Estafa de envenenamiento de direcciones: cómo funciona y cómo evitarla
Imagínese enviar criptomonedas como de costumbre. Abre su billetera, revisa su historial de transacciones, copia la dirección que ha usado una docena de veces, la pega y presiona enviar. La transferencia se confirma en segundos. El único problema es que el dinero acaba de llegar a manos de un desconocido que usó potencia informática real para crear una dirección casi idéntica a la suya, y la cadena de bloques hizo exactamente lo que usted le indicó. En resumen, eso es el envenenamiento de direcciones: sin claves robadas, sin malware, solo una versión falsa de usted insertada en sus propios registros. Esta guía explica cómo funciona la estafa, las tres formas que adopta, cuánto dinero pierden realmente las personas y algunos hábitos que previenen las estafas de envenenamiento de direcciones antes de enviar fondos al lugar equivocado.
¿Qué es realmente el envenenamiento por dirección?
El envenenamiento de direcciones es un ataque de phishing dirigido a tu memoria y a tu pantalla, no a la criptografía subyacente. Tus claves privadas nunca se tocan. No se extrae, descifra ni piratea nada. En cambio, la estafa se basa en un hábito humano común: una dirección de blockchain es una larga e ilegible mezcla de letras y números (algo como 0x4a3f...c91d), y casi nadie la lee completa. Revisamos los primeros cuatro caracteres, revisamos los últimos cuatro, nos encogemos de hombros y seguimos adelante.
Esa indiferencia es la clave de la vulnerabilidad. Si creas una dirección con esos caracteres visibles y se la muestras a alguien que ya confía en ella, tienes una buena probabilidad de recibir un pago por error. Lo peor viene después. Las transferencias en la cadena de bloques son definitivas, así que no hay banco al que llamar ni cargo que revertir; en el momento en que confirmas, el dinero pertenece a otra persona. Los seguros y las devoluciones de cargo, las redes de seguridad que rescatan a la gente en las finanzas tradicionales, simplemente no existen aquí. El envenenamiento de direcciones no daña la cadena de bloques. Te distrae y luego permite que la cadena haga exactamente lo que tu atención pasó por alto.
Cómo funciona el envenenamiento de direcciones en criptomonedas
Aunque el resultado parezca mágico, el mecanismo es muy sencillo. Un ataque de envenenamiento de direcciones exitoso se ejecuta en tres pasos que cualquiera que estudie la cadena puede reproducir.
Paso 1: generar una dirección similar
Primero, el atacante elige un objetivo, generalmente una dirección que mueve dinero con frecuencia, y luego ejecuta un generador de direcciones personalizadas. El software analiza pares de claves candidatas hasta encontrar una cuya dirección comience y termine con los mismos caracteres que una dirección a la que la víctima envía dinero regularmente. Encontrar una coincidencia de unos pocos caracteres es barato, y ahí radica el problema: después de que la actualización Fusaka de Ethereum redujera las comisiones, un análisis reveló que los atacantes realizaron tres millones de transferencias insignificantes por un total aproximado de 5175 dólares. A esos precios, el envenenamiento se lleva a cabo como una fábrica, no como un robo.
Paso 2: envenenar tu historial de transacciones
A continuación, el atacante inserta una dirección falsa en tus registros, de forma que parezca una dirección con la que ya has interactuado. Podría enviarte una pequeña cantidad de un token real, provocar una transferencia sin valor o enviarte un token falso. Sea cual sea el método, el objetivo es el mismo: conseguir que la dirección falsa aparezca en tu historial junto a la real, con el mismo nombre y apellido.
Paso 3: la trampa de copiar y pegar
Entonces esperan. La próxima vez que vayas a pagar a tu destinatario habitual, optas por la comodidad y copias la dirección directamente de tu historial de transacciones recientes. Los caracteres visibles coinciden, todo parece estar bien, y envías el dinero. Si lo haces de forma automática, podrías enviar tokens accidentalmente a una dirección similar en lugar de la que pretendías. La cadena de bloques ejecuta la transferencia correctamente, pero a la persona equivocada. Por eso, el envenenamiento de direcciones a veces se denomina la trampa de copiar y pegar, y por eso funciona tanto con usuarios cuidadosos y experimentados como con principiantes. Su efectividad radica en el momento preciso: la entrada maliciosa suele insertarse minutos después de una transacción real, por lo que la dirección falsa aparece justo donde esperas encontrar la auténtica. No se trata tanto de descuido como de eficiencia, y la eficiencia es precisamente lo que busca el atacante.
