Visión general

Con el rápido desarrollo de la criptomoneda y la tecnología blockchain, los NFT (tokens no fungibles), como activos digitales únicos, han atraído a una gran cantidad de inversores y coleccionistas. Sin embargo, junto al mercado en auge yace un conjunto creciente de riesgos.

¿Alguna vez has notado NFT u otros activos inesperados que aparecen repentinamente en tu billetera? Estos artículos digitales aparentemente inofensivos pueden representar serias amenazas de seguridad, incluso llegando a una pérdida completa de fondos. Este artículo revelará los peligros ocultos detrás de estos escenarios y ofrecerá consejos prácticos de seguridad para ayudarte a proteger tus activos digitales de manera más efectiva.

Actualmente, el valor de mercado total de las criptomonedas y NFT ha superado los $3 billones, con más de 300 millones de participantes en todo el mundo. Sin embargo, a medida que el mercado florece, también se ha convertido en un objetivo principal para hackers y estafadores. Según datos de Comparitech (a partir del 13 de marzo de 2025), las estafas relacionadas con cripto y NFT ya han provocado pérdidas por un total de $27 mil millones, y la cifra sigue aumentando.

Fuente: https://www.comparitech.com/crypto/cryptocurrency-scams/(13 de marzo de 2025)

Por qué los titulares de NFT son objetivos principales para los hackers

1. El Encanto de Activos de Alto Valor

Los NFT a menudo tienen un valor significativo, especialmente aquellos de colecciones raras o de moda como Bored Ape Yacht Club o CryptoPunks, donde una sola pieza puede valer cientos de miles o incluso millones de dólares.

Estos activos digitales de alto valor actúan como "minas de oro" en el mundo virtual, atrayendo naturalmente la atención de los piratas informáticos. En comparación con los activos financieros tradicionales, las transacciones de NFT son más rápidas y difíciles de rastrear. Una vez robados, los piratas informáticos pueden cobrar rápidamente los activos.

Fuente: https://opensea.io/collection/boredapeyachtclub

2. Anonimato e Irreversibilidad de la Blockchain

La naturaleza anónima de la cadena de bloques proporciona privacidad a los usuarios, pero también crea un refugio para los piratas informáticos. Una vez que se roba un NFT o un token, el ladrón puede transferirlo rápidamente a otras billeteras o lavarlo utilizando mezcladores como Tornado Cash.

Debido a que las transacciones de blockchain son irreversibles, las víctimas tienen poco o ninguna posibilidad de recuperación a menos que el hacker devuelva voluntariamente el activo o sea capturado por las fuerzas del orden. Esto hace que atacar a los titulares de NFT sea una estrategia de bajo riesgo y alta recompensa para los ciberdelincuentes.

3. Baja conciencia de seguridad en general entre los usuarios

Muchos usuarios de NFT son recién llegados a la tecnología blockchain y cripto, careciendo de una conciencia adecuada de seguridad. Puede que no entiendan completamente la importancia de las claves privadas o frases de semilla, o sepan cómo reconocer sitios de phishing y contratos maliciosos.

Por ejemplo, algunos usuarios hacen clic en enlaces sospechosos sin dudarlo o almacenan sus claves privadas en lugares inseguros como notas en el teléfono o servicios en la nube, todo lo cual abre la puerta a los hackers.

4. Un Ecosistema Complejo Aumenta la Exposición

El ecosistema NFT abarca billeteras, plataformas de trading (como OpenSea), contratos inteligentes y redes sociales (como Discord y Twitter). Cada componente es un vector de ataque potencial.

5. Comunidades altamente activas y rápida difusión de información

Los usuarios de NFT suelen ser activos en plataformas como Twitter y Discord, compartiendo con frecuencia sus colecciones, registros de intercambio o participando en eventos. Este tipo de visibilidad pública los convierte en objetivos fáciles. Por ejemplo, alguien que presume de un NFT de un millón de dólares en Twitter podría atraer inmediatamente a hackers que luego envían enlaces de phishing o se hacen pasar por agentes de soporte falsos.

6. Altas barreras técnicas que invitan a cometer errores

Interactuar con NFTs requiere un cierto nivel de conocimientos técnicos, como el uso de MetaMask, la comprensión de las tarifas de gas y la firma de contratos inteligentes. Para los usuarios que no están familiarizados con estos procesos, es fácil cometer errores críticos. Algunos podrían otorgar permisos involuntariamente a contratos maliciosos u operar en entornos de red no seguros, lo que podría llevar a robos.

7. Bajo Costo, Alta Recompensa para Hackers

En comparación con los ciberataques tradicionales como vulnerar sistemas bancarios, atacar a los usuarios de NFT es relativamente de bajo costo. Un hacker podría solo necesitar configurar un sitio web falso, enviar un correo electrónico de phishing o dispersar enlaces maliciosos en las redes sociales, y así podría obtener acceso a billeteras valiosas. Una vez exitoso, las recompensas pueden ser de miles a millones de dólares. Esta configuración de alto rendimiento y bajo riesgo convierte a los usuarios de NFT en un objetivo principal.

Métodos comunes de robo de NFT

Contratos inteligentes maliciosos

Los NFT suelen estar vinculados a contratos inteligentes, que regulan la propiedad, transferencias y diversas interacciones. Los usuarios a menudo reciben NFT de fuentes desconocidas, como redes sociales, airdrops o sitios web.

Si bien el NFT en sí mismo puede parecer inofensivo, su contrato inteligente subyacente podría contener código malicioso. Los hackers pueden explotar este código para obtener permisos de billetera sin su conocimiento, lo que finalmente drenará todos los activos de su billetera.

Fuente: https://trezor.io/support/a/malicious-smart-contracts

Ataques de phishing e ingeniería social

Los hackers a menudo crean sitios web falsos, correos electrónicos o mensajes en redes sociales para engañar a los usuarios y hacer que ingresen sus claves privadas o frases semilla, o para que aprueben contratos inteligentes desconocidos. Por ejemplo, podrías recibir una falsa “Notificación de OpenSea” que te pida “verificar tu billetera”. Pero una vez que haces clic en el enlace y otorgas acceso, tus NFT y tokens pueden ser robados instantáneamente.

Además, los hackers utilizan tácticas de phishing e ingeniería social para enviar NFT maliciosos directamente a las billeteras de los usuarios. Simplemente ver o interactuar con uno de estos NFT podría permitir a los hackers aprovechar las vulnerabilidades del contrato inteligente, potencialmente obteniendo control sobre la billetera o engañando al usuario para que firme transacciones de alto riesgo. Siempre verifique la fuente de cualquier NFT, nunca interactúe con activos desconocidos o sospechosos.

En plataformas como Discord y Telegram, los hackers pueden hacerse pasar por personal de soporte, desarrolladores o miembros de la comunidad, afirmando que pueden ayudar a 'solucionar' problemas de billetera. Luego persuaden a los usuarios para que revelen sus frases semilla, robando en última instancia sus activos.

La mayoría de los principales proyectos de NFT ahora incluyen canales de “Informes de Estafa” en sus servidores. Desde julio de 2021, se han registrado más de 75,000 mensajes en estos canales en varias plataformas de NFT, con un 76% de ellos enviados solo en 2022.

Origen: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/

Los piratas informáticos también utilizan técnicas de "firma ciega" a través de eth_sign para robar activos. A diferencia de las transacciones de phishing tradicionales que muestran datos de transacción claros y generan tarifas de gas, la firma ciega solo muestra una cadena de texto oscuro, lo que la hace altamente engañosa. Una vez que el usuario firma, el pirata informático puede transferir tokens de inmediato desde la billetera.

Origen: https://support.token.im/hc/en-us/articles/18676133507993-Security-Alert-Beware-of-Eth-Sign-Blind-Signing-Scams

Proyectos falsos de NFT

Algunos hackers se hacen pasar por proyectos NFT populares para atraer a los usuarios a comprar o interactuar con plataformas falsas. Tan pronto como conectas tu billetera a uno de estos sitios web maliciosos, podría activar contratos inteligentes diseñados para robar tus activos.

Los estafadores a menudo explotan la función SetApprovalForAll() en los estándares ERC-721 y ERC-1155, engañando a las víctimas para que concedan sin saberlo el control total de sus NFT. Una vez aprobados, los hackers pueden transferir activos en cualquier momento sin necesidad de más entrada del usuario. Por lo tanto, antes de interactuar con cualquier proyecto de NFT, siempre verifique su autenticidad y use regularmente herramientas comoRevoke.cashrevisar y eliminar aprobaciones innecesarias.

Fuente: https://playtoearn.com/news/metamask-esta-probando-una-ventana-de-confirmacion-de-setapprovalforall-para-frenar-estafas-de-NFT

Código malicioso, software y robo oculto

Instalar software desconocido o extensiones del navegador (como complementos falsos de MetaMask) puede infectar su dispositivo con malware capaz de robar claves privadas o rastrear su actividad.

Además de los contratos inteligentes maliciosos, algunos NFT y activos digitales pueden contener scripts que se ejecutan al ver o interactuar. Por ejemplo, simplemente hacer clic en estos NFT puede ejecutar un código que transfiera activos a una dirección controlada por un hacker. Si bien estos scripts generalmente no comprometen directamente la seguridad del dispositivo, pueden vaciar silenciosamente tu billetera.

Estafas de paquetes NFT con falsificaciones

Los hackers a menudo crean paquetes de NFT falsos que incluyen falsificaciones de alta calidad o NFT incrustados con contratos maliciosos. Estos paquetes tientan a los usuarios con precios bajos y la promesa de ahorrar en tarifas de gas. Sin embargo, iniciar una transacción puede autorizar silenciosamente SetApprovalForAll(), dando a los hackers control total sobre la billetera del usuario.

Por ejemplo, al comprar un paquete de NFT en OpenSea, verifique siempre la fuente de cada NFT y el contrato asociado. Ese "ahorro" en la tarifa de gas podría convertirse en un error costoso.

Fuente: https://opensea.io/collection/boredapeyachtclub

Estafas de bombeo y descarga

Los estafadores inflan artificialmente los precios de los NFT al promocionar proyectos a través de las redes sociales o el respaldo de celebridades, creando una falsa sensación de demanda. Una vez que los precios alcanzan su punto máximo, los insiders venden sus tenencias, provocando un colapso del mercado y dejando a los compradores con activos devaluados.

Para evitar tales esquemas, siempre verifique la historia de transacciones de un NFT. Los NFT legítimos suelen tener una base diversificada de compradores y actividad orgánica.

Rug Pulls

En estos fraudes, los desarrolladores atraen a los usuarios para que compren NFT con grandes promesas, solo para desaparecer después de recolectar fondos. Estos a menudo involucran equipos anónimos con mapas de ruta llamativos y sin una verdadera intención de entregar.

Por ejemplo, en 2021, los creadores de Evil Ape desaparecieron después de recaudar casi $3 millones. Del mismo modo, en 2022, el proyecto de NFT Frosties defraudó a los inversores por $1.3 millones. Aunque los responsables finalmente fueron arrestados y acusados, los NFT y fondos robados nunca fueron recuperados.

Para evitar estafas, priorice proyectos con equipos transparentes, responsables y hojas de ruta realistas. Verifique que el desarrollo esté progresando según lo prometido.

Fuente: https://www.cbr.com/evolved-apes-nft-disappears-3-million/

Ofertas falsas de NFT

Los estafadores pueden hacerse pasar por plataformas legítimas y enviar correos electrónicos de phishing a los titulares de NFT, promocionando ofertas o descuentos falsos. Estos correos electrónicos conducen a sitios de phishing diseñados para robar credenciales de inicio de sesión o frases de semilla.

Para protegerte, siempre verifica la dirección de correo electrónico del remitente y navega manualmente a plataformas oficiales de Gate.io en tu navegador. Nunca hagas clic en enlaces sospechosos de correos electrónicos, incluso si parecen legítimos.

Casos de Estafa de NFT del Mundo Real

1. Interactuar con un NFT sospechoso - AJ pierde $41,300 (2021)

El 21 de septiembre de 2021, el usuario X AJ ( @babbler_dabbler) tuiteó que su billetera había sido comprometida, incluido el robo de The Currency, un NFT del renombrado artista Damien Hirst. Según AJ, su único error fue interactuar con un NFT desconocido que apareció repentinamente en su billetera. Esa acción desencadenó una violación de la billetera, lo que resultó en la pérdida de 13.75 ETH, aproximadamente $41,300.

Fuente: https://x.com/babbler_dabbler/status/1439987074594217986

2. NFT de Bored Ape de Jay Chou robado (2022)

En abril de 2022, la estrella pop taiwanesa Jay Chou reveló en las redes sociales que su NFT del Bored Ape Yacht Club había sido robado. Se estimaba que el NFT valía alrededor de $500,000. Chou afirmó que el robo ocurrió después de que hiciera clic sin saberlo en un enlace de phishing.

