Seguridad, investigaciones, recuperación de fondos y protección de activos

Entrevista exclusiva para el portal iTrusty.io

Alexander Mercer, editor en jefe de iTrusty.io × Robert Stanley, director de ciberseguridad

Nota editorial

En 2025, la industria cripto enfrentó un nivel sin precedentes de robos: según datos de Chainalysis y TRM Labs, durante el año se sustrajeron más de 3,4 mil millones de dólares. Solo el hackeo de la bolsa dubaiense Bybit en febrero de 2025 le reportó a los hackers del grupo norcoreano Lazarus alrededor de 1,5 mil millones de dólares en Ethereum — el mayor robo en la historia de la industria cripto y uno de los mayores robos financieros en la historia de la humanidad.

Al mismo tiempo, el número de incidentes relacionados con la vulneración de billeteras personales creció hasta 158 000 casos, afectando a más de 80 000 víctimas únicas. Los hackers norcoreanos sustrajeron en total 2,02 mil millones de dólares solo en 2025 — un 51 % más que el año anterior —, llevando la estimación acumulada de lo robado por Pyongyang a 6,75 mil millones de dólares.

Vivimos en una era en la que activos digitales valorados en cientos de miles de millones de dólares se protegen con un conjunto de 12 palabras anotadas en un papel, mientras hackers estatales altamente profesionalizados atacan bolsas de criptomonedas con la misma metodología con la que las fuerzas especiales asaltan instalaciones militares.

Para analizar en profundidad la anatomía de los ciberdelitos cripto, la tecnología de investigación y los métodos prácticos de protección, organizamos el encuentro entre dos expertos.

Alexander Mercer es editor en jefe del portal iTrusty.io, responsable de la sección «AI × Crypto: Data-Driven Insights» y especialista en la intersección entre tecnología y mercados financieros. Sus análisis semanales son leídos por más de 200 000 suscriptores.

Robert Stanley es director de ciberseguridad de uno de los mayores bancos del mundo. Anteriormente dirigió el departamento de investigación de delitos de alta tecnología en la policía de un país europeo. A lo largo de más de 15 años de carrera, ha participado en la investigación de decenas de grandes ciberdelitos cripto, incluidos casos con la participación de grupos de hackers estatales. Por razones de seguridad y política corporativa, no se revelan el nombre del banco ni el país.

El formato del encuentro es una entrevista experta en profundidad. Alexander Mercer formula las preguntas desde la perspectiva de periodista y analista, mientras que Robert Stanley responde desde la perspectiva del profesional en activo — alguien que ha investigado personalmente los mayores hackeos y ha desarrollado sistemas de protección para actores institucionales. La conversación duró más de cuatro horas y abarcó todo: desde la anatomía técnica de los hackeos hasta la psicología de las víctimas, y desde la blockchain forensics hasta recomendaciones prácticas para el almacenamiento de criptoactivos. Lo que sigue es la transcripción completa.

Parte I. La magnitud del problema: cuánto se roba en cripto y por qué las cifras siguen creciendo

Alexander Mercer: Robert, comencemos por la magnitud del problema. Cuando una persona común escucha «robaron mil quinientos millones de una bolsa», lo percibe como algo sacado de una película. ¿Qué tan real y sistémico es el problema del robo en la industria cripto?

Robert Stanley: No es una película — es la realidad, y la magnitud nos sorprende incluso a nosotros, los profesionales. Veamos las cifras de los últimos años, porque la tendencia habla por sí sola.

En 2022 se estableció el récord anterior: 3,8 mil millones de dólares robados. En 2023, el volumen de robos cayó a 1,7 mil millones — una reducción del 54 %. Parecía que la industria estaba aprendiendo. Pero en 2024 la tendencia se revirtió: 2,2 mil millones de dólares, un crecimiento del 21 % interanual, con 303 incidentes distintos. Y 2025 batió todos los récords: 3,4 mil millones de dólares, con 2,17 mil millones robados solo en el primer semestre — más que en todo 2024.

Alexander Mercer: ¿Entonces la industria crece y los robos crecen con ella?

Robert Stanley: Exactamente. Pero es importante contextualizar: el volumen total de robos representa menos del 1 % del volumen global de transacciones cripto. El problema es real, pero no define a la industria. Lo que la define es su capacidad de responder, investigar y recuperar.

Lo que me preocupa como profesional es el cambio en la naturaleza de las amenazas. Si antes los principales objetivos eran los protocolos DeFi con código sin auditar, en 2024–2025 el foco se desplazó hacia los servicios centralizados y la vulneración de claves privadas. Según datos de TRM Labs, los ataques a infraestructura — principalmente el robo de claves privadas y seed phrases — representaron casi el 70 % del volumen total robado en 2024. Esto significa que el problema ha migrado del ámbito del «código deficiente» al del «procesos de seguridad deficientes».

Alexander Mercer: ¿Y Corea del Norte no es un mito? ¿Un Estado realmente se dedica a robar criptomonedas?

Robert Stanley: No es un mito ni una exageración. Corea del Norte es el único Estado en el mundo que roba criptomonedas de forma sistemática y a nivel estatal para financiar sus programas militares. En 2025, los hackers norcoreanos sustrajeron 2,02 mil millones de dólares — el 76 % de todos los robos a servicios. La suma acumulada desde el inicio de sus operaciones asciende a no menos de 6,75 mil millones de dólares.

El grupo Lazarus, responsable de la mayoría de estos ataques, utiliza métodos extraordinariamente sofisticados. Uno de los vectores clave es la infiltración de especialistas en TI norcoreanos en empresas occidentales bajo la apariencia de freelancers. Estas personas obtienen acceso legítimo a los sistemas y se lo ceden a sus colegas hackers. No estamos hablando de un «hacker con capucha en un sótano» — se trata de una operación organizada, con abundantes recursos y respaldo estatal.

El FBI declaró públicamente que el hackeo de Bybit fue perpetrado por Corea del Norte. Y las herramientas sancionadoras tradicionales, lamentablemente, no funcionan — Corea del Norte ya está bajo las sanciones máximas. Para ellos, el robo de criptomonedas no es un delito, sino una estrategia económica.

Parte II. Anatomía de los ciberdelitos cripto: todos los métodos de hackeo y robo

Alexander Mercer: Analicemos esto con el mayor detalle posible. ¿Qué métodos utilizan exactamente los delincuentes para robar criptomonedas? Quiero que nuestros lectores comprendan cada vector de ataque.

Robert Stanley: Es el enfoque correcto, porque sin entender las amenazas no es posible protegerse. Voy a sistematizar todos los vectores principales — hay siete grandes categorías, cada una con subcategorías.

Categoría 1. Exploits de contratos inteligentes

Robert Stanley: Los contratos inteligentes son código de software que gestiona miles de millones de dólares. Un error en una sola línea puede costar cientos de millones.

Ataques de reentrancy

Un vector clásico que se hizo famoso en 2016 con el ataque a The DAO, cuando se robaron 3,6 millones de ETH (60 millones de dólares al tipo de cambio de entonces). La lógica es la siguiente: el atacante llama a la función de retirada de fondos y, antes de que el contrato actualice el saldo, vuelve a invocar esa misma función de forma recursiva. El contrato «cree» que el saldo no ha cambiado y entrega los fondos una vez más. Parecería que todo el mundo conoce este fallo. Sin embargo, en 2023 Curve Finance perdió alrededor de 70 millones de dólares por una vulnerabilidad similar. Los programadores conocen la teoría, pero en sistemas complejos con decenas de contratos que interactúan entre sí, los bugs de reentrancy se esconden en lugares poco evidentes.

