.
  3. Copia la dirección de la billetera del atacante y los hashes de transacción. Tanto la transacción de aprobación como el drenado son visibles en el explorador de bloques. Estos son la evidencia central para cualquier investigación.
  4. Deja de usar la billetera comprometida. Trátala como permanentemente comprometida. Mueve los activos restantes solo después de revocar las aprobaciones, y solo a una billetera recién creada.
  5. Presenta una denuncia de ciberdelincuencia. En EE.UU.: ic3.gov. En la UE: la unidad de ciberdelincuencia de tu policía nacional. En el RU: Action Fraud. Guarda tu número de denuncia.
  6. Notifica a los exchanges relevantes. Si el rastro en la blockchain muestra que los fondos fluyen hacia una dirección de depósito en un exchange centralizado, repórtalo de inmediato al equipo de cumplimiento de ese exchange con el hash de la transacción.
  7. Contacta a un investigador profesional de blockchain si el monto robado es significativo. El compromiso temprano —dentro de las 24 a 48 horas— preserva las opciones de rastreo antes de que los fondos se mezclen o liquiden adicionalmente.

⚠️ No esperes a ver si el atacante devuelve los fondos.

Los operadores de drenadores no devuelven fondos. Cada hora de retraso reduce las posibilidades de un congelamiento exitoso en el exchange.

5. Qué NO hacer

Varias reacciones instintivas empeoran la situación. Evita lo siguiente:

6. Cómo es realmente la recuperación

Las transacciones de blockchain son irreversibles. Ningún tecnicismo ni orden judicial puede deshacer la transferencia en sí. Lo que sí es posible es el rastreo forense combinado con la cooperación de los exchanges y la coordinación con las fuerzas del orden, que en algunos casos resulta en una recuperación parcial o total.

Rastreo forense

Todas las transacciones de blockchain están registradas en un libro contable público e inmutable: cada movimiento de fondos robados puede ser rastreado. La guía de la FATF de noviembre de 2025 señala que los libros contables de blockchain proporcionan trazabilidad en tiempo real que apoya la recuperación rápida cuando se combina con la cooperación de los exchanges. Un investigador profesional mapea el clúster de billeteras del atacante, identifica las direcciones de depósito de exchanges centralizados en el flujo de fondos y documenta la cadena de custodia completa.

Cooperación con exchanges y congelamientos de activos

Cuando se presenta un informe forense documentado que vincula fondos robados a una dirección de depósito específica, muchos exchanges congelan los retiros pendientes y cooperan con las fuerzas del orden. La ventana es estrecha —típicamente de 24 a 72 horas—, razón por la cual actuar con rapidez es fundamental.

Fuerzas del orden y litigios civiles

La Operación Spincaster —una colaboración pública-privada dirigida contra el phishing de aprobación— congeló fondos en múltiples jurisdicciones. La declaración de culpabilidad del Departamento de Justicia de EE.UU. en diciembre de 2025 en un esquema de ingeniería social de 263 millones de dólares demuestra que la persecución internacional es activa. Para pérdidas superiores a 50.000 dólares donde se ha identificado a un atacante, el litigio civil de recuperación de activos es viable con un informe forense de cadena de custodia.

🔍 Las tasas de recuperación dependen de a dónde fueron los fondos.

Los fondos enrutados a exchanges regulados son los casos más manejables. Los fondos enviados a mezcladores en minutos son los más difíciles. Una evaluación profesional del flujo de fondos es la única forma confiable de saberlo.

7. Cuándo involucrar a un investigador profesional

No todo drenado de billetera justifica un compromiso forense completo. Utiliza estos umbrales:

Un investigador legítimo realizará rastreo on-chain, producirá un informe forense documentado, enviará solicitudes de congelamiento a los exchanges relevantes y coordinará con las fuerzas del orden. Será transparente sobre lo que no puede garantizarse y cobrará por el trabajo documentado, no un porcentaje por adelantado antes de que se confirme ninguna recuperación.

8. Señales de alerta de estafas de recuperación

La revictimización es rampante. Los operadores de estafas de recuperación monitorean los foros en busca de nuevas víctimas. Espera contacto no solicitado en cuestión de horas tras un drenado. Señales de alerta clave:

🚨 Si sospechas que un servicio de recuperación es fraudulento:

Repórtalo a la misma autoridad donde presentaste tu denuncia de estafa original. El FBI y Europol investigan activamente el fraude de recuperación como una categoría criminal independiente.

¿Perdiste fondos en una estafa de drenado de billetera o phishing de aprobación?

