¿Qué es un vaciador de billetera? ¿Cómo funcionan los vaciadores de criptomonedas?
No es necesario entregar tu frase semilla para perderlo todo. Con un programa para vaciar tu billetera, la pierdes con solo hacer clic en "aprobar". Imagina un sitio web atractivo que ofrece un airdrop gratuito. Conectas tu billetera, aparece una ventana para firmar, pulsas confirmar (porque es lo que pide cualquier dApp) y, segundos después, tus criptomonedas y NFT desaparecen. No te robaron la contraseña. No hackearon tu dispositivo. Autorizaste el robo tú mismo, generalmente con una firma que no costaba gas y parecía completamente inofensiva. Ese es el truco, y funcionó lo suficientemente bien como para robar 494 millones de dólares solo en 2024.
Esta guía explica qué es un ladrón de carteras, el momento exacto en que se produce el robo, cómo los delincuentes lo convirtieron en un servicio de pago, cuánto dinero roban y los dos hábitos que detienen a casi todos ellos.
Qué es un vaciador de billetera y por qué funciona
Un programa malicioso para vaciar carteras no es un malware que permanece oculto en tu ordenador. Se trata de un contrato inteligente o script malicioso, una de las dApps maliciosas que ahora acechan en Web3, disfrazada de una aplicación inofensiva, que te engaña para que le concedas acceso y, acto seguido, te roba tus activos. Estos programas operan casi exclusivamente en las finanzas descentralizadas (DeFi), donde el dinero se mueve mediante una firma en lugar de un inicio de sesión, y tu criptomoneda y otros criptoactivos son precisamente su objetivo. El programa malicioso nunca adivina tu clave privada ni vulnera la criptografía. Simplemente te obliga a firmar una transacción o una autorización que otorga a un contrato inteligente desconocido permiso para acceder a tus fondos.
Una vez otorgado ese permiso, el resto es automático. El programa malicioso lee tu billetera para encontrar tus tokens, NFT y otros activos digitales más valiosos, crea la transferencia y mueve todo a una dirección controlada por el atacante, a menudo dentro de un solo bloque. Como la solicitud se presenta como una acción Web3 normal, la mayoría de las víctimas no se dan cuenta de lo sucedido hasta que la billetera ya está vacía. El peligro no es un virus, sino un permiso que otorgas sin leerlo.
Cómo un vaciador de billetera vacía tu billetera
Cada canal de desinversión sigue el mismo patrón: señuelo, firma, barrido. El paso intermedio es donde se pierde el dinero, y es el paso al que casi nadie presta atención.
El cebo
Primero, debes caer en la trampa. Los estafadores crean airdrops falsos, acuñaciones de NFT y reclamos de tokens, y luego los promocionan con fuerza. Secuestran cuentas verificadas en X y publican enlaces desde una cuenta robada de redes sociales, envían mensajes en Telegram y Discord, y compran anuncios de búsqueda patrocinados para que el sitio falso aparezca por encima del real. El argumento siempre es la urgencia, una acuñación limitada o un reclamo que caduca, porque la ingeniería social funciona mejor cuando no tienes tiempo para pensar. A diferencia del phishing tradicional que busca una contraseña o credenciales de inicio de sesión, un drainer no necesita tus secretos en absoluto. Solo necesita engañar a los usuarios para que hagan una sola acción: conectar sus billeteras al sitio falso y aprobar una sola solicitud. Esa facilidad es precisamente la razón por la que los drainers se propagan tan rápido, y por la que incluso las personas precavidas caen en la trampa en un momento de prisa. Haces clic y llegas a un clon que se ve exactamente como un proyecto en el que confías, pidiéndote que conectes tu billetera.
La trampa es la firma
Esta es la parte importante. Cuando apruebas, no estás "iniciando sesión", estás firmando un permiso específico, y algunos de ellos son devastadores. Un `approve()` ERC-20 puede otorgar una asignación ilimitada, permitiendo que un contrato gaste ese token para siempre. `setApprovalForAll` entrega todos los NFT de una colección a la vez. El más peligroso es la firma offline Permit o Permit2. No cuesta gas. Aparece como un mensaje simple, no como una transacción. Y aun así autoriza una transferencia. Esa es la trampa en la que la mayoría de la gente cae directamente: según un análisis de SlowMist , las firmas de estilo Permit representaron el 56,7 % de las aprobaciones de phishing en 2024, precisamente porque no parecen nada. Los atacantes también siguen las actualizaciones, abusando de llamadas oscuras como `setOwner` y, justo después del lanzamiento de Pectra de Ethereum, la nueva delegación EIP-7702.