Manipulación de oráculos

Los contratos inteligentes no tienen acceso directo a datos externos. Obtienen precios de activos, tipos de cambio y otra información a través de oráculos — servicios intermediarios externos. Si un atacante puede manipular temporalmente el precio de un activo en una plataforma (mediante un flash loan, por ejemplo), puede «engañar» al oráculo y ejecutar una operación ventajosa a un precio artificial. Es como si alguien cambiara temporalmente el tipo de cambio del dólar en el panel de una casa de cambio mientras usted está realizando la transacción.

Errores lógicos en sistemas de garantías y liquidez

Los protocolos DeFi de préstamos y liquidez utilizan fórmulas matemáticas complejas para calcular garantías, tasas de interés y posiciones. Un error en una fórmula, un edge case no contemplado, un redondeo incorrecto — y el atacante puede retirar más de lo que le corresponde, o crear una posición que «estructuralmente» no puede ser liquidada.

Vulnerabilidades en bridges (bridge exploits)

Los bridges son la infraestructura para transferir activos entre blockchains. En esencia, funcionan como un «banco» que custodia garantías en una red y emite tokens equivalentes en otra. Los bridges se han convertido en el objetivo más «costoso»: Ronin Network perdió 624 millones, Wormhole 320 millones y Nomad 190 millones. El motivo es que los bridges combinan la complejidad de la interoperabilidad entre redes con enormes volúmenes de fondos bloqueados.

Ataques de flash loan

Un flash loan es un crédito instantáneo sin garantía que debe devolverse dentro de una misma transacción. Es un instrumento legítimo que los atacantes aprovechan para manipular precios: pedir prestada una suma enorme, manipular el precio, extraer el beneficio y devolver el crédito — todo en una sola transacción. El atacante no necesita capital propio.

Categoría 2. Vulneración de claves privadas y seed phrases

Alexander Mercer: Mencionó que este es ahora el vector principal — el 70 % de todos los robos. Cuéntenos más al respecto.

Robert Stanley: Es el método más «sencillo» y, al mismo tiempo, el más peligroso. La clave privada es lo único que se necesita para tener control total sobre una billetera. La seed phrase es la representación mnemónica de esa clave, generalmente 12 o 24 palabras. Quien posee la clave, posee los activos. Sin excepciones, sin apelaciones posibles.

Phishing — clásico y avanzado

El método más extendido. La víctima recibe un email, un mensaje por Telegram, Discord o Twitter que imita un servicio legítimo: una bolsa, una billetera, un protocolo DeFi. El enlace dirige a un sitio de phishing visualmente indistinguible del original. La víctima introduce su seed phrase o firma una transacción maliciosa.

El phishing avanzado en 2025 utiliza IA para generar mensajes personalizados, clonar voces para llamadas telefónicas y crear deepfakes para videoconferencias. Hemos visto casos en los que «colegas» en una videollamada pedían firmar una transacción — y todos los rostros en pantalla eran deepfakes.

Software malicioso (malware)

Los clippers son programas que reemplazan la dirección de billetera copiada por la del atacante. Usted copia la dirección de un amigo, la pega en el campo de envío — y en realidad se inserta la dirección del hacker. Los keyloggers registran todas las pulsaciones del teclado, incluida la introducción de contraseñas y seed phrases. Los stealers son software especializado que busca en el ordenador archivos de billeteras, configuraciones, cookies y sesiones activas. Los troyanos InfoStealer del tipo RedLine, Raccoon o Vidar son una amenaza masiva que se propaga a través de software pirata, programas «crackeados» y actualizaciones falsas.

Bibliotecas infectadas y CI/CD

Este vector tiene como objetivo a los desarrolladores. El atacante publica un paquete malicioso en npm, PyPI u otro repositorio con un nombre similar al de una biblioteca popular (typosquatting). El desarrollador lo instala, y el código malicioso obtiene acceso a claves privadas, variables de entorno y secretos del pipeline CI/CD. Así se vieron comprometidas las claves de varios proyectos de gran envergadura.

Filtración de la seed phrase por factor humano

Una foto de la seed phrase en la nube (Google Photos, iCloud), una nota en una aplicación del teléfono, un archivo «passwords.txt» en el escritorio, la seed phrase guardada en un gestor de contraseñas que fue vulnerado (como LastPass en 2022). Parecerían errores obvios. Sin embargo, siguen siendo uno de los principales canales de filtración.

«Firmé sin leer» — malicious approval

El usuario conecta su billetera a un sitio web y firma una transacción sin entender su contenido. En lugar de «permitir a este contrato usar 100 USDT», firma «permitir a este contrato usar una cantidad ilimitada de todos mis tokens». O firma un permit que otorga al atacante el derecho a retirar fondos sin confirmaciones adicionales. Esta es la pesadilla de los usuarios de DeFi.

Así fue como se hackeó Bybit: los firmantes de la billetera multisig aprobaron una transacción sin verificar qué estaban firmando exactamente en la pantalla de la billetera hardware. Si hubieran verificado los datos de la transacción, los 1,5 mil millones de dólares habrían permanecido a salvo.

Categoría 3. Ataques a la infraestructura

Robert Stanley: Se trata de ataques hacker más «tradicionales», adaptados al ecosistema cripto.

DNS hijack — suplantación de dominio

El atacante toma el control de los registros DNS del dominio de un proyecto. Cuando el usuario accede al sitio habitual escribiendo su dirección de siempre, es redirigido a una copia de phishing. El dominio es el mismo y el certificado SSL puede ser reemitido. La víctima no percibe ninguna diferencia. Así fueron atacados varios proyectos DeFi de relevancia.

Suplantación del frontend

El atacante vulnera la CDN (red de distribución de contenido) o el pipeline CI/CD del proyecto y modifica el frontend — la interfaz de usuario. El contrato inteligente permanece seguro, pero la interfaz inserta una dirección maliciosa en las transacciones. El usuario cree estar interactuando con un contrato legítimo, cuando en realidad está enviando sus fondos al hacker.

Vulneración de claves API de bolsas

Si un usuario crea una clave API en una bolsa para un bot o un servicio externo y esa clave se filtra — a través de un servicio comprometido, un repositorio de GitHub o registros de logs — el atacante obtiene acceso a la cuenta de trading. Puede operar y retirar fondos si la clave cuenta con esos permisos.

Ataques de SIM-swap

El atacante convence al operador de telefonía móvil de reasignar la SIM de la víctima a su nombre. Obtiene acceso a los códigos SMS del 2FA y entra en el email, la bolsa o la billetera. Este ataque es especialmente eficaz en países donde los operadores aplican procesos de verificación insuficientes. Hemos visto decenas de casos en los que un SIM-swap derivó en la pérdida de cientos de miles de dólares.

Ataques a almacenamiento en la nube y servidores

Si las claves privadas o seed phrases se almacenan en un servidor en la nube, un VPS o una red corporativa, vulnerar esa infraestructura equivale automáticamente a vulnerar las billeteras. Una filtración desde AWS S3, una cuenta de administrador comprometida o una configuración de acceso incorrecta son todos vectores reales de ataque.

Categoría 4. Ingeniería social y amenazas internas

Alexander Mercer: Este es probablemente el vector más «humano», ¿verdad?

Robert Stanley: Sí, y con frecuencia el más devastador. Aquí el problema no reside en la tecnología, sino en la confianza, la manipulación y las debilidades humanas.

«Pig butchering» — estafas románticas cripto

Un esquema que se ha convertido en una verdadera epidemia. La víctima conoce a una persona «atractiva» en redes sociales o en una aplicación de citas. Se establece una relación — a veces durante semanas o meses. Luego, la «pareja» le habla de una «increíble oportunidad de inversión» en cripto. La víctima se registra en una plataforma falsa, deposita dinero y ve «ganancias» en pantalla. Va invirtiendo cada vez más. Cuando intenta retirar, el dinero desaparece.

