En enero de 2026, las pérdidas por phishing en billeteras de criptomonedas alcanzaron los 6,3 millones de dólares, un aumento del 207% en comparación con diciembre. Los datos de Scam Sniffer muestran que los atacantes han cambiado a una estrategia de «ballenas», en la que solo dos víctimas representaron el 65% del total de pérdidas, y una sola operación alcanzó los 3,02 millones de dólares. Otro incidente de «tóxico de direcciones» resultó en una pérdida de 12,25 millones de dólares para una sola víctima.
El aumento del 207% en pérdidas por phishing con firma digital, pero una disminución en el número de víctimas
Según el informe de Scam Sniffer, en el primer mes del año, los ataques de phishing con firma digital robaron aproximadamente 6,3 millones de dólares de las billeteras de los usuarios. Este método de ataque induce a los usuarios a firmar funciones maliciosas como «Permiso» (Permit) o «AumentarPermiso» (IncreaseAllowance), otorgando permisos ilimitados a terceros, lo que permite a los atacantes robar fondos sin necesidad de aprobación adicional para transacciones específicas.
Lo más sorprendente es la divergencia entre la tendencia en monto total y en número de víctimas. Aunque el número de víctimas disminuyó un 11% respecto a diciembre, el monto total robado se disparó un 207%. Esta diferencia resalta un cambio estratégico fundamental en los ciberdelincuentes, que están pasando de un enfoque de «red de pesca masiva» a ataques dirigidos y precisos contra «ballenas», es decir, individuos con grandes activos, en lugar de atacar muchas cuentas minoristas.
Este cambio de estrategia presenta nuevos desafíos para la seguridad de las billeteras de criptomonedas. La protección tradicional contra phishing suele centrarse en identificar ataques y víctimas, pero cuando los atacantes se enfocan en unos pocos objetivos de alto valor, estos indicadores pueden perder su capacidad de advertencia. Aunque el número de víctimas disminuye, el crecimiento explosivo en pérdidas totales indica que la amenaza se está intensificando.
El phishing con firma digital es peligroso porque aprovecha las características técnicas de la interacción en blockchain. Muchas aplicaciones descentralizadas (DApps) requieren que los usuarios otorguen permisos a contratos inteligentes para acceder a tokens, lo cual es un proceso normal. Sin embargo, los atacantes disfrazan contratos maliciosos como aplicaciones legítimas, induciendo a los usuarios a firmar autorizaciones. Una vez firmadas, los atacantes pueden transferir activos indefinidamente desde la billetera de la víctima sin necesidad de confirmación adicional.
La estrategia de ballenas, con solo dos víctimas que representan el 65% del total y una operación de 3,02 millones de dólares
El informe de Scam Sniffer revela un hecho sorprendente: solo dos víctimas representaron cerca del 65% de todas las pérdidas por phishing con firma digital en enero. En un caso, un usuario perdió 3,02 millones de dólares tras firmar una función de permiso maliciosa. Esta distribución altamente concentrada refleja una nueva táctica de los atacantes: identificar y atacar específicamente a billeteras con grandes activos.
La estrategia de ballenas se diferencia del phishing tradicional en la fase de recopilación de información. Los atacantes ya no envían enlaces de phishing al azar, sino que analizan datos en la cadena para identificar objetivos de alto valor, estudian sus patrones de transacción y hábitos, y diseñan ataques a medida. Este método requiere más tiempo de preparación y habilidades técnicas, pero las recompensas son exponencialmente mayores.
Para usuarios con grandes activos, esta amenaza es especialmente grave. Aunque los inversores de alto patrimonio suelen pensar que están mejor protegidos, en realidad, su alto valor los convierte en objetivos prioritarios. Los atacantes invierten recursos en diseñar ataques de ingeniería social más sofisticados, incluyendo sitios web falsificados, suplantación de proyectos conocidos, e incluso estableciendo relaciones de confianza a largo plazo en redes sociales.
Esta tendencia también se refleja en la sofisticación de los métodos de ataque. Los ataques de phishing pasados dependían de correos electrónicos de estafa burdos y sitios falsos evidentes, pero las campañas modernas de ballenas pueden involucrar interfaces de usuario perfectamente replicadas, dominios falsificados (con caracteres similares como i y l confundidos), y escenarios de emergencia diseñados para presionar a los usuarios a tomar decisiones rápidamente.
Tóxico de direcciones, pérdida de 12,25 millones de dólares en una sola operación, una trampa de copiar y pegar
Además del phishing con firma digital, otra amenaza igualmente destructiva —el «tóxico de direcciones»— también afecta a los usuarios de billeteras de criptomonedas. En un caso típico en enero, un inversor transfirió fondos a una dirección fraudulenta y perdió 12,25 millones de dólares, la mayor pérdida en un solo incidente ese mes.