El desagüe
Una vez que firmas, el programa que vacía tu billetera tiene todo lo que necesita y no hay una segunda confirmación que te proteja. El objetivo es simple y brutal: robar fondos antes de que reacciones. Ya ha identificado tus activos, así que inicia la transferencia y tus tokens salen en un solo bloque. Las transacciones de blockchain son definitivas. No hay que llamar al banco ni revertir ningún cargo. Para cuando el airdrop "falla al cargarse", la transferencia no autorizada ya se ha liquidado en la cadena.
| Lo que se le pide que firme | Lo que te parece a ti | Lo que realmente otorga |
|---|---|---|
| ERC-20 `approve()` | Una aprobación de token de rutina | Gasto ilimitado de ese token |
| `establecerAprobaciónParaTodos` | "Aprobar la recaudación" | Control de cada NFT en él |
| Permiso / Permiso2 | Un mensaje de firma sin gas | Derechos de transferencia sin rastro en la cadena de bloques hasta su uso. |
| `setOwner` / EIP-7702 | Una sugerencia desconocida | Propiedad o delegación de su cuenta |
Servicio de drenaje (DaaS): El crimen con un panel de control
Los programas de reducción de costos no se popularizaron porque los atacantes se volvieran más astutos. Se popularizaron porque alguien convirtió la herramienta en un producto y, con ello, transformó el robo de billeteras en un delito cibernético organizado con una lista de precios publicada.
Cómo funciona DaaS
En el modelo Drainer-as-a-Service, un desarrollador crea y mantiene el kit para vaciar monederos y lo alquila a cualquiera que quiera lanzar una campaña contra monederos de criptomonedas. El afiliado, a menudo un ciberdelincuente con poca experiencia, se encarga del phishing. El kit se encarga del robo. Se reparten las ganancias, y el reparto reproduce casi a la perfección la táctica del ransomware: los desarrolladores se quedan con aproximadamente el 20 % de todo lo robado, y los afiliados con el 80 % restante. A cambio de esa parte, el comprador obtiene páginas de phishing prediseñadas, un panel de control, herramientas de anonimato y, sí, soporte al cliente real. Un adolescente que no sabe escribir ni una línea de código puede estar dirigiendo una operación profesional en un abrir y cerrar de ojos.
Inferno, Pink y la puerta giratoria
Los principales kits muestran la magnitud del problema. Inferno Drainer operó desde finales de 2022 hasta finales de 2023 y robó aproximadamente 87 millones de dólares a más de 137 000 víctimas, a través de más de 16 000 dominios de phishing que suplantaban al menos a 100 marcas de criptomonedas. Pink Drainer obtuvo alrededor de 85 millones de dólares antes de que sus operadores anunciaran su retirada. Observe el patrón: un grupo se retira, los ciberdelincuentes cambian al siguiente kit, e Inferno regresa con una versión renovada. Eliminar a un operador no acaba con el mercado; el mercado es el servicio, no el estafador.
¿Cuánto dinero roban los vaciadores de billeteras?
Las cifras totales son enormes, fluctuantes y fáciles de malinterpretar. Una sola campaña de vaciado de monederos de criptomonedas puede sustraer más en una transacción que un hackeo completo de una plataforma de intercambio, y las cifras anuales varían considerablemente.
La fuente más clara, Scam Sniffer , lo contabiliza año tras año. Las pérdidas alcanzaron unos 295 millones de dólares en 2023 entre 324.000 víctimas, aumentaron un 67% hasta los 494 millones de dólares en 2024, para luego caer drásticamente hasta aproximadamente 84 millones de dólares en 2025. Esa caída parece una ganancia. No lo es. Refleja principalmente una menor actividad en la cadena de bloques y una menor rotación de equipos, y a principios de 2026 ya se observó un fuerte repunte mensual. El mayor desvío registrado fue de 55,47 millones de dólares en DAI de una sola víctima en 2024. Independientemente de las cifras totales, las criptomonedas robadas salen de la misma manera: se lavan a través de mezcladores e intercambios descentralizados en cuestión de minutos, razón por la cual casi nada regresa.
| Año | Robado por desatascadores | Víctimas |
|---|---|---|
| 2023 | 295,5 millones de dólares | Más de 324.000 |
| 2024 | 494 millones de dólares | 332.000 |
| 2025 | 83,85 millones de dólares | 106.106 |
Y las víctimas no son todas principiantes. Mark Cuban perdió alrededor de 900.000 dólares a manos de un estafador. Incluso Vitalik Buterin, cofundador de Ethereum, sufrió el secuestro de su cuenta X para promocionar una falsa acuñación que les robó aproximadamente 700.000 dólares a sus seguidores. Si les llega a ellos, la línea que los separa de la acción es mucho más delgada de lo que parece.