Según datos del Departamento de Justicia de EE. UU., solo en 2024 los estadounidenses perdieron aproximadamente 10 mil millones de dólares en estafas de inversión cripto. En octubre de 2025, el DOJ incautó más de 15 mil millones de dólares en el marco de una de las mayores operaciones contra una red de pig butchering. La escala de estos esquemas es industrial y a menudo implica trabajo forzado en call centers del sudeste asiático.

Plataformas de inversión falsas

Bolsas fraudulentas con diseño profesional, gráficos falsos y «servicio de atención al cliente». La víctima transfiere fondos y nunca más los recupera. Estas plataformas se publicitan a menudo a través de YouTube, canales de Telegram y spam, y ahora también mediante «expertos financieros» generados por IA en vídeos.

Ataques internos

La categoría más incómoda. Un empleado de una bolsa, un desarrollador del proyecto, un socio o un contratista con acceso a los sistemas lo utiliza para robar. O facilita ese acceso a un atacante externo. Los robos internos son especialmente difíciles de investigar porque el «atacante» se comporta como un usuario legítimo.

Corea del Norte explota activamente este vector: sus especialistas en TI se incorporan de forma fraudulenta a empresas occidentales mediante trabajo remoto, obtienen acceso a los sistemas internos y abren la puerta al grupo de hackers.

Airdrops y sorteos falsos

«Elon Musk regala bitcoins — envía 0,1 BTC y recibe 1 BTC de vuelta». Parece absurdo. Sin embargo, la gente sigue cayendo en la trampa. La versión más sofisticada: airdrops falsos que exigen «confirmar» la participación conectando la billetera a un contrato malicioso.

Categoría 5. Rug pull — «tirar de la alfombra»

Robert Stanley: Una categoría aparte que merece atención. Un rug pull es una situación en la que los creadores de un proyecto crean deliberadamente un token o protocolo con el objetivo de atraer inversiones para luego llevarse todos los fondos y desaparecer.

Así funciona: el equipo crea un token, genera hype a través de redes sociales e influencers, atrae liquidez de inversores y luego retira de golpe todos los fondos del pool de liquidez. El precio del token se desploma a cero. Los inversores se quedan con tokens sin valor.

Las variantes incluyen el «soft rug» — el equipo no desaparece de inmediato, sino que gradualmente pierde el interés, abandona el desarrollo y vende sus tokens —, el «hard rug» — retirada instantánea de toda la liquidez — y el «honeypot» — un token que se puede comprar pero que técnicamente no se puede vender debido a un código oculto en el contrato.

Categoría 6. Ataques a la seguridad física

Alexander Mercer: Hemos hablado de ataques digitales. ¿Qué hay de las amenazas físicas?

Robert Stanley: Lamentablemente, es una tendencia en alza. A medida que crece el valor de los criptoactivos, aumenta también el número de ataques físicos contra sus titulares.

El «wrench attack» — ataque con llave inglesa — es un término de la comunidad cripto que describe la situación en la que un delincuente amenaza físicamente al titular de una billetera para acceder a sus fondos. Puede tratarse de un secuestro, un robo o un chantaje. Los registros públicos de este tipo de incidentes documentan decenas de casos en todo el mundo, algunos con desenlace fatal.

En 2024–2025 se registró un aumento de ataques dirigidos contra inversores y emprendedores del mundo cripto. Los atacantes identifican a sus víctimas a través de datos públicos en blockchain, actividad en redes sociales y participación en conferencias.

Categoría 7. Amenazas estatales y sistémicas

Robert Stanley: Merece mención aparte el riesgo asociado no a hackers, sino a Estados e instituciones que fallan.

Confiscación: las autoridades estatales pueden congelar o incautar criptoactivos en plataformas reguladas. Quiebra de bolsas: FTX, Mt. Gox, QuadrigaCX — casos en los que los fondos de los usuarios quedaron inaccesibles no por un hackeo externo, sino por fraude o incompetencia de la dirección de la bolsa. Cambios regulatorios: prohibiciones repentinas, bloqueos o nuevos requisitos pueden restringir el acceso a los fondos.

Parte III. Chain forensics: cómo se investigan los robos en blockchain

Alexander Mercer: Pasemos ahora a las investigaciones. Cuando se dice "en crypto todo es anónimo", ¿es cierto?

Robert Stanley: Es uno de los mitos más persistentes. Blockchain no es un sistema anónimo. Es un sistema seudónimo. Y la diferencia es enorme.

El anonimato implicaría que las transacciones no pueden verse. Pero blockchain es literalmente un libro de contabilidad público. Cada transacción queda registrada para siempre, está disponible para cualquiera y es inmutable. Sí, una dirección de billetera es solo una cadena de caracteres, no un nombre y apellido. Pero vincular una dirección con una persona es exactamente lo que hace chain forensics.

¿Qué es chain forensics como industria?

Robert Stanley: Chain forensics es una industria que se encuentra en la intersección de varias disciplinas. No es "un solo botón" ni una herramienta mágica. Es un ecosistema compuesto por cinco componentes clave.

El primer componente son los datos. Nodos de blockchain, indexadores, archivos de transacciones. Para una investigación se necesita acceso al historial completo de cada dirección, cada contrato y cada movimiento de fondos en todas las redes.

El segundo es el análisis. Agrupación de direcciones, construcción de grafos de transacciones, identificación de patrones. Es un trabajo algorítmico en el que la IA y el aprendizaje automático juegan un papel cada vez mayor.

El tercero es el trabajo operativo. Contacto con exchanges, OTC desks, puentes y proveedores de billeteras. Una vez identificado que los fondos llegaron a un exchange específico, hay que contactar rápidamente a su departamento de compliance para solicitar la congelación.

El cuarto es el compliance y la parte legal. Listas de sanciones, procedimientos AML, preparación de pruebas para juicio e interacción con las autoridades.

El quinto es la respuesta a incidentes (incident response). Esto es lo que hay que hacer en los primeros minutos y horas tras un hackeo.

Principales actores de la industria chain forensics

¿Cómo funciona la agrupación de direcciones?

Alexander Mercer: En blockchain hay miles de millones de direcciones. Los delincuentes fragmentan los fondos en cientos de billeteras. ¿Cómo las vinculan en un único "cluster"?

Robert Stanley: La agrupación no es una suposición. Es la acumulación sistemática de señales, cada una de las cuales aumenta la certeza sobre la conexión entre direcciones.

Patrones de comportamiento: intervalos de tiempo idénticos entre transacciones, montos iguales (o relacionados matemáticamente), secuencias de pasos similares. Si dos direcciones realizan transacciones con un intervalo de 3 minutos y 47 segundos cinco veces seguidas, eso no es casualidad.

Vínculos técnicos: en blockchains UTXO (Bitcoin), entradas compartidas en transacciones, lo que generalmente indica control por una sola clave. En blockchains basadas en cuentas (Ethereum), interacción mediante contratos intermediarios comunes y patrones de gas.

Rastros de infraestructura: uso de los mismos puentes, mezcladores y contratos de intercambio. Rutas de movimiento de fondos idénticas.

Cruces con entidades conocidas: direcciones de depósito de exchanges centralizados, hot wallets conocidas de servicios, direcciones sancionadas por la OFAC. Si el dinero llega a una dirección que ya vinculamos con un exchange específico, la cadena se cierra.

Principio importante: las investigaciones serias tienen niveles de certeza. No decimos "es definitivamente él" sin fundamento. Trabajamos con categorías: high confidence, medium confidence, low confidence, y siempre indicamos en qué datos se basa cada afirmación.

Mezcladores, tumblers y monedas privadas: ¿se puede "lavar" el rastro?