Recoveris realiza investigaciones forenses on-chain para rastrear criptoactivos robados, mapear carteras de atacantes y coordinar con exchanges y autoridades para la posible recuperación.

Solicitar consulta inicial gratuita

¿No estás seguro de haber sido víctima?

Realiza nuestro cuestionario de autoevaluación gratuito para evaluar tu situación y entender los próximos pasos.

Gratis 2 minutos Sin registro
Hacer el cuestionario gratuito

Referencias

  1. 1.Chainalysis. Crecimiento explosivo en estafas de phishing de aprobación dirigidas. 2023. https://www.chainalysis.com/blog/approval-phishing-cryptocurrency-scams-2023/
  2. 2.Chainalysis. Actualización de mitad de año 2024 sobre crimen cripto. 2024. https://www.chainalysis.com/blog/2024-crypto-crime-mid-year-update-part-2/
  3. 3.FBI, Centro de Quejas de Crímenes en Internet. Informe de Crímenes en Internet 2025. 2025. https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
  4. 4.TRM Labs. Un año récord para el cibercrimen. 2025. https://www.trmlabs.com/...
  5. 5.FATF. Actualización dirigida 2025 sobre activos virtuales. Noviembre 2025. https://www.fatf-gafi.org/...
  6. 6.Europol. Evaluación de Amenazas de Crimen Organizado en Internet (IOCTA) 2025. 2025. https://www.europol.europa.eu/...
  7. 7.Scam Sniffer. Las pérdidas por phishing cripto de 2025 caen un 83% a 84 millones. 2026. https://drops.scamsniffer.io/...
  8. 8.Infosecurity Magazine. Estafadores drenan 500 millones de dólares en billeteras cripto. 2025. https://www.infosecurity-magazine.com/...
  9. 9.Departamento de Justicia de EE. UU. Declaración de culpabilidad en esquema de ingeniería social de 263 millones. Diciembre 2025. https://www.justice.gov/...
  1. 1Chainalysis. Targeted Approval Phishing Scams See Explosive Growth. 2023. chainalysis.com
  2. 2Chainalysis. 2024 Crypto Crime Mid-Year Update Part 2. 2024. chainalysis.com
  3. 3Oficina Federal de Investigaciones, Centro de Denuncias de Delitos en Internet. Informe de Delitos en Internet 2025. 2025. ic3.gov
  4. 4TRM Labs. A Record-Breaking Year for Cybercrime: Key Findings from the FBI’s 2024 IC3 Report. 2025. trmlabs.com
  5. 5Grupo de Acción Financiera Internacional (FATF). 2025 Targeted Update on Virtual Assets and Virtual Asset Service Providers. Noviembre de 2025. fatf-gafi.org
  6. 6Europol. Internet Organised Crime Threat Assessment (IOCTA) 2025: Steal, Deal, Repeat. 2025. europol.europa.eu
  7. 7Scam Sniffer. 2025 Crypto Phishing Losses Fall 83% to $84 Million. 2026. scamsniffer.io
  8. 8Infosecurity Magazine. Scammers Drain $500M in Crypto Wallets. 2025. infosecurity-magazine.com
  9. 9Departamento de Justicia de los Estados Unidos. Guilty Plea and Superseding Indictment Announced in Social Engineering Scheme That Stole $263 Million. Diciembre de 2025. justice.gov

9. Preguntas frecuentes

¿Puedo recuperar las criptomonedas robadas en un ataque de phishing de aprobación?

En algunos casos, sí, pero la recuperación no está garantizada y depende de adónde fueron los fondos y qué tan rápido actuaste. Si los fondos robados llegaron a un exchange centralizado antes de que los reportaras, existe una posibilidad realista de congelamiento. Si los fondos fueron a un mezclador descentralizado en minutos, las opciones son mucho más limitadas. Una investigación forense es el primer paso para saber qué aplica en tu caso. Revocar las aprobaciones inmediatamente protege los activos restantes, pero no puede recuperar fondos ya transferidos.

En algunos casos, sí, pero la recuperación no está garantizada y depende de a dónde fueron los fondos y con qué rapidez actuaste. Si los fondos robados llegaron a un exchange centralizado antes de que lo denunciaras, existe una probabilidad realista de congelamiento. Si los fondos fueron a un mezclador descentralizado en minutos, las opciones son mucho más limitadas. Una investigación forense es el primer paso para saber qué aplica en tu caso. Revocar las aprobaciones de inmediato protege los activos restantes, pero no puede recuperar los fondos ya transferidos.

¿Revocar una aprobación de token recupera mi dinero?