Los tres tipos de envenenamiento por direcciones
Un estudio académico de Carnegie Mellon de 2025 clasificó los ataques reales en tres tipos. Estos se diferencian en cómo se introduce la dirección falsa, lo que influye en qué aspectos del historial de navegación debes desconfiar.
| Tipo | Cómo se introduce la dirección falsa | El decir |
|---|---|---|
| Transferencia diminuta (de polvo) | Una cantidad de token real pero minúscula enviada desde la dirección falsa. | Una cantidad entrante insignificante e inesperada |
| Transferencia de valor cero | Una transferencia de "0" tokens que aún registra un evento de transferencia en su historial. | Muestra tu propia dirección como remitente, valor 0 |
| Ficha falsificada | Un contrato falso que imita un token real (un USDT o USDC falsificado). | El nombre del token parece correcto, pero la dirección del contrato no. |
De las tres variantes, la transferencia de valor cero es la que más confunde a la gente, ya que puede parecer que proviene de tu propia dirección. Esto es posible porque algunos contratos de tokens permiten que cualquiera emita un evento de "Transferencia" de cero tokens sin el permiso del propietario, por lo que el atacante crea un registro que tu billetera muestra fielmente. Históricamente, BNB Smart Chain registró muchos más intentos que Ethereum debido a las comisiones más bajas, pero la reducción de comisiones de Fusaka cambió esta situación, trasladando la mayor parte de la actividad a Ethereum.
¿Cuánto dinero roba el envenenamiento de direcciones?
El envenenamiento de direcciones puede parecer un error de redondeo hasta que se analiza en profundidad. Las cifras que aparecen a continuación están desactualizadas a propósito, porque en este sector de las criptomonedas los números cambian rápidamente y los totales del año pasado subestiman gravemente el problema.
| Caso o medida | Cantidad | Cuando | Resultado |
|---|---|---|---|
| Estudio Carnegie Mellon / USENIX (ETH + BSC) | 270 millones de intentos, 83,8 millones de dólares perdidos, 17 millones de víctimas | Julio de 2022 a junio de 2024 | El estudio más grande realizado hasta la fecha |
| Ballena de Bitcoin envuelta | ~$68 millones enviados a un doble | Mayo de 2024 | Fondos devueltos; el atacante obtuvo aproximadamente 1,49 millones de dólares. |
| Víctima única del USDT | 49,9 millones de dólares | Diciembre de 2025 | Blanqueado a través de Tornado Cash |
| Pérdidas de Ethereum (ScamSniffer) | 62 millones de dólares | Diciembre de 2025 a enero de 2026 | Total de dos meses |
Un par de esos casos merecen ser analizados detenidamente. La víctima del fraude con bitcoins, que casi perdió unos 68 millones de dólares en mayo de 2024 , recuperó el dinero, ya que el atacante (tras blanquearlo y negociar) devolvió la mayor parte y se quedó con aproximadamente 1,49 millones de dólares; posteriormente, los investigadores vincularon esa única campaña con 82.031 direcciones falsificadas. Casi nadie tiene tanta suerte. La víctima del fraude con USDT de 49,9 millones de dólares en diciembre de 2025 vio cómo el dinero desaparecía directamente en Tornado Cash, sin posibilidad de devolución ni reclamación.
La tendencia es lo verdaderamente preocupante. Tras la actualización de Fusaka, que redujo las comisiones de Ethereum, los intentos mensuales de envenenamiento en la red se multiplicaron por más de cinco, y en enero de 2026 Citi señaló que el récord de Ethereum de 2,8 millones de transacciones diarias se debía principalmente al spam de envenenamiento, más que a un uso económico real. A principios de 2020, las estimaciones del sector sobre las pérdidas acumuladas habían alcanzado los quinientos millones de dólares. Lo que me inquieta no es la astucia de la estafa, sino su precio: unos pocos miles de dólares en comisiones permiten realizar millones de intentos, y el atacante solo necesita que uno de ellos tenga éxito.
Envenenamiento vs. suplantación de identidad vs. envenenamiento de IP
El término "envenenamiento" se usa a menudo para referirse a ataques muy diferentes, por lo que conviene distinguirlos. El envenenamiento de direcciones, que es el tema que nos ocupa, es la estafa con criptomonedas que inserta una dirección falsa en tu historial. La suplantación de direcciones es más amplia y suele implicar falsificar al remitente aparente de un mensaje o transacción para hacerse pasar por otra persona. Y el "envenenamiento de IP", que a veces se busca por error, se refiere a ataques de red como el envenenamiento de caché ARP o DNS, que no tienen nada que ver con las carteras de criptomonedas . El mismo verbo, tres mundos distintos.