Alexander Mercer: ¿Qué hay de los mezcladores como Tornado Cash? ¿Acaso no borran las huellas?

Robert Stanley: Los mezcladores complican la tarea, pero no la hacen imposible. Tornado Cash, ChipMixer, Sinbad: todos estos servicios "mezclan" los fondos de distintos usuarios para romper el vínculo entre remitente y destinatario.

Pero la forense tiene contramedidas. Análisis de timing: cuándo entran los fondos al mezclador y cuándo salen, con correlación por tiempo y montos. Análisis de "polvo": pequeños residuos que no se logran mezclar perfectamente. Desanonimización de las direcciones de depósito del mezclador mediante datos externos. Análisis de red: si el mismo usuario utiliza el mezclador repetidamente, su patrón se vuelve reconocible.

Además, los grandes mezcladores caen bajo sanciones. Tornado Cash fue incluido en la lista de sanciones de la OFAC en 2022. Esto significa que los fondos que han pasado por Tornado Cash quedan automáticamente "marcados" en los sistemas de compliance de todos los exchanges regulados.

En cuanto a las monedas privadas (Monero, Zcash), sí complican significativamente la investigación. Monero utiliza firmas en anillo, direcciones ocultas y transacciones confidenciales. Pero incluso aquí existen puntos vulnerables: el momento de entrada (compra de Monero con otra criptomoneda) y de salida (conversión de vuelta). Y se dice que una empresa rusa llegó a desarrollar herramientas para la desanonimización parcial de Monero.

Parte IV. La primera hora tras el robo: protocolo de actuación paso a paso

Alexander Mercer: Supongamos que nuestro lector descubre que le robaron los fondos. O que el director de un proyecto crypto se entera de un hackeo. ¿Qué hacer? Dé una guía paso a paso.

Robert Stanley: La primera hora es como una reanimación. Cada minuto cuenta. Voy a dar dos protocolos: uno para usuarios individuales y otro para proyectos y empresas.

Protocolo para el usuario individual: qué hacer si te robaron la criptomoneda

Paso 1. Detén el sangrado (primeros 5 minutos)

Transfiere de inmediato todos los fondos restantes de la billetera comprometida a una nueva dirección segura. Si se trata de una cuenta de exchange, congélala a través del soporte y revoca todas las claves API. Si la seed phrase fue comprometida, considera que TODAS las billeteras creadas a partir de esa frase están en riesgo. Crea una nueva billetera con una NUEVA seed phrase en un dispositivo LIMPIO.

Paso 2. Documenta las pruebas (5–30 minutos)

Registra: la hora exacta del descubrimiento, los hashes de las transacciones mediante las cuales se retiraron los fondos, las direcciones del remitente (la tuya) y del destinatario (el atacante), los montos y tipos de tokens, capturas de pantalla, conversaciones y enlaces sospechosos. No intentes "corregir" nada en esta etapa: solo documenta. Estos datos serán necesarios para la investigación y el posible proceso judicial.

Paso 3. Notifica a los exchanges (30 minutos — 2 horas)

Si los fondos fueron transferidos a un exchange, contacta de inmediato al servicio de soporte de dicho exchange. Todos los grandes exchanges (Binance, Coinbase, Kraken, OKX, Bybit) tienen procedimientos de congelación de emergencia cuando se presentan pruebas del robo. Cuanto más rápido actúes, mayor será la probabilidad de que los fondos sean congelados antes de que el hacker los retire.

Qué incluir en la solicitud: hashes de transacciones, descripción del incidente, tu dirección (remitente), la dirección del destinatario y una prueba de tu titularidad (historial de transacciones, datos KYC).

Paso 4. Contacta a especialistas en forense (2–24 horas)

Si la suma es significativa, acude a una empresa especializada en investigaciones blockchain (Chainalysis, TRM Labs, SlowMist, Crystal Blockchain o expertos independientes). Pueden: rastrear el recorrido de los fondos, preparar un informe para las autoridades y notificar a los exchanges a través de sus propios canales (a menudo más rápido que a través del soporte público).

Paso 5. Presenta una denuncia policial (24–72 horas)

Aunque parezca que "la policía no va a ayudar", la denuncia es necesaria. En primer lugar, es la base legal para solicitar datos a los exchanges. En segundo lugar, en algunas jurisdicciones es imposible iniciar el proceso de recuperación sin una denuncia previa. En tercer lugar, si el caso se investiga a nivel internacional (Interpol, Europol, FBI), tu denuncia formará parte de la base probatoria.

Paso 6. Realiza una auditoría de seguridad (1–7 días)

Averigua CÓMO ocurrió el robo. Analiza el equipo en busca de malware, cambia las contraseñas de todos los servicios, activa o refuerza el 2FA y revisa todas las sesiones activas y conexiones. Si no se determina la causa, acude a un especialista en seguridad informática.

Protocolo para proyectos y empresas: la primera hora tras detectar el hackeo

Robert Stanley: Para los proyectos, el procedimiento es más complejo y requiere coordinación del equipo.

Parte V. ¿Se puede recuperar la criptomoneda robada?

Alexander Mercer: La pregunta más importante de nuestros lectores: ¿hay alguna posibilidad real de recuperar lo robado?

Robert Stanley: La respuesta honesta es: a veces, sí. Pero depende de muchos factores.

¿De qué depende la probabilidad de recuperación?

La velocidad de reacción es el factor más crítico. Si los fondos llegaron a un CEX antes de que notificaras al exchange, pueden congelarse. Si el hacker ya los retiró, las probabilidades caen drásticamente.

El recorrido de los fondos. Si el dinero fue a un exchange regulado, hay muchas posibilidades de congelación. Si pasó por un mezclador y luego a Monero, las probabilidades son mínimas. Si cruzó un puente descentralizado hacia otra red, depende de la complejidad de la investigación.

La jurisdicción. Si el hacker se encuentra en un país con un sistema legal desarrollado, un tribunal puede obligarle a devolver los fondos. Si está en Corea del Norte, no hay ninguna posibilidad.

El monto. Paradójicamente, los robos grandes se investigan con más intensidad. Los $1.500 millones de Bybit movilizaron a toda la industria. Los $5.000 de una billetera personal, lamentablemente, recibirán mínima atención.

La calidad de la base probatoria. Cuanto mejor documentado esté el caso, más fácil es investigarlo y más convincente resulta ante un tribunal.

Casos reales de recuperación de fondos

Como puede verse, el espectro es amplio: desde la recuperación total en cuestión de días hasta procesos judiciales que duran décadas. Pero incluso cuando la recuperación completa no es posible, la forense ayuda a: cerrar la vulnerabilidad, restaurar la confianza de los usuarios, ofrecer un informe transparente, reducir la probabilidad de que se repita y apoyar a las autoridades en la investigación.

Parte VI. Dónde y cómo almacenar criptomonedas: guía completa de seguridad

Alexander Mercer: Pasemos a la práctica. ¿Cómo puede una persona común proteger sus criptoactivos?

Robert Stanley: Empecemos por el principio fundamental: no existe una forma de almacenamiento 100 % segura. Pero sí existe un espectro, que va desde "muy peligroso" hasta "máxima protección". Y tu tarea es elegir el nivel de seguridad que corresponda a tu capital y tus necesidades.

Tipos de billeteras: de las más arriesgadas a las más seguras

Billeteras hardware 2026: ¿cuál elegir?

Robert Stanley: La billetera hardware es el estándar de oro para el almacenamiento. Tus claves privadas nunca abandonan el dispositivo físico, ni siquiera cuando lo conectas a un ordenador. Estos son los principales modelos:

La regla de distribución de activos: "No pongas todos los huevos en la misma cesta"

Alexander Mercer: ¿Cómo distribuir correctamente los criptoactivos entre diferentes tipos de almacenamiento?

