Puntos clave:
Más de 2.400 millones de dólares fueron robados en el primer semestre de 2025, superando ya el total de 2024.
Trampas cotidianas como el phishing, las aprobaciones tóxicas y el "soporte" falso causan más daño que los exploits exóticos.
Una 2FA robusta, la firma cuidadosa, la separación de hot/cold wallets y los dispositivos limpios reducen drásticamente el riesgo.
Tener un plan de recuperación (con herramientas de revocación, contactos de soporte y portales de denuncia) puede convertir un error en un contratiempo en lugar de un desastre.
Los hacks de cripto siguen en aumento. Solo en el primer semestre de 2025, las firmas de seguridad registraron más de 2.400 millones de dólares robados en más de 300 incidentes, superando ya el total de robos de 2024.
Una brecha importante, el robo de Bybit atribuido a grupos norcoreanos, sesgó las cifras al alza, pero no debería acaparar toda la atención.
La mayoría de las pérdidas cotidianas todavía provienen de trampas sencillas: enlaces de phishing, aprobaciones maliciosas de wallet, SIM swaps y cuentas de "soporte" falsas.
La buena noticia: No tienes que ser un experto en ciberseguridad para mejorar tu seguridad. Unos pocos hábitos clave (que puedes configurar en minutos) pueden reducir drásticamente tu riesgo.
Aquí tienes siete que importan más en 2025.
1. Abandona el SMS: Usa 2FA resistente al phishing en todas partes
Si todavía dependes de los códigos SMS para asegurar tus cuentas, te estás dejando expuesto.
Los ataques de SIM-swap siguen siendo una de las formas más comunes en que los criminales vacían wallets, y los fiscales continúan incautando millones vinculados a ellos.
El movimiento más seguro es la autenticación de dos factores (2FA) resistente al phishing (piensa en claves de seguridad de hardware o passkeys de plataforma).
Comienza asegurando tus inicios de sesión más críticos: email, exchanges de criptomonedas y tu gestor de contraseñas.
Las agencias de ciberseguridad de EE. UU. como la Cybersecurity and Infrastructure Security Agency enfatizan esto porque bloquea trucos de phishing y estafas de "push-fatigue" que eluden formas más débiles de autenticación multifactor (MFA).
Combínalo con frases de contraseña largas y únicas (la longitud supera a la complejidad), almacena códigos de respaldo offline y en exchanges de criptomonedas y activa las listas de direcciones permitidas para retiros para que los fondos solo puedan moverse a direcciones que controlas.
¿Sabías que? Los ataques de phishing dirigidos a usuarios de cripto aumentaron un 40% en el primer semestre de 2025, siendo los sitios de exchanges de criptomonedas falsos un vector importante.
2. Higiene de la firma: Detén los drainers y las aprobaciones tóxicas
La mayoría de las personas no pierden fondos por exploits de vanguardia; los pierden por una sola firma maliciosa.
Los wallet drainers te engañan para que otorgues permisos ilimitados o para que apruebes transacciones engañosas. Una vez que firmas, pueden vaciar tus fondos repetidamente sin volver a preguntar.
La mejor defensa es ir despacio: Lee cada solicitud de firma cuidadosamente, especialmente cuando veas "setApprovalForAll", "Permit/Permit2" o un "approve" ilimitado.
Si estás experimentando con nuevas aplicaciones descentralizadas (DApps), usa una wallet desechable para mints o interacciones de riesgo y mantén tus activos principales en una bóveda separada. Revoca periódicamente las aprobaciones no utilizadas usando herramientas como Revoke.cash, es sencillo y vale la pena el pequeño coste de gas.
Los investigadores ya están rastreando un fuerte aumento en los robos impulsados por drainers, especialmente en dispositivos móviles. Los buenos hábitos de firma rompen esa cadena antes de que empiece.
3. Hot vs. cold: Separa tus gastos de tus ahorros
Piensa en las wallets de la misma manera que piensas en las cuentas bancarias.
Una hot wallet es tu cuenta corriente, buena para gastar e interactuar con aplicaciones.
Una wallet de hardware o multisig es tu bóveda, construida para el almacenamiento seguro a largo plazo.
Mantener tus claves privadas offline elimina casi toda la exposición a malware y sitios web maliciosos.
Para ahorros a largo plazo, anota tu frase semilla en papel o acero: Nunca la almacenes en un teléfono, ordenador o servicio en la nube.
Prueba tu configuración de recuperación con una pequeña restauración antes de transferir fondos importantes. Si tienes confianza para gestionar seguridad adicional, considera añadir una frase de paso BIP-39, pero recuerda que perderla significa perder el acceso de forma permanente.
Para saldos más grandes o tesorerías compartidas, los monederos multifirma pueden requerir firmas de dos o tres dispositivos separados antes de que se apruebe cualquier transacción, lo que hace que el robo o el acceso no autorizado sean mucho más difíciles.
¿Sabías que? En 2024, las vulneraciones de claves privadas constituyeron el 43,8% de todos los fondos de criptoactivos robados.
4. Higiene de dispositivos y navegadores
Tu configuración de dispositivo es tan importante como tu monedero.
Las actualizaciones parchean precisamente los exploits en los que confían los atacantes, así que activa las actualizaciones automáticas para tu sistema operativo, navegador y aplicaciones de monedero, y reinicia cuando sea necesario.
Mantén las extensiones del navegador al mínimo, varios robos de alto perfil han sido resultado de complementos secuestrados o maliciosos. Usar un navegador o perfil dedicado solo para cripto ayuda a evitar que las cookies, sesiones e inicios de sesión se filtren en la navegación diaria.