Cómo protegerse del envenenamiento por direcciones
Casi todas las medidas de protección contra el envenenamiento de direcciones se resumen en una regla: nunca confíes en tu historial de transacciones y nunca copies direcciones directamente de él. La dirección falsa se encuentra ahí precisamente porque es donde la buscas. Si adoptas este hábito, el ataque prácticamente dejará de funcionar.
Verifique la dirección completa, nunca el nombre y el apellido.
Verifique la cadena completa, o al menos una porción considerable del medio y los extremos. El atacante puede hacer coincidir los primeros y últimos caracteres fácilmente, pero hacer coincidir una secuencia larga en el medio es mucho más difícil. La mayoría de las carteras modernas siguen el estándar de suma de verificación EIP-55, y las convenciones de visualización más recientes resaltan más la dirección, lo que facilita la detección de discrepancias.
Utiliza una libreta de direcciones, nunca copies del historial.
Guarda la dirección de cada destinatario una sola vez, tras verificarla con una fuente de confianza, y a partir de entonces, envía los pagos desde ese contacto guardado en lugar de copiar las direcciones de transacciones recientes. Las carteras como MetaMask lo llaman Contactos; el principio es el mismo en todas partes. La entrada guardada no puede ser alterada por una transferencia entrante, que es precisamente la clave.
Transacciones de prueba, pantallas de hardware y listas de pagos permitidos.
Para envíos grandes, primero envíe una pequeña cantidad de prueba y confirme que la dirección del destinatario es correcta antes de enviar el resto; las comisiones de unos pocos céntimos son una buena inversión contra un error millonario. Las carteras de hardware también son útiles, ya que muestran el destino real en una pantalla aparte que el malware de su ordenador no puede modificar silenciosamente. Las empresas que realizan pagos frecuentes con criptomonedas están especialmente expuestas, puesto que copian y pegan direcciones constantemente y a menudo delegan la tarea a personal que quizás desconozca el tema del envenenamiento de criptomonedas. Por ello, bloquear los pagos a una lista de destinatarios preaprobados (un conjunto fijo de destinos verificados de los que el sistema no se desviará) elimina por completo la posibilidad de error humano. Si acepta pagos con criptomonedas a través de una pasarela de pago, compruebe si ya fija las direcciones de retiro precisamente por este motivo.
Lo que están haciendo las billeteras y los exchanges
Las herramientas están mejorando, aunque ninguna reemplaza los hábitos mencionados anteriormente. Exploradores de bloques como Etherscan ahora ocultan o marcan las transferencias de valor cero para que no saturen tu historial. Ledger Live y Trezor Suite filtran las entradas sospechosas, y en marzo de 2026 Trust Wallet implementó protección automática contra el envenenamiento de direcciones en 32 cadenas . Los exchanges centralizados conllevan su propio riesgo, ya que los usuarios reutilizan la misma dirección de depósito repetidamente, por lo que una entrada envenenada allí puede ser igual de costosa. Sin embargo, nada de esto es infalible: un atacante decidido aún puede colar una dirección similar que no haya sido detectada por un filtro, por lo que las herramientas te brindan margen, no inmunidad. Considera cada una de estas funciones como una red de seguridad que debes usar con precaución, nunca como un reemplazo.
¿Quiénes son los objetivos y qué conclusiones se pueden sacar?
Resulta tentador suponer que solo los novatos descuidados caen en esta trampa, pero los datos indican lo contrario. Las mayores pérdidas afectan a remitentes y empresas activos y experimentados, precisamente a quienes transfieren fondos con frecuencia y se han acostumbrado a copiar y pegar rápidamente sin pensarlo dos veces. El envenenamiento de direcciones es económico, efectivo cuando funciona y se basa en un hábito que casi todos compartimos, lo que lo convierte en una estafa tan duradera. La clave está en la información, porque una vez que se conoce la trampa, el simple hecho de verificar la dirección completa la desactiva. La verdadera pregunta no es si se entiende la estafa, sino si uno la detectaría a las dos de la mañana, en el móvil, pagando a alguien a quien ya se le ha pagado cientos de veces.