Robert Stanley: Recomiendo la regla 5/25/70 para la mayoría de los usuarios.

5 % en un exchange. Solo los fondos con los que estás operando activamente en este momento. Capital líquido para operaciones.

25 % en una billetera caliente (MetaMask, Trust Wallet, Phantom). Para DeFi, staking y transacciones cotidianas. Montos cuya pérdida podrías asumir.

70 % en una billetera hardware o en multisig. Ahorros a largo plazo. Lo que no planeas tocar durante meses o años.

Para montos grandes (más de $100.000) recomiendo una configuración multisig: 2 de 3 o 3 de 5 claves, distribuidas entre distintos dispositivos y ubicaciones físicas. Esto protege incluso ante el robo de un solo dispositivo.

Top 20 reglas de seguridad: checklist maestro

Parte VII. Cómo evaluar la seguridad de un proyecto crypto: checklist para el inversor

Alexander Mercer: ¿Cómo puede un usuario común determinar si vale la pena confiar sus fondos a un proyecto o exchange en particular?

Robert Stanley: Excelente pregunta. He desarrollado un sistema de evaluación que uso yo mismo y que recomiendo a mis clientes.

Auditoría de smart contracts

¿Se realizó una auditoría? ¿Por quién? (CertiK, Trail of Bits, OpenZeppelin, Halborn son auditores reconocidos.) ¿Cuántas auditorías? Una es lo mínimo. Dos o tres de distintos auditores es lo ideal. ¿Se encontraron vulnerabilidades críticas? ¿Cómo se corrigieron? ¿Es público el informe? Si dicen haber "superado" la auditoría pero el informe no es público, es una señal de alerta.

Programa de bug bounty

¿Tiene el proyecto un programa de recompensas por vulnerabilidades encontradas? Las plataformas Immunefi, HackerOne y Code4rena son los canales estándar. Adecuación de las recompensas: si un proyecto gestiona cientos de millones y la bounty máxima es de $10.000, no es serio. Los mejores proyectos ofrecen bounties de hasta el 10 % del daño máximo posible.

Gestión de claves

Multisig: ¿cuántas firmas se requieren? 3 de 5 es el estándar. 1 de 1 es una señal de alerta. Timelock: ¿existe un período de espera para cambiar parámetros críticos del contrato? Esto da a los usuarios tiempo para reaccionar ante acciones sospechosas. Un equipo anónimo con control total sobre los fondos es la señal de alerta máxima.

Proof of Reserves

Para exchanges: ¿publican informes periódicos de Proof of Reserves? ¿Utilizan Merkle Tree para la prueba? ¿El auditor es independiente? Tras el colapso de FTX, esto se ha convertido en un estándar obligatorio.

Transparencia en la comunicación

¿Cómo ha respondido el proyecto ante incidentes pasados? ¿Hubo un post-mortem público? ¿Se compensó a los afectados? La transparencia es el mejor indicador del nivel de compromiso con la seguridad.

Parte VIII. El futuro de la seguridad crypto: qué cambiará entre 2026 y 2030

Alexander Mercer: ¿Hacia dónde se dirige la industria? ¿Se volverá más segura?

Robert Stanley: Veo varias tendencias clave.

IA en ciberseguridad y forense

La IA ya es utilizada por ambas partes. Los atacantes la emplean para generar mensajes de phishing, crear deepfakes y automatizar la búsqueda de vulnerabilidades. Los defensores la usan para analizar patrones de transacciones, realizar monitoreo predictivo y clasificar amenazas automáticamente. Chainalysis adquirió Hexagate, una empresa que usa IA para detectar y prevenir ataques en tiempo real. Este es el futuro: IA que detiene un ataque antes de que ocurra.

Account abstraction y el fin de las seed phrases

La tecnología account abstraction (EIP-4337) permite crear "cuentas inteligentes" con una lógica de seguridad flexible: recuperación social (los amigos confirman el acceso), límites en las transacciones y autenticación multifactor directamente a nivel de blockchain. Tangem ya ofrece billeteras sin seed phrase. ZenGo utiliza MPC. El objetivo es eliminar el único punto de fallo (una sola frase que puede ser robada).

Regulación y compliance

MiCA en Europa, marcos regulatorios en los Emiratos Árabes Unidos, Singapur y Japón. Los exchanges están obligados a implementar procedimientos AML/KYC cada vez más estrictos. Esto complica la vida de los delincuentes en la fase de conversión a moneda fiat. Rusia está preparando sus propias regulaciones para julio de 2026. La tendencia es clara: cada vez más "puntos de salida" están bajo control.

La amenaza cuántica: ¿qué nos espera?

Los ordenadores cuánticos podrían, en teoría, romper la criptografía sobre la que se construyen Bitcoin y Ethereum. Pero en la práctica, esta amenaza se sitúa en un horizonte de 10 a 15 años. Trezor Safe 7 ya se posiciona como "quantum-ready". La industria se está preparando: la transición a la criptografía poscuántica es una cuestión de tiempo, aunque no de urgencia inmediata.

Descentralización de claves

MPC (Multi-Party Computation), SSS (Shamir Secret Sharing), generación distribuida de claves. Estas tecnologías distribuyen el control sobre una clave entre varios participantes o dispositivos, eliminando el único punto de compromiso. Cypherock X1 ya utiliza Shamir para distribuir la clave en tarjetas físicas. Esta área seguirá creciendo.

Parte IX. La psicología del crimen cripto: por qué la gente cae en la trampa

Alexander Mercer: El último tema que quería abordar es el factor humano. ¿Por qué incluso personas experimentadas se convierten en víctimas?

Robert Stanley: Porque los criminales no explotan vulnerabilidades técnicas, sino psicológicas. Y lo hacen de manera profesional.

FOMO (miedo a perderse una oportunidad)

«Este token subió un 1000 % y ¿todavía no lo compraste?» — es el motor más poderoso de las decisiones impulsivas en el mundo cripto. El FOMO lleva a las personas a invertir en proyectos no verificados, conectarse a contratos dudosos e ignorar las señales de alerta. Los criminales crean FOMO artificial de forma deliberada: «quedan solo 5 lugares», «el precio subirá en una hora», «acceso exclusivo solo por este enlace».

Confianza en las autoridades

«Elon Musk lo recomendó», «este influencer ganó un millón» — falsos referentes y recomendaciones fraudulentas. Los deepfakes hacen esto aún más convincente. Hemos visto videos donde «Vitalik Buterin» recomendaba un token específico. El video fue generado completamente por IA.

Sobrecarga cognitiva

Las interfaces DeFi son complejas. Las transacciones parecen un conjunto de caracteres hexadecimales. A las personas se les pide que firmen algo que no pueden leer, y «no hay tiempo» para entenderlo. Los criminales aprovechan esta sobrecarga: cuantos más pasos haya y más complejo sea el proceso, más probable es que la víctima haga clic en «confirmar» sin pensarlo.

La otra cara de la descentralización: «no hay botón de cancelar»

En las finanzas tradicionales, un banco puede revertir una transacción fraudulenta. En cripto, no. Eso es libertad, pero también responsabilidad. Muchas personas entran al mundo cripto con una mentalidad bancaria: «si algo sale mal, lo cancelarán». No lo cancelarán. Y esto hay que entenderlo de antemano.

Parte X. Análisis de los mayores hackeos: lecciones que valen miles de millones

Alexander Mercer: Robert, analicemos casos concretos: los hackeos más grandes y significativos de los últimos años. ¿Qué lecciones ha extraído la industria?

Robert Stanley: Cada gran hackeo es un manual de ciberseguridad. Analicemos seis casos clave.