Es probable que los hackers hayan utilizado ingeniería social, posiblemente haciéndose pasar por fans o personal del proyecto, para enviar un enlace malicioso. Después de hacer clic en él, Chou aprobó sin saberlo un contrato inteligente malicioso, lo que permitió a los hackers transferir el NFT. El activo se revendió rápidamente varias veces, lo que dificultó enormemente su rastreo.

Origen: https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766

3. Ataque de phishing de OpenSea (2022)

A principios de 2022, los usuarios del mercado de NFT OpenSea fueron víctimas de una masiva campaña de phishing. Los hackers enviaron correos electrónicos falsos y establecieron sitios web falsificados, atrayendo a los usuarios a firmar contratos inteligentes maliciosos. En cuestión de horas, los atacantes robaron 254 NFT con un valor aproximado de 2.5 millones de dólares, incluyendo artículos de gran valor del Bored Ape Yacht Club y Decentraland.

Los hackers se hicieron pasar por OpenSea en correos electrónicos, advirtiendo a los usuarios sobre "problemas de seguridad de la cuenta" y pidiéndoles que "verifiquen" o "migren" sus NFT. Muchos usuarios no lograron verificar la legitimidad del enlace y fueron redirigidos a un sitio de phishing, donde aprobaron sin saberlo contratos maliciosos que llevaron al robo de activos.

Fuente: https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022

4. Estafa Moonbirds NFT - $1.5 millones robados (mayo de 2022)

Los hackers circularon un enlace malicioso que engañó a los usuarios para que firmaran transacciones. Esto resultó en el robo de 29 NFT Moonbirds, valorados en aproximadamente 750 ETH, alrededor de $1.5 millones en ese momento.

Fuente: https://x.com/CirrusNFT/status/1529296043547865088

5. Estafa de voz falsa de IA (2023)

A mediados de 2023, los hackers utilizaron la inteligencia artificial para imitar las voces de los ejecutivos corporativos y engañar a los miembros del equipo financiero para que transfirieran grandes sumas de dinero. Según un informe de 2023 de TRM Labs y la firma de análisis de blockchain Chainalysis, los fondos, que ascienden a varios millones de dólares, fueron blanqueados a través de mezcladores de criptomonedas.

Fuente:https://www.cnbc.com/2025/02/13/las-estafas-de-criptomonedas-prosperan-en-2024-a-remolque-de-la-carnicería-de-cerdos-y-el-informe-de-ia.html

6. Hack del protocolo de puente cruzado de Orbit Bridge - Se robaron $80 millones (31 de diciembre de 2023)

En la víspera de Año Nuevo de 2023, los hackers aprovecharon las vulnerabilidades en el puente intercadenas Orbit Bridge, robando más de $80 millones en activos de cripto (incluidos ETH y USDC). Se sospecha que la brecha se debió a una fuga de claves internas. Parte de los fondos robados fueron blanqueados a través de protocolos descentralizados.

Fuente:https://x.com/bitinning/status/1741783830372155620

7. Fuga de clave privada de Bitcoin de DMM - Robo de $300 millones (31 de mayo de 2024)

El intercambio de Bitcoin de larga data de Japón, DMM Bitcoin, sufrió una violación histórica cuando los hackers utilizaron claves privadas filtradas para transferir $300 millones de Bitcoin a más de 10 direcciones separadas. El intercambio intentó rastrear en la cadena y congelar activos, pero los atacantes utilizaron mezcladores para blanquear fondos, destacando debilidades graves en la seguridad de las claves privadas y las prácticas de custodia.

Fuente:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak

Cómo Proteger Sus Activos Digitales

En el mundo de la cadena de bloques, las amenazas de seguridad están en todas partes. Construir un sistema de defensa por capas — que consista en aislamiento físico, salvaguardias operativas y respuesta de emergencia — puede reducir significativamente el riesgo de robo de activos.

Capa 1: Aislamiento físico (Billeteras de hardware y Diversificación de activos)

1. Use billeteras de hardware (por ejemplo, Ledger, Trezor) para almacenar activos de alto valor.
2. Las billeteras de hardware están aisladas de Internet y autorizan transacciones solo cuando están físicamente conectadas y confirmadas, lo que reduce en gran medida el riesgo de piratería remota.
3. Evite almacenar grandes cantidades de criptomonedas en billeteras calientes (por ejemplo, MetaMask) durante períodos prolongados.
4. Distribuya sus activos en múltiples billeteras para evitar puntos únicos de falla.
5. Billetera separadas basadas en casos de uso (por ejemplo, billetera de trading, billetera de almacenamiento a largo plazo, billetera de uso diario).
6. Almacene activos críticos en billeteras frías (almacenamiento sin conexión) para evitar la exposición a ataques en línea.

