Estafas en el mundo de las criptomonedas: cómo funcionan las estafas DeFi y cómo detectarlas antes de perder dinero.
Recuerdo estar navegando por Twitter sobre criptomonedas un martes cualquiera de abril de 2025 y ver cómo el gráfico de Mantra se desplomaba en tiempo real. Diecisiete billeteras habían depositado 43,6 millones de tokens OM en exchanges en las horas previas, y para cuando la mayoría de los poseedores se dieron cuenta, el precio ya se había desplomado un 94%, esfumando 5.500 millones de dólares en lo que se desarrolló como un accidente de coche a cámara lenta que todos podían ver, pero del que nadie podía esquivar. El equipo de Mantra culpó a las liquidaciones forzadas; los analistas de la cadena de bloques señalaron que diecisiete billeteras no coordinan depósitos de 227 millones de dólares en exchanges por casualidad. Les dejo a ustedes que saquen sus propias conclusiones a partir de estos hechos.
Lo que más dolió a la comunidad de Mantra fue que nada de esto parecía una estafa cuando invirtieron su dinero. Se trataba de una plataforma de activos reales con alianzas legítimas y un token que cotizaba en las principales bolsas, no de una criptomoneda anónima lanzada un domingo por la noche. Y ese es precisamente el problema con las estafas en el mundo de las criptomonedas: las que causan más daño son las que parecían legítimas hasta que dejaron de serlo. Las peligrosas nunca anuncian a bombo y platillo: "Voy a robarte el dinero".
Me inicié en el mundo de las criptomonedas en 2017, y desde entonces he visto cómo este patrón ha devorado los ahorros de la gente innumerables veces. La maquinaria publicitaria se pone en marcha, el gráfico se dispara, nadie se atreve a hacer preguntas incómodas sobre la tokenómica porque el precio sigue subiendo y cuestionar el proyecto es como cuestionar el dinero fácil. Una mañana te despiertas, revisas el gráfico y te das cuenta de que el equipo lo ha vendido todo mientras dormías. El chat grupal está muerto. Nadie habla. Escribí esto porque muchas personas que conozco personalmente han sido víctimas de esta estafa, y en casi todos los casos las señales de advertencia estaban ahí, solo que enterradas bajo la publicidad y la jerga que nadie se molestó en explicar.
Cómo funcionan realmente las estafas con criptomonedas
Si alguien en un chat grupal de criptomonedas te dice "Anoche me estafaron", significa que el equipo detrás del token o protocolo en el que invertiste se fue con todo. La expresión proviene del viejo dicho de quitarle la alfombra a alguien que está parado sobre ella: un segundo estás ahí, al siguiente estás de espaldas mirando al techo, tratando de entender qué le pasó a tu ETH.
Una vez que has visto suficientes ejemplos de esto, el plan de juego deja de sorprender y empieza a ser exasperante porque apenas cambia y la gente sigue cayendo en la trampa de todos modos.
Un equipo crea algo que parece legítimo: un sitio web profesional con un temporizador de cuenta regresiva, un documento técnico repleto de jerga sobre la "revolución de las finanzas descentralizadas" (DeFi), una hoja de ruta que se extiende hasta 2028, e incluso una demo de prueba funcional que un desarrollador tardó un fin de semana en crear. Podría ser un token de gobernanza para un "protocolo DeFi", una colección de 10 000 NFT con un juego integrado, o algún artilugio exótico de yield farming que nadie comprende del todo. En realidad, no importa qué versión elijan; la mecánica subyacente se copia y pega del mismo manual una y otra vez.
El marketing viene después, y viene con fuerza. Verás el proyecto aparecer en hilos de Twitter sobre criptomonedas de cuentas que no existían el mes pasado, en grupos de Telegram donde los "gestores de comunidad" generan expectación sin parar, en servidores de Discord donde los moderadores expulsan a cualquiera que pregunte por qué no se ha auditado el contrato. Creadores de YouTube que venderían hasta una caja de cartón por la tarifa adecuada empiezan a publicar vídeos sobre cómo "este podría multiplicarse por 100 fácilmente". