← Volver a los artículos

Qué hacer si una extensión de navegador maliciosa robó tu cripto: guía completa de recuperación

9 de julio de 2026 12 min de lectura Guía de recuperación
Recuperación de extensión de navegador maliciosa

Respuesta rápida

Si una extensión de navegador maliciosa ha vaciado tu cartera de criptomonedas:

Desconéctate de internet de inmediato, elimina la extensión, revoca todas las aprobaciones de contratos inteligentes desde un dispositivo limpio y transfiere los activos restantes a una nueva cartera generada en hardware no comprometido. Luego documenta cada hash de transacción y presenta una denuncia ante el IC3 del FBI (ic3.gov) y tu autoridad nacional de cibercrimen en las próximas 24 horas. La reversión directa en la cadena de bloques no es posible, pero si los fondos robados llegaron a un exchange centralizado, una solicitud de congelación urgente a las autoridades, o un investigador profesional de blockchain actuando en tu nombre, puede interceptarlos antes de que sean lavados. La velocidad es la variable más importante para determinar cuánto, si es que algo, puede recuperarse.

Cómo se ve esta estafa

Las extensiones de navegador maliciosas son uno de los vectores de robo de criptomonedas más peligrosos que existen hoy. A diferencia de los correos de phishing que requieren que hagas clic en un enlace engañoso, una extensión maliciosa reside silenciosamente dentro de tu navegador con acceso privilegiado a cada página que visitas, incluida tu interfaz de cartera, el panel del exchange y el portapapeles.

El informe de drainers de Chainalysis 2025 identificó los drainers basados en extensiones de navegador como un componente central del ecosistema profesional de robo, que ya había extraído más de 2.170 millones de dólares solo en la primera mitad de 2025. El informe IOCTA 2025 de Europol identificó los infostealers distribuidos a través de extensiones de navegador maliciosas como un método principal para comprometer cuentas de criptomonedas, citando la familia de malware StealC como un ejemplo especialmente activo.

Métodos de distribución más comunes

¿Qué hace exactamente la extensión?

Una vez activa, una extensión maliciosa puede: interceptar las solicitudes de firma de la cartera y sustituir las direcciones controladas por el atacante, leer y sobrescribir el contenido del portapapeles, recolectar tokens de sesión para suplantar tu identidad en los exchanges, capturar pulsaciones de teclas e inyectar JavaScript en cualquier página.

TRM Labs informó que el 76 % de los fondos robados en los principales ataques fluyeron a través de compromisos a nivel de infraestructura. El Informe de Cibercrimen de 2024 del FBI documentó 9.300 millones de dólares en pérdidas por fraude cripto. El informe IC3 de 2025 elevó esa cifra a más de 11.000 millones de dólares.

Por qué la gente cae en ella

Tanto Chrome Web Store como la tienda de complementos de Firefox usan revisión automatizada, pero esos procesos no son infalibles. Los atacantes invierten en listados convincentes: reseñas de cinco estrellas plantadas, capturas de pantalla pulidas, descripciones copiadas de extensiones legítimas. El equipo de seguridad de Mozilla eliminó más de 40 extensiones maliciosas en 2025 tras descubrir la técnica de "Extension Hollowing".

Los ataques a la cadena de suministro eluden por completo la vigilancia del usuario. El compromiso de la extensión Chrome de Trust Wallet en diciembre de 2025 afectó a usuarios que habían instalado una extensión genuina meses antes. Las extensiones de navegador se actualizan automáticamente y en silencio.

La actualización dirigida de 2025 del FATF sobre activos virtuales señaló que el aumento del fraude se debe en parte a la brecha entre la complejidad tecnológica y el nivel de seguridad promedio del usuario. Los atacantes programan sus campañas en torno a eventos del mercado, como lanzamientos de tokens, acuaciones de NFT y ventanas de airdrops, momentos en que la urgencia suprime el pensamiento crítico.

Primeras 24 horas: qué hacer inmediatamente

El tiempo es crítico.

Los atacantes suelen enrutar los fondos robados a través de protocolos de intercambio descentralizados y mezcladores en minutos. Cada hora de retraso reduce la probabilidad de una congelación en un exchange receptor.