Fuente:https://www.ledger.com/

Capa 2: Salvaguardias Operativas (Aprobaciones Cuidadosas & Verificaciones de Contratos Inteligentes)

Ten cuidado con los enlaces y evita las estafas

1. ¡Cuidado con los ataques de phishing!
   Los equipos oficiales nunca solicitarán tu clave privada o frase de semilla a través de Telegram, Discord o DM de X (Twitter). Cualquier solicitud de esta información es una estafa.

2. Verificar la autenticidad del proyecto:
   Antes de interactuar, asegúrese de verificar las redes sociales del proyecto, los anuncios oficiales y las fuentes para garantizar la legitimidad.

3. Administra cuidadosamente las aprobaciones de contratos inteligentes
   Verifique dos veces las URLs del sitio web y las direcciones del contrato antes de conectar su billetera o firmar cualquier transacción. Los sitios web falsos y los contratos maliciosos son una gran amenaza.
   Utilice herramientas como Revoke.cash o el Comprobador de Aprobación de Tokens de Etherscan para revocar rutinariamente los permisos innecesarios de contratos inteligentes, limitando el potencial para que los hackers exploten contratos preaprobados.

4. Auditorías de seguridad de contratos inteligentes
   Antes de participar en acuñaciones de NFT o proyectos DeFi, utilice herramientas de auditoría (por ejemplo, CertiK, PeckShield, SlowMist) para evaluar la seguridad del contrato inteligente. Esto ayuda a evitar la exposición a código malicioso o vulnerabilidades explotables.

Fuente: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d

Capa 3: Respuesta de emergencia (si su billetera está comprometida)

Si notas actividad sospechosa o si han sido robados activos, toma medidas inmediatas:

1. Crear una nueva billetera: Generar una nueva clave privada y almacenar la frase semilla de la nueva billetera de forma segura utilizando una billetera de hardware.
2. Revocar aprobaciones de contratos maliciosos: UsarRevoke.casho la página de aprobación de tokens de Etherscan para cancelar las autorizaciones de cualquier contrato sospechoso y evitar más pérdidas.
3. Transferir activos restantes: Mueva rápidamente cualquier saldo restante de las billeteras comprometidas a su nueva billetera segura recién creada.
4. Verifique su dispositivo en busca de malware: Ejecute un escaneo exhaustivo de virus y malware en su computadora y teléfono para asegurarse de que sus dispositivos no hayan sido infectados.
5. Habilite la autenticación de dos factores (2FA): active la 2FA para todas las cuentas relacionadas con las criptomonedas, incluidos los exchanges y los servicios de billetera, para agregar una capa adicional de seguridad.

Fuente:https://revoke.cash/

Mantente racional - evita la trampa del FOMO

No sigas ciegamente la moda: Antes de participar en cualquier proyecto, evalúa su valor a largo plazo en lugar de dejarte llevar puramente por el sentimiento del mercado.

Revisar cuidadosamente la información de firma: al firmar una transacción, siempre verifique el contenido de la firma para asegurarse de que no exponga su clave privada ni otorgue permisos maliciosos.

En el mundo de las criptomonedas, la seguridad es la prioridad principal. Dominar este sistema de defensa de tres capas mejorará significativamente la protección de sus activos y minimizará los riesgos innecesarios.

Conclusión

Los NFT y los activos digitales presentan oportunidades sin precedentes, pero también conllevan serias preocupaciones de seguridad. En este ámbito digital, salvaguardar tu billetera es tan crucial como proteger una cuenta bancaria en el mundo físico. Mientras los hackers evolucionan constantemente sus tácticas, mantenerse vigilante y comprender las prácticas de seguridad fundamentales puede reducir efectivamente los riesgos.

Los hackers apuntan principalmente a los usuarios de NFT debido al atractivo de los activos de alto valor, la irreversibilidad de las transacciones en blockchain y la débil conciencia de seguridad del usuario en general. Para contrarrestar estos riesgos, es esencial construir una base de seguridad sólida: utilizar billeteras frías, auditar regularmente los permisos y mantener sus claves privadas almacenadas de forma segura. La seguridad sigue siendo la línea de defensa más crítica en el ecosistema de NFT. Solo manteniéndose alerta puedes proteger verdaderamente tu riqueza digital.