Caso 1: Bybit — 1.500 millones de dólares (febrero de 2025)

El mayor robo en la historia de la industria cripto. El exchange de Dubái Bybit perdió aproximadamente 1.500 millones de dólares en Ethereum. El FBI y varias empresas de análisis blockchain atribuyeron el ataque al grupo norcoreano Lazarus.

Vector de ataque: compromiso del proceso de firma de transacciones multisig. Los firmantes de la billetera multisig de Bybit aprobaron una transacción sin verificar su contenido en las pantallas de sus billeteras de hardware. En esencia, firmaron una transacción maliciosa creyendo que estaban autorizando una transferencia rutinaria.

Qué salió mal: verificación insuficiente. Si cada firmante hubiera comprobado exactamente qué estaba firmando — la dirección del destinatario, el monto, los calldata — el ataque se habría evitado. El problema es que muchas billeteras de hardware muestran las transacciones en formato crudo: una cadena de caracteres hexadecimales que una persona no puede interpretar.

Lección: el multisig es una condición necesaria, pero no suficiente, para la seguridad. Sin una cultura de verificación de cada transacción, se convierte en una mera formalidad. Tras el caso Bybit, la industria debate activamente sobre estándares de verificación de transacciones «legibles por humanos» y la mejora de las interfaces de las billeteras de hardware.

Respuesta: Bybit lanzó un programa de recompensas por información sobre el movimiento de los fondos robados. Una parte de los fondos pudo rastrearse y congelarse en diversas plataformas. Sin embargo, la mayor parte fue distribuida rápidamente a través de puentes y mezcladores, utilizando cadenas complejas características de las tácticas de Corea del Norte.

Caso 2: DMM Bitcoin — 305 millones de dólares (mayo de 2024)

El exchange japonés perdió 4.502 BTC. El ataque también se atribuye al grupo Lazarus.

Vector: compromiso de claves privadas. Al parecer, los atacantes obtuvieron acceso mediante ingeniería social: uno de los empleados fue comprometido. Especialistas en TI norcoreanos utilizaron perfiles falsos de LinkedIn para establecer contacto.

Las consecuencias fueron catastróficas: DMM Bitcoin no pudo recuperarse del golpe y tomó la decisión de cerrar el exchange en diciembre de 2024. Los activos y las cuentas de los clientes fueron transferidos a SBI VC Trade, una empresa subsidiaria del conglomerado financiero japonés SBI Group.

Lección: incluso un exchange regulado en un país con una de las regulaciones cripto más estrictas del mundo (Japón) puede caer víctima de la ingeniería social. La protección técnica es ineficaz si un empleado se convierte en el eslabón débil.

Caso 3: WazirX — 234,9 millones de dólares (julio de 2024)

El mayor exchange de India perdió fondos después de que los hackers engañaron a los firmantes autorizados para que aprobaran una transacción maliciosa. El ataque eludió el sistema de seguridad multicapa porque estaba dirigido a las personas, no al código.

Lo particular de este caso: los atacantes estudiaron durante mucho tiempo los procedimientos de firma del exchange, identificaron los puntos débiles en el eslabón humano y golpearon en el momento en que la vigilancia estaba reducida. Esto demuestra el nivel de preparación de los grupos de hackers estatales: estudian a su víctima durante meses antes de atacar.

Caso 4: Ronin Network — 624 millones de dólares (marzo de 2022)

El puente Ronin Network, que da servicio al juego Axie Infinity, perdió 173.600 ETH y 25,5 millones de USDC. El ataque no fue detectado hasta seis días después de producirse.

Vector: compromiso de 5 de los 9 validadores mediante ingeniería social. Cuatro claves fueron obtenidas a través de un empleado de Sky Mavis comprometido. La quinta, a través de una organización externa, Axie DAO, que aún tenía autorización de firma aunque ya no participaba en el proceso.

Lección clave: higiene de accesos. Las autorizaciones obsoletas son un asesino silencioso de la seguridad. Si una organización ya no participa en la firma, su clave debe revocarse de inmediato. Además: 5 de 9 es un umbral demasiado bajo para 624 millones de dólares. Y tardar seis días en detectarlo representa un fracaso del monitoreo.

Caso 5: FTX — 8.700 millones de dólares (noviembre de 2022)

Formalmente, FTX no fue un «hackeo». Fue un fraude, el mayor en la historia del cripto. El fundador Sam Bankman-Fried utilizó los fondos de los clientes para operar a través del fondo afiliado Alameda Research. Cuando esto salió a la luz, el exchange colapsó en cuestión de días.

Pero además del fraude, en el momento de la quiebra también se produjo un robo: aproximadamente 477 millones de dólares fueron retirados de las billeteras de FTX por personas desconocidas. La investigación continúa.

Lecciones de FTX: no guardes todos tus fondos en un solo exchange. La Prueba de Reservas es un estándar obligatorio. La regulación y la transparencia no son enemigas de la innovación, sino condiciones para la supervivencia. Un líder carismático y unas oficinas elegantes no son garantía de fiabilidad.

Caso 6: Poly Network — 611 millones de dólares (agosto de 2021)

Un caso único: el hacker explotó una vulnerabilidad en la lógica de verificación cross-chain y retiró 611 millones de dólares. Pero luego... devolvió casi todo. Afirmó que el ataque fue «por diversión» y para demostrar la vulnerabilidad. Poly Network le ofreció el cargo de «asesor jefe de seguridad».

Este caso dio origen al concepto de «white hat hacking» en el mundo cripto y a la práctica de las negociaciones de bounty. Hoy en día, muchos proyectos incluyen en sus contratos un «safe harbor» — un marco legal que permite a los hackers devolver los fondos a cambio de una recompensa e inmunidad frente a procesamiento judicial.

Parte XI. Seguridad en DeFi: cómo usar las finanzas descentralizadas sin perderlo todo

Alexander Mercer: DeFi es una de las partes más innovadoras y, al mismo tiempo, más peligrosas del mundo cripto. ¿Cómo usar DeFi de forma segura?

Robert Stanley: DeFi ofrece posibilidades increíbles: préstamos descentralizados, intercambios, staking, yield farming. Pero es precisamente en DeFi donde el usuario es más vulnerable, porque no hay «servicio de atención al cliente» ni «botón de cancelar». Veamos las reglas concretas.

Regla 1: Siempre verifica lo que estás firmando

Cada interacción con un protocolo DeFi implica firmar una transacción de contrato inteligente. Antes de firmar, debes entender: con qué contrato estás interactuando (¿la dirección es conocida y está verificada?), qué función estás invocando y qué permisos (approvals) estás otorgando.

Utiliza herramientas que «traduzcan» las transacciones a un lenguaje comprensible: Fire Extension, Pocket Universe, Blowfish. Estas extensiones de navegador te muestran qué ocurrirá realmente si firmas una transacción, antes de que pulses «Confirm».

Regla 2: Revisa y revoca los approvals con regularidad

Cuando usas un DEX (Uniswap, PancakeSwap), le das al contrato permiso (approval) para gastar tus tokens. Con frecuencia, esto es un «unlimited approval» — un permiso ilimitado. Si el contrato se ve comprometido después de tu aprobación, el hacker tendrá acceso a todos los tokens aprobados.

Solución: utiliza el servicio revoke.cash para revisar y revocar periódicamente los approvals innecesarios. Hazlo al menos una vez al mes. Y mejor aún: cada vez que otorgues un approval, especifica una cantidad concreta en lugar de ilimitada.

Regla 3: No persigas rendimientos anómalos

Si un protocolo promete un 100 % de APY cuando el mercado promedio ofrece entre un 5 y un 15 %, pregúntate: ¿de dónde viene el dinero? En el 90 % de los casos, la respuesta es: de los bolsillos de nuevos inversores (Ponzi) o de riesgos que no ves (impermanent loss, smart contract risk, rug pull).