No. Revocar una aprobación detiene al gastador aprobado de realizar transferencias adicionales, pero no tiene ningún efecto sobre las transferencias ya completadas. La documentación de MetaMask es clara: revocar una aprobación protege los tokens restantes en el futuro, pero no revierte un drenaje completado. Revocar sigue siendo el paso inmediato correcto: los scripts de drenaje a menudo dejan aprobaciones residuales activas para drenar tokens adicionales a medida que llegan.

No. Revocar una aprobación impide que el gastador aprobado realice más transferencias, pero no tiene ningún efecto sobre las transferencias ya completadas. La documentación de MetaMask es clara: revocar un permiso protege los tokens restantes hacia el futuro, pero no revierte un drenado completado. Revocar sigue siendo el paso inmediato correcto: los scripts de drenadores a menudo dejan aprobaciones residuales activas para drenar más tokens a medida que llegan.

Firmé una firma Permit, no una transacción approve - ¿es diferente?

El resultado final es el mismo: el atacante obtiene la capacidad de transferir tus tokens, pero el mecanismo difiere. Una firma Permit es un mensaje firmado fuera de la cadena que no aparece en el historial de tu billetera hasta que el atacante lo envía en la cadena. Los verificadores de aprobación estándar pueden no señalar las firmas Permit pendientes. En 2025, las firmas Permit y Permit2 representaron el 38% de las pérdidas en incidentes superiores a 1 millón de dólares. Los pasos de recuperación son idénticos.

El resultado final es el mismo —el atacante obtiene la capacidad de transferir tus tokens—, pero el mecanismo es diferente. Una firma Permit es un mensaje firmado fuera de la cadena que no aparece en el historial de tu billetera hasta que el atacante lo envía on-chain. Los verificadores de aprobaciones estándar pueden no detectar las firmas Permit pendientes. En 2025, las firmas Permit y Permit2 representaron el 38% de las pérdidas en incidentes superiores al millón de dólares. Los pasos de recuperación son idénticos: documenta la transacción on-chain donde se envió el Permit, rastrea el flujo de fondos y denuncia de inmediato.

¿Debo denunciar a la policía si el monto es pequeño?

Sí. Incluso para cantidades pequeñas, tu informe contribuye a investigaciones agregadas. Una sola dirección de drenaje en los datos de Chainalysis de 2023 robó 44,3 millones de dólares de miles de víctimas; cada informe individual fue un dato en la investigación. El FBI IC3 y Europol utilizan datos de quejas para mapear clusters de billeteras de atacantes. Presentar una denuncia en ic3.gov no cuesta nada.

Sí. Incluso por montos pequeños, tu denuncia contribuye a las investigaciones agregadas. Una sola dirección de drenador en los datos de Chainalysis de 2023 robó 44,3 millones de dólares de miles de víctimas: cada denuncia individual fue un dato en la investigación. El FBI IC3 y Europol utilizan los datos de las denuncias para mapear los clústeres de billeteras de los atacantes. Presentar una denuncia en ic3.gov no cuesta nada. Guarda tu número de referencia por si necesitas hacer seguimiento.

¿Cómo sé si un servicio de recuperación es legítimo?

Las firmas legítimas de forense blockchain comparten marcadores claros: no solicitan víctimas sin solicitación, no garantizan la recuperación antes de revisar la evidencia, describen su metodología en términos concretos (rastreo en cadena, enlace con exchanges, informes forenses) y cobran por trabajo documentado. Debes encontrar profesionales verificables con credenciales rastreables. Busca el nombre de la firma junto con estafa o queja antes de contratar. En caso de duda, presenta una denuncia ante las autoridades primero y consulta a un abogado antes de pagar a cualquier tercero.

Las empresas de forense blockchain legítimas comparten características claras: no solicitan víctimas de forma no solicitada, no garantizan la recuperación antes de revisar la evidencia, describen su metodología en términos concretos (rastreo on-chain, enlace con exchanges, informes forenses) y cobran por el trabajo documentado. Deberías encontrar profesionales verificables con credenciales trazables y experiencia en casos publicada. Busca el nombre de la empresa junto con “estafa” o “queja” antes de comprometerte. En caso de duda, presenta la denuncia ante las fuerzas del orden primero y consulta a un abogado antes de pagar a un tercero.

Artículos relacionados

Guía de recuperación

Recuperación de estafa pig butchering: guía completa

Seguridad

Auditoría de superficie de ataque de billeteras cripto

Ayuda profesional

Solicita una consulta de recuperación con Recoveris