Señales de advertencia de un vaciador de billetera
Las señales de alerta de un estafador casi siempre giran en torno a una exigencia: firma esto, ahora mismo. Cuando las veas, tómate tu tiempo.
Ten cuidado con las solicitudes que piden tokens ilimitados cuando solo querías una compra. Desconfía aún más de las solicitudes de firma que no cobran comisiones y muestran un mensaje ilegible. Esa es la clásica táctica de los estafadores que no cobran comisiones. Considera los mensajes de "reclama ahora", "acuñación limitada" y las cuentas regresivas como tácticas de presión, no como suerte. Desconfía de cualquier enlace que llegue a un mensaje directo o a un grupo de Telegram. Nunca accedas a una dApp a través de un anuncio de búsqueda patrocinado, donde los estafadores suelen superar la oferta del proyecto real para obtener el primer puesto. Y siempre verifica el dominio exacto, porque un dominio similar con una letra cambiada es la táctica más antigua y efectiva de los sitios fraudulentos.
Cómo proteger tu billetera de los estafadores
No es necesario rastrear cada nuevo exploit. Dos hábitos aburridos bloquean casi todos los problemas por sí solos.
Utiliza una cartera de hardware y un teléfono desechable.
Guarda la mayor parte de tus criptomonedas en una billetera de hardware. La clave permanece sin conexión y cada transacción requiere tocar físicamente el dispositivo, por lo que un sitio malicioso no puede mover nada sin que tengas el hardware en tus manos. Luego, crea una segunda billetera "desechable" casi vacía para la minería, airdrops y cualquier dApp que no conozcas. Si la billetera desechable se vacía, perderás dinero, no tus ahorros. Conectar tu billetera principal a un sitio Web3 cualquiera es la única práctica que mantiene este tipo de fraude rentable.
Lee todas las firmas y revoca las antiguas.
El segundo hábito es simplemente leer lo que firmas. Las billeteras modernas y las herramientas de simulación explican qué otorga una firma antes de que la confirmes. Úsalas y nunca firmes a ciegas un mensaje que no puedas entender. Luego, limpia tu sistema y revoca las aprobaciones que ya no necesitas. Una herramienta de revocación muestra todos los contratos que aún pueden gastar tus tokens y te permite cancelar los que olvidaste, cerrando puertas que un atacante podría aprovechar meses después. Si un sitio te parece desconocido, revisa primero su contrato en un explorador de bloques, porque un contrato nuevo sin historial es una configuración clásica. ¿Esa aprobación ilimitada que das en 2021? Sigue activa hasta que la elimines.
Qué hacer si te ataca un estafador que te deja sin dinero.
Si ocurre, la rapidez es fundamental. Actúa con rapidez. Transfiere inmediatamente a una billetera segura todo lo que el atacante aún no haya robado, ya que suelen volver a por el resto. Luego, revoca todas las autorizaciones en la dirección comprometida para evitar que se reutilicen los permisos restantes. Da por perdida esa billetera y deja de usarla definitivamente. Documenta los hashes de las transacciones e informa de las direcciones a un servicio como Chainabuse o Scam Sniffer, que mapean esta infraestructura. Y sé sincero contigo mismo sobre la recuperación. Las transferencias en la cadena de bloques son definitivas y los fondos robados rara vez se recuperan, así que la clave está en detener la hemorragia rápidamente.
Un estafador necesita tu firma, no tus llaves.
Si eliminamos los paneles de control y los nombres de los kits, un programa para vaciar tu billetera tiene una sola arma: una firma que apruebes. No puede robar tu clave privada, no puede romper la cadena y no puede mover ni un centavo hasta que hagas clic en confirmar. Y esa es la buena noticia: la solución es igual de sencilla. Mantén la mayor parte de tus fondos en almacenamiento en frío, trata cada solicitud de "conectar billetera" como si fueras un extraño pidiendo tus claves y lee el permiso antes de firmarlo. Si haces eso, una industria multimillonaria se estrellará contra la pared frente a tu pantalla. Así que la próxima vez que una casa de moneda gratuita te pida que firmes, hazte la única pregunta que importa: ¿qué estoy autorizando exactamente?