Regla: si el rendimiento parece demasiado bueno para ser verdad, es porque lo es. Un rendimiento sostenible en DeFi en 2026 es del 3 al 15 % anual para stablecoins y del 5 al 20 % para activos volátiles.

Regla 4: Usa transacciones de prueba

Antes de enviar una cantidad grande, envía siempre primero una transacción «de prueba» mínima. Cuesta apenas unos céntimos en comisiones, pero puede salvarte miles de dólares. Asegúrate de que los fondos llegaron a la dirección correcta y de que el contrato funciona como se espera.

Regla 5: Separa tu billetera DeFi «caliente» de la «fría»

No uses la misma billetera para almacenar fondos y para interactuar con DeFi. Crea una billetera «de trabajo» separada, a la que solo transfieras la cantidad que estés dispuesto a usar en DeFi. Si esa billetera se ve comprometida por un contrato malicioso, tus fondos principales permanecerán seguros.

Regla 6: Verifica el contrato antes de interactuar

Comprobaciones mínimas: ¿está el contrato verificado en Etherscan/BSCScan? ¿Existe una auditoría? ¿Cuándo fue desplegado el contrato? (los contratos nuevos conllevan mayor riesgo). ¿Cuál es el TVL (Total Value Locked)? Un TVL bajo = riesgo alto. ¿Quién está detrás del proyecto: un equipo público o anónimos?

Usa los servicios DeFi Safety, DefiLlama y DappRadar para verificar los protocolos antes de invertir. Token Sniffer y GoPlusLabs para comprobar si los tokens son honeypots o tienen funciones ocultas.

Regla 7: Ten cuidado con los puentes

Los puentes cross-chain son una de las categorías de infraestructura más vulnerables. De los cinco mayores robos en la historia del cripto, tres fueron ataques a puentes (Ronin, Wormhole, Nomad). Si necesitas transferir fondos entre redes, usa puentes de confianza con buena reputación y auditorías. Divide las transferencias grandes en varias partes. Y recuerda: cada puente añade riesgo de contrato.

Parte XII. El panorama regulatorio: cómo la legislación ayuda y obstaculiza la lucha contra el crimen cripto

Alexander Mercer: ¿Cómo afecta la regulación a la lucha contra el crimen cripto? ¿Ayuda o perjudica?

Robert Stanley: Es una pregunta compleja, porque la respuesta es «ambas cosas», dependiendo de la jurisdicción concreta y de la medida regulatoria específica.

Cómo ayuda la regulación

El KYC/AML en los exchanges es una herramienta fundamental. Cuando los fondos robados llegan a un exchange con KYC obligatorio, pueden congelarse e identificarse al destinatario. Es precisamente por eso que los criminales se esfuerzan tanto en evitar las plataformas reguladas.

Las listas de sanciones (OFAC) — añadir mezcladores como Tornado Cash a las listas de sanciones crea una barrera legal para su uso. Los fondos que han pasado por direcciones sancionadas son marcados automáticamente por los sistemas de cumplimiento de los exchanges.

La cooperación internacional — Europol, Interpol y el FBI colaboran cada vez más activamente en la investigación de crímenes cripto. En 2025, el DOJ confiscó más de 15.000 millones de dólares en la mayor operación contra una red de pig butchering.

Los estándares de seguridad obligatorios — los exchanges con licencia deben implementar Prueba de Reservas, fondos de seguro para usuarios y procedimientos de respuesta a incidentes.

Cómo obstaculiza la regulación

La fragmentación jurisdiccional — el criminal roba en un país, lava en otro y convierte a efectivo en un tercero. La coordinación entre las autoridades de diferentes países lleva semanas o meses, mientras el dinero se mueve en segundos.

Una regulación excesiva empuja a los usuarios hacia la «zona gris». Si los exchanges legítimos se vuelven demasiado complicados de usar, la gente migra a plataformas no reguladas donde su protección es mínima.

La incapacidad del sistema legal tradicional para operar a la velocidad del cripto. Obtener una orden de congelamiento puede llevar días. En ese tiempo, los fondos habrán pasado por diez puentes y tres mezcladores.

Principales iniciativas regulatorias 2025–2026

Parte XIII. Herencia cripto y acceso de emergencia: qué pasará con tus criptoactivos si algo te ocurre

Alexander Mercer: Un tema sobre el que casi nadie reflexiona: ¿qué pasará con tus criptoactivos si de repente no puedes administrarlos?

Robert Stanley: Es uno de los problemas de seguridad más subestimados. Según diversas estimaciones, entre 3 y 4 millones de bitcoins se han perdido para siempre debido a claves extraviadas. Eso representa aproximadamente el 20 % de toda la oferta de BTC. Y una parte significativa de esas pérdidas corresponde a casos en los que el propietario falleció o quedó incapacitado, y los herederos no sabían cómo obtener acceso.

El problema de la herencia cripto

En las finanzas tradicionales, una cuenta bancaria pasa a los herederos a través de un notario. El cripto funciona de manera diferente: no existe un organismo centralizado que «transfiera» el acceso. Si tu seed phrase está guardada solo en tu memoria (o en una caja fuerte que nadie conoce), tus activos se perderán para siempre.

Soluciones

Primera. Documenta. Crea instrucciones detalladas: qué billeteras tienes, en qué exchanges tienes cuentas, dónde están guardadas las seed phrases. Guarda estas instrucciones en un sobre sellado con un notario, en una caja de seguridad bancaria o con una persona de confianza.

Segunda. Shamir Secret Sharing. Divide la seed phrase en varias partes (por ejemplo, 3 de 5) y entrega las partes a diferentes personas de confianza. Ninguna de ellas tiene acceso completo, pero juntas, cualquier combinación de 3 de las 5 puede recuperar la billetera. Cypherock X1 implementa esta función a nivel de hardware.

Tercera. Usa servicios con mecanismo de herencia. Casa Wallet ofrece una función de «acceso hereditario»: si no accedes a tu billetera durante un tiempo determinado, se activa un procedimiento de transferencia de acceso al heredero designado, a través de varias etapas de verificación.

Cuarta. Recuperación social mediante contrato inteligente. Algunas soluciones de billetera permiten designar «guardians» — personas de confianza que, de forma colectiva, pueden recuperar el acceso a tu cuenta. Esto está implementado en varias billeteras basadas en account abstraction.

Quinta. Multisig con acceso distribuido. Crea un multisig 2 de 3, donde una clave es tuya, la segunda de tu cónyuge o pareja y la tercera de un abogado. Tú administras la billetera con las dos primeras claves, y en una situación de emergencia, tu cónyuge y el abogado pueden obtener acceso juntos.

Parte XIV. Preguntas frecuentes: respuestas expertas a las principales dudas de los lectores

¿Se puede robar Bitcoin hackeando el blockchain?

Robert Stanley: No. El blockchain de Bitcoin no ha sido hackeado ni una sola vez en más de 16 años de existencia. Todos los robos de Bitcoin son robos de claves, no vulneraciones del protocolo. El blockchain es una fortaleza inexpugnable. Las claves son el cerrojo de la puerta de tu casa: se pueden forzar, robar o conseguir engañándote para que las entregues.

¿Qué es más seguro, Ledger o Trezor?

Robert Stanley: Ambos son excelentes opciones, y ambos son significativamente más seguros que guardar fondos en un exchange o en una billetera caliente. La diferencia clave: Trezor es open-source (el código está abierto a verificación independiente). Ledger es closed-source (el código es cerrado), pero utiliza chips de seguridad certificados. Para la mayoría de los usuarios, ambas opciones son más que suficientes. Elige según la comodidad, el precio y la compatibilidad con las monedas que necesitas.