El tóxico de direcciones aprovecha las costumbres de los usuarios y las características técnicas de las direcciones en blockchain. Las direcciones de criptomonedas suelen ser cadenas hexadecimales de 42 caracteres, y verificar completamente estas direcciones puede ser muy laborioso. Muchos usuarios tienen la costumbre de revisar solo los primeros y últimos caracteres, y los atacantes explotan esta vulnerabilidad. Generan direcciones «falsas» o «imitaciones» que imitan con precisión los primeros y últimos caracteres de direcciones legítimas en el historial de transacciones del usuario.
Proceso de ataque de tóxico de direcciones
Monitoreo del objetivo: los atacantes rastrean el historial de transacciones de billeteras de alto valor
Generación de direcciones falsas: crean algoritmos para generar direcciones falsas con los mismos caracteres iniciales y finales
Envío de señuelos: envían pequeñas cantidades de tokens (comúnmente ataques de polvo) a estas direcciones
Contaminación del historial: las direcciones falsas aparecen en el historial de transacciones del usuario
Esperar errores: los usuarios copian y pegan en su siguiente transferencia la dirección falsa en lugar de verificar toda la cadena
Los atacantes esperan que los usuarios, al realizar la próxima transferencia, copien y peguen la dirección robada desde el historial, en lugar de verificar toda la cadena. Dado que la dirección falsa coincide en los caracteres iniciales y finales con la real, a menos que se revise cuidadosamente la parte media, es casi imposible detectar la diferencia. Una vez que los fondos se envían a la dirección falsa, debido a la irreversibilidad de las transacciones en blockchain, los activos se transfieren de forma inmediata y definitiva a los atacantes.
La pérdida de 12,25 millones de dólares en una sola operación evidencia la devastación que puede causar este tipo de ataque. Para inversores o instituciones que gestionan grandes fondos, un solo error puede ser catastrófico. Lo más preocupante es que este tipo de ataque no requiere vulnerabilidades técnicas complejas, sino que se basa en la psicología y hábitos humanos, dificultando su prevención.
Safe Labs advierte sobre 5000 direcciones maliciosas que coordinan ataques
El aumento de estos incidentes llevó a Safe Labs (antes conocida como Gnosis Safe, desarrolladora de una popular billetera multifirma) a emitir una advertencia de seguridad urgente. La compañía detectó que organizaciones criminales están utilizando aproximadamente 5,000 direcciones maliciosas para coordinar un ataque masivo de ingeniería social contra sus usuarios.
Safe Labs afirmó: «Hemos detectado que actores maliciosos están operando en conjunto, creando miles de direcciones que parecen similares a las de Safe, con el objetivo de engañar a los usuarios para que envíen fondos a destinos incorrectos. Se trata de una combinación de ingeniería social y tóxico de direcciones». Este ataque a escala muestra que el phishing ha evolucionado de un delito individual a una industria organizada.
El despliegue coordinado de 5,000 direcciones maliciosas indica que los atacantes cuentan con infraestructura técnica avanzada y herramientas de automatización. Generar tantas direcciones falsas que coincidan con las características de las reales requiere recursos computacionales y algoritmos optimizados. Esta capacidad de ataque a nivel industrial sugiere que detrás puede haber organizaciones criminales profesionales, no hackers aislados.
Para los proveedores de billeteras de criptomonedas, este tipo de ataques masivos plantea nuevos desafíos de seguridad. Las medidas tradicionales como la autenticación de dos factores (2FA) y el almacenamiento en carteras frías son casi ineficaces contra el tóxico de direcciones y el phishing con firma digital, ya que estos ataques aprovechan mecanismos legítimos de transacción y las acciones del usuario. La prevención debe abordarse desde el diseño de interfaces, procesos de confirmación de transacciones y educación del usuario.
Medidas clave para prevenir phishing y tóxico de direcciones
Frente a la creciente amenaza, Safe Labs y expertos en seguridad recomiendan varias acciones preventivas. La más importante es verificar cuidadosamente la cadena completa de la dirección antes de realizar transferencias de gran monto, en lugar de solo revisar los primeros y últimos caracteres.
Mejores prácticas para la seguridad en billeteras de criptomonedas
Verificación completa de la dirección: comparar carácter por carácter toda la cadena de 42 caracteres, especialmente la parte central
Uso de listas de contactos: guardar direcciones frecuentes en una libreta de contactos para evitar copiar desde el historial
Transferencias de prueba pequeñas: enviar primero una cantidad mínima para verificar que la dirección es correcta antes de la transferencia grande
Revisión de permisos: revisar y revocar periódicamente permisos de tokens no necesarios
Habilitar vista previa de transacciones: usar billeteras que permitan previsualizar la transacción antes de firmar
Protección con multifirma: para fondos de alto valor, usar firmas múltiples para dificultar ataques
Además, los usuarios deben mantenerse alerta ante sitios de phishing, ingresar directamente las URL en el navegador y revisar cuidadosamente los permisos solicitados antes de firmar cualquier transacción. Para gestionar grandes fondos, el uso de hardware wallets y soluciones de multifirma puede incrementar significativamente la seguridad.