  1. Desconecta tu navegador de internet de inmediato. Desconéctate desactivando el Wi-Fi y desenchufando el cable ethernet. Esto detiene cualquier secuestro de sesión o exfiltración de datos en curso.
  2. Elimina la extensión maliciosa y ejecuta un análisis completo de malware. Abre el gestor de extensiones del navegador (chrome://extensions o about:addons), identifica y elimina la extensión sospechosa. Ejecuta un análisis completo con una herramienta de seguridad de confianza.
  3. Revoca todas las aprobaciones de la cartera desde un dispositivo limpio. Usa un dispositivo separado no comprometido para conectarte a herramientas de revocación como Revoke.cash o el verificador de aprobaciones de tokens de Etherscan. Revoca todas las aprobaciones ilimitadas o desconocidas.
  4. Transfiere los activos restantes a una cartera completamente nueva. Genera una cartera completamente nueva en un dispositivo limpio, preferiblemente una cartera de hardware. Transfiere todo lo que quede. Trata la cartera comprometida como definitivamente quemada.
  5. Documenta todo antes de cambiar cualquier otra cosa. Captura de pantalla tu lista completa de extensiones del navegador, la página de permisos de la extensión, cualquier correo electrónico de confirmación de instalación y todos los hashes de transacciones en cadena.
  6. Presenta una denuncia ante las autoridades. Envía una queja al Centro de Denuncias de Crímenes en Internet del FBI (ic3.gov) y a tu unidad nacional de cibercrimen. Incluye los hashes de transacciones, las direcciones de cartera, el nombre y el enlace de la tienda de la extensión y el valor perdido.
  7. Notifica a cualquier exchange donde hayan llegado los fondos robados. Usa un explorador de blockchain para rastrear adónde fueron los fondos. Si llegaron a un exchange centralizado, contacta de inmediato al equipo de fraude o cumplimiento de ese exchange.
  8. Preserva todos los dispositivos - no los borres todavía. Los investigadores forenses y las autoridades pueden necesitar datos de tus dispositivos. Ház una copia de seguridad en una unidad externa cifrada y apártalos.

Lo que NO debes hacer

Evita estos errores - son comunes y empeoran la situación.

Cómo es la recuperación real

Las transacciones de blockchain son inmutables. No hay botón de deshacer. Pero la recuperación existe en un espectro.

Si los fondos llegaron a un exchange centralizado, la ruta de mayor probabilidad, ese exchange tiene datos KYC de la cuenta receptora. Una solicitud de congelación policial, respaldada por un rastreo profesional de blockchain, puede resultar en la congelación de activos antes de que el atacante retire. Los exchanges responden más rápido cuando la dirección de destino es reportada dentro de las primeras 24 horas.

Si los fondos pasaron por un DEX o un puente, la recuperación es más difícil, pero no imposible. Los investigadores profesionales con acceso a plataformas analíticas comerciales (Chainalysis Reactor, TRM Forensics, Elliptic Navigator) pueden rastrear flujos entre cadenas que no son visibles en los exploradores de blockchain gratuitos.

Si los fondos pasaron por un mezclador o protocolo de privacidad, la probabilidad de recuperación disminuye significativamente. El análisis en cadena a veces puede identificar patrones de consolidación que vinculan las salidas del mezclador con la infraestructura conocida del atacante.

Security Week documentó 494 millones de dólares en robos por drainers a 332.000 víctimas en 2024. La recuperación total de todos los activos no es la norma. La recuperación parcial, las congelaciones en exchanges y las sentencias civiles son resultados más realistas.

Cuándo involucrar a un investigador profesional

En muchos casos de robo por extensión de navegador, involucrar a un investigador profesional de blockchain dentro de las primeras 48 horas es la diferencia entre un rastro trazable y fondos que ya han pasado por las salidas de un mezclador.

Un investigador legítimo comienza con un rastreo forense de blockchain, mapeando los fondos robados a través de cada dirección intermedia, etiquetando entidades conocidas e identificando posibles puntos de salida. Recoveris se especializa en este flujo de trabajo para casos de robo de criptomonedas en múltiples jurisdicciones.

Señales de alerta de estafas de recuperación

El segundo fraude es a menudo mayor que el primero.

Las víctimas de robo de criptomonedas son objetivos específicos porque se sabe que tienen criptomonedas y están en un estado desesperado y emocionalmente comprometido.

El informe IC3 del FBI de 2025 destacó el fraude de recuperación como una de las subcategorías de delito cripto de crecimiento más rápido, con víctimas a las que a menudo se acerca horas después de sufrir una pérdida.

Señales de advertencia que debes detectar de inmediato

Cómo verificar una empresa legítima

Solicita los datos de registro de la empresa y verifícalos con el registro nacional. Busca los nombres de los directivos de forma independiente. Empresas como Recoveris publican su metodología y pueden verificarse a través de registros públicos de empresas en Suiza.

¿Una extensión de navegador ha vaciado tu cartera?

Nuestros investigadores rastrean cripto robado en múltiples cadenas, preparan paquetes para las autoridades y coordinan solicitudes de congelación en exchanges. Obtén una evaluación gratuita de tu caso.

Obtener ayuda con tu caso

¿No estás seguro si fuiste víctima?

Realiza nuestra evaluación de seguridad cripto de 2 minutos para identificar riesgos en tu configuración actual antes de que se conviertan en un problema.

Hacer la evaluación gratuita

Referencias

  1. 1.Oficina Federal de Investigaciones / IC3 - Informe de Crimen por Internet 2024. ic3.gov. 9.300 millones de dólares en pérdidas por fraude cripto en 2024.
  2. 2.Oficina Federal de Investigaciones / IC3 - Informe de Crimen por Internet 2025. ic3.gov. Más de 11.000 millones de dólares en pérdidas por fraude cripto en 2025.
  3. 3.Chainalysis - Informe sobre Drainers de Cripto. chainalysis.com. Drainers por extensión de navegador; 2.170 millones de dólares robados a mediados de 2025.
  4. 4.TRM Labs - Drainware: Lamentablemente llegando a una cartera de criptomonedas cercana a ti. trmlabs.com. El 76 % de los fondos robados a través de ataques de infraestructura.
  5. 5.Europol - IOCTA 2025: Robar, traficar, repetir. europol.europa.eu. Infostealers a través de extensiones de navegador maliciosas.
  6. 6.FATF - Sexta Actualización Dirigida sobre Activos Virtuales y VASPs (2025). fatf-gafi.org. Aumento del fraude en activos virtuales.
  7. 7.Mozilla - Estafas de carteras cripto: neutralizando una nueva amenaza (mayo de 2025). blog.mozilla.org. Más de 40 extensiones maliciosas de Firefox; Extension Hollowing.
  8. 8.The Hacker News - Hackeo de la extensión Chrome de Trust Wallet (diciembre de 2025). thehackernews.com. Ataque a la cadena de suministro; 8,5 millones de dólares de 2.520 carteras.
  9. 9.SlowMist - Descubriendo cómo una extensión maliciosa robó un millón de dólares (junio de 2024). slowmist.medium.com. Robo de 1 millón de dólares con la extensión AGGR; secuestro de cookies.
  10. 10.TRM Labs Blog - Un año récord para el cibercrimen. trmlabs.com. Cibercrimen cripto récord.
  11. 11.Security Week - Malware drainer de carteras usado para robar 500 millones de dólares. securityweek.com. 494 millones de dólares de 332.000 víctimas en 2024.
  12. 12.Bleeping Computer - Docenas de complementos falsos de carteras inundan la tienda de Firefox (julio de 2025). bleepingcomputer.com. Campaña FoxyWallet; más de 40 extensiones maliciosas de Firefox.

Preguntas frecuentes

¿Puede una extensión de navegador maliciosa robar cripto sin que yo haga clic en nada?

Sí. Una vez instalada, una extensión maliciosa se ejecuta con privilegios persistentes en segundo plano. Puede reemplazar silenciosamente las direcciones de cartera en el portapapeles, interceptar las solicitudes de firma de la cartera, leer las cookies de sesión activas de los exchanges en los que estás conectado e inyectar código en las páginas que visitas, todo sin ninguna interacción visible. La investigación de SlowMist sobre la extensión AGGR descubrió que el módulo de secuestro de cookies operaba completamente en segundo plano, lo que permitió un drenaje de 1 millón de dólares sin que la víctima aprobara ninguna transacción sospechosa.

La extensión venía de la Chrome Web Store: ¿es eso posible?

Sí, y ha ocurrido repetidamente. En diciembre de 2025, una extensión legítima de Trust Wallet para Chrome fue comprometida a través de su infraestructura de distribución. La actualización que robó 8,5 millones de dólares de 2.520 carteras llegó a través del mecanismo oficial de actualización de la tienda. Mozilla también eliminó más de 40 extensiones maliciosas en 2025 tras descubrir la técnica "Extension Hollowing". La instalación desde una tienda oficial no garantiza la seguridad.

Nunca introduje mi frase semilla en el navegador: ¿puede una extensión vaciar igualmente mi cartera?

Sí. El robo de cookies de sesión permite a un atacante suplantarte en los exchanges en los que ya estás conectado. El secuestro del portapapeles redirige las transacciones salientes. La inyección de transacciones modifica las direcciones de destino en las solicitudes de firma después de que son generadas. Que tu frase semilla no esté en el navegador no te protege si tienes una extensión maliciosa instalada.

¿Cuánto tiempo tengo para actuar antes de que los fondos sean irrecuperables?

La ventana realista para la intervención a nivel de exchange es de horas, no de días. Las operaciones profesionales de drainers suelen enrutar y mover los fondos en 15 a 30 minutos tras el drenaje inicial. Aun así, algunas cuentas de destino permanecen inactivas durante días antes de que el atacante retire en fiat. Presentar una denuncia formal de inmediato crea un registro que puede activar una congelación incluso días después, si los fondos aún no han sido retirados.

¿Hay alguna forma de recuperar cripto robado por una extensión de navegador?

La recuperación parcial o total es posible en circunstancias específicas. El mejor caso es cuando los fondos se movieron a una dirección de depósito en un exchange centralizado: las autoridades o un investigador profesional con relaciones en exchanges puede solicitar una congelación antes de que el atacante retire. Para fondos que pasaron por protocolos descentralizados o mezcladores, la probabilidad de recuperación disminuye, pero la forénsica de blockchain puede establecer un caso documentado para litigios civiles o futuras acciones policiales.