¿Es verdad que Monero es imposible de rastrear?

Robert Stanley: Monero es significativamente más difícil de rastrear que Bitcoin o Ethereum, gracias a las ring signatures, las stealth addresses y las confidential transactions. Pero «imposible» es una afirmación demasiado categórica. Los puntos de entrada y salida (el intercambio por otras divisas) crean vulnerabilidades. Los investigadores trabajan en métodos de desanonimización estadística. En la práctica, Monero es un obstáculo serio para las investigaciones, pero no insuperable, especialmente cuando el usuario comete errores.

¿Necesito una billetera de hardware si solo tengo 500 $ en cripto?

Robert Stanley: No es imprescindible, pero sí recomendable. Tangem cuesta 55 $, que es el 11 % de tus 500 $. Si planeas aumentar tu cartera, tiene sentido empezar con buenos hábitos desde el principio. Si 500 $ es tu máximo y no planeas crecer, puedes arreglártelas con una buena billetera caliente (MetaMask, Trust Wallet) con una contraseña sólida y 2FA.

¿Qué hago si firmé una transacción maliciosa?

Robert Stanley: De inmediato: revisa qué approvals otorgaste mediante revoke.cash y revócalos. Transfiere todos los fondos restantes a una billetera nueva y limpia. Si los fondos ya han sido sustraídos, actúa siguiendo el protocolo: registra los hashes, contacta a los exchanges, a peritos forenses y a la policía.

¿Cómo verificar que el sitio de un protocolo DeFi es auténtico y no es phishing?

Robert Stanley: Varias comprobaciones: usa marcadores para los sitios que visitas con frecuencia (no los busques en Google cada vez — los anuncios pueden contener enlaces de phishing). Verifica el certificado SSL. Compara la URL carácter por carácter. Usa extensiones como MetaMask Snaps o Pocket Universe, que advierten sobre sitios sospechosos. Si tienes dudas, verifica el enlace en el Discord o Twitter oficial del proyecto.

¿Se pueden asegurar los criptoactivos?

Robert Stanley: Sí, es un sector en desarrollo. Los protocolos de seguro descentralizados (Nexus Mutual, InsurAce, Unslashed) ofrecen cobertura frente a riesgos de hackeo de contratos inteligentes. El coste suele ser del 2 al 10 % del monto asegurado al año. Opciones centralizadas: el fondo SAFU de Binance, los seguros de algunos custodios. Los actores institucionales utilizan seguros tradicionales a través de Lloyd's of London y aseguradoras especializadas.

¿Cómo saber si un token es una estafa (honeypot)?

Robert Stanley: Verifica el contrato del token a través de Token Sniffer o GoPlusLabs. Señales de alerta: imposibilidad de vender el token, funciones ocultas de mint (creación de nuevos tokens de la nada), alto impuesto oculto sobre la venta (hidden tax), liquidez no bloqueada (LP unlocked), equipo anónimo sin historial. Si al menos dos de estas señales están presentes, mantente alejado.

Me ofrecen «rentabilidad garantizada» en cripto. ¿Es una estafa?

Robert Stanley: En el 99 % de los casos, sí. En cripto no existe la rentabilidad «garantizada». Incluso el staking de ETH, que se acerca más a una «tasa libre de riesgo», conlleva riesgos de slashing y volatilidad del activo subyacente. Cualquiera que prometa «un 50 % garantizado al mes» es un estafador. Sin excepciones.

¿Qué es un «drainer» y cómo protegerse de él?

Robert Stanley: Un drainer es un contrato inteligente malicioso que, al conectar la billetera y firmar una transacción, extrae automáticamente todos los tokens y NFT. Los drainers se distribuyen a través de sitios de phishing, airdrops falsos y servidores de Discord infectados. Protección: no conectes tu billetera a sitios desconocidos, usa una billetera «vacía» para interactuar con nuevos servicios y utiliza extensiones de protección (Pocket Universe, Wallet Guard).

¿Cómo funciona el lavado de criptomonedas robadas?

Robert Stanley: El esquema típico: tras el robo, los fondos se fragmentan de inmediato en decenas o cientos de direcciones. Luego, una parte pasa por mezcladores (Tornado Cash, ChipMixer). Otra parte se convierte a través de DEX en otros tokens. Otra se transfiere mediante puentes a otras blockchains. Las sumas finales llegan a un CEX o escritorio OTC para ser cambiadas a dinero fiduciario. Según datos de TRM Labs, los hackers norcoreanos utilizan principalmente servicios en chino para el lavado, con un ciclo típico de unos 45 días desde el robo hasta la conversión a efectivo.

Conclusión: conclusiones clave y recomendaciones

Alexander Mercer: Robert, hagamos un balance. ¿Cuál es el mensaje más importante que debe llevarse nuestro lector?

Robert Stanley: Diez conclusiones clave de nuestra conversación.

Primera. El cripto deja rastros. El blockchain es un libro de contabilidad público. «Desaparecer» con fondos robados es extremadamente difícil. El chain forensics es una industria real que atrapa a los criminales.

Segunda. La escala de las amenazas crece. Se robaron 3.400 millones de dólares en 2025. Hackers estatales, grupos profesionales, estafas industrializadas: esto no es obra de un «hacker solitario».

Tercera. El principal vector de ataque no es el código, sino las claves. El 70 % de los robos está relacionado con el compromiso de claves privadas y seed phrases. Proteger las claves es la prioridad número uno.

Cuarta. Una billetera de hardware es una necesidad, no una opción. Si tienes más de 1.000 $ en cripto, compra una billetera de hardware. Son los mejores 79 $ que gastarás.

Quinta. No firmes lo que no entiendes. Cada transacción firmada es un vector de ataque potencial. Si no estás seguro, no firmes.

Sexta. La velocidad de reacción lo decide todo. En caso de robo, la primera hora es crítica. Ten un plan de acción preparado con antelación.

Séptima. Diversifica el almacenamiento. La regla 5/25/70: 5 % en el exchange, 25 % en billetera caliente, 70 % en hardware o multisig.

Octava. La seed phrase, en metal, nunca en la nube. Jamás guardes una copia digital de tu seed phrase. Grábala en una placa metálica y guárdala en varias ubicaciones físicas distintas.

Novena. Verifica los proyectos antes de invertir. Auditorías, bug bounty, multisig, timelock, Prueba de Reservas: el conjunto mínimo para un proyecto «de confianza».

Décima. La educación es la mejor protección. Cuanto más sepas sobre los mecanismos de ataque, menos posibilidades tendrás de convertirte en víctima. Por eso dedicamos cuatro horas a esta entrevista: para que estés armado con conocimiento.

Epílogo de la redacción

Nuestra conversación con Robert Stanley duró más de cuatro horas, y cada minuto estuvo lleno de conocimientos prácticos. Deliberadamente hemos hecho este material lo más detallado posible, porque en materia de seguridad de criptoactivos, la superficialidad puede costar dinero real.

La idea central que atraviesa toda la entrevista es que las criptomonedas representan a la vez una libertad extraordinaria y una responsabilidad extraordinaria. Aquí no hay un banco que "lo arregle todo". Aquí usted es su propio banco, su propio servicio de seguridad y su propio auditor. Y cuanto antes lo acepte, mejor protegidos estarán sus activos.

Para profundizar en el tema, recomendamos: el informe de Chainalysis «Crypto Crime 2025/2026», el blog de TRM Labs sobre crypto forensics, la plataforma Immunefi para explorar bug bounty, el sitio revoke.cash para verificar y revocar token approvals, y los materiales educativos de Binance Academy y Ledger Academy.

Puede seguir los análisis de Alexander Mercer y los contenidos especializados sobre ciberseguridad de criptoactivos en el portal iTrusty.io.