Los usuarios de monederos de hardware deben deshabilitar la firma ciega por defecto: Oculta los detalles de la transacción y te expone a riesgos innecesarios si te engañan.
Siempre que sea posible, realiza acciones sensibles en un escritorio limpio en lugar de un teléfono lleno de aplicaciones. Busca una configuración mínima y actualizada con la menor cantidad posible de superficies de ataque potenciales.
5. Verifica antes de enviar: Direcciones, cadenas, contratos
La forma más fácil de perder cripto es enviándola al lugar equivocado. Siempre verifica dos veces tanto la dirección del destinatario como la red antes de hacer clic en "enviar".
Para transferencias por primera vez, haz un pequeño pago de prueba (la tarifa adicional vale la pena por tu tranquilidad). Al manejar tokens o tokens no fungibles (NFTs), verifica que tienes el contrato correcto consultando el sitio oficial del proyecto, agregadores de buena reputación como CoinGecko y exploradores como Etherscan.
Busca códigos verificados o insignias de propiedad antes de interactuar con cualquier contrato. Nunca escribas una dirección de monedero manualmente, siempre cópiala y pégala, y confirma los primeros y últimos caracteres para evitar intercambios de portapapeles. Evita copiar direcciones directamente de tu historial de transacciones, ya que los ataques de dusting o entradas falsificadas pueden engañarte para que reutilices una dirección comprometida.
Ten especial precaución con los sitios web de "reclamación de airdrops", especialmente aquellos que solicitan aprobaciones inusuales o acciones entre cadenas. Si algo no te parece bien, haz una pausa y verifica el enlace a través de los canales oficiales del proyecto. Y si ya has concedido aprobaciones sospechosas, revócalas inmediatamente antes de continuar.
6. Defensa contra ingeniería social: Romance, "tareas", suplantación de identidad
Las mayores estafas cripto rara vez dependen del código, dependen de las personas.
Los esquemas de romance y pig-butchering construyen relaciones falsas y utilizan paneles de trading falsificados para mostrar ganancias inventadas, luego presionan a las víctimas para que depositen más o paguen "tarifas de liberación" ficticias.
Las estafas laborales a menudo comienzan con mensajes amigables en WhatsApp o Telegram, ofreciendo microtareas y pequeños pagos antes de convertirse en esquemas de depósito. Los suplantadores que se hacen pasar por "personal de soporte" pueden intentar compartir la pantalla contigo o engañarte para que reveles tu frase semilla.
La señal es siempre la misma: El soporte real nunca te pedirá tus claves privadas, te enviará a un sitio similar o solicitará pagos a través de cajeros automáticos de Bitcoin o tarjetas de regalo. En el momento en que detectes estas señales de alerta, corta el contacto inmediatamente.
¿Sabías que? El número de depósitos en estafas de pig butchering creció aproximadamente un 210% interanual en 2024, aunque el monto promedio por depósito disminuyó.
7. Preparación para la recuperación: Haz que los errores sean superables
Incluso las personas más cuidadosas cometen errores. La diferencia entre un desastre y una recuperación es la preparación.
Guarda una tarjeta offline “para emergencias” con tus recursos clave de recuperación: enlaces verificados de soporte de exchanges, una herramienta de revocación de confianza y portales oficiales de denuncia como la Comisión Federal de Comercio y el Centro de Quejas de Delitos en Internet del FBI (IC3).
Si algo sale mal, incluye hashes de transacción, direcciones de monedero, cantidades, marcas de tiempo y capturas de pantalla en tu informe. Los investigadores a menudo conectan múltiples casos a través de estos detalles compartidos.
Puede que no recuperes los fondos inmediatamente, pero tener un plan establecido convierte una pérdida total en un error manejable.
Si ocurre lo peor: Qué hacer a continuación
Si has hecho clic en un enlace malicioso o has enviado fondos por error, actúa rápido. Transfiere cualquier criptoactivo restante a un nuevo monedero que controles completamente, luego revoca los permisos antiguos utilizando herramientas de confianza como Etherscan’s Token Approval Checker o Revoke.cash.
Cambia tus contraseñas, cambia a una 2FA resistente al phishing, cierra la sesión en todas las demás sesiones y revisa la configuración de tu correo electrónico en busca de reglas de reenvío o filtrado que no hayas creado.
Luego, escala: Contacta a tu exchange de criptomonedas para señalar las direcciones de destino y presenta un informe ante el IC3 o tu regulador local. Incluye hashes de transacción, direcciones de monedero, marcas de tiempo y capturas de pantalla; esos detalles ayudan a los investigadores a conectar casos, incluso si la recuperación lleva tiempo.
La lección más amplia es simple: Siete hábitos (MFA robusta, firma cuidadosa, separación de monederos calientes y fríos, mantenimiento de dispositivos limpios, verificación antes de enviar, estar alerta a la ingeniería social y tener un plan de recuperación) bloquean la mayoría de las amenazas cripto diarias.
Empieza poco a poco: Actualiza tu 2FA y mejora tu higiene de firma hoy mismo, y luego construye a partir de ahí. Una pequeña preparación ahora puede evitarte pérdidas catastróficas más adelante en 2025.
Este artículo no contiene asesoramiento ni recomendaciones de inversión. Cada movimiento de inversión y trading implica riesgo, y los lectores deben realizar su propia investigación al tomar una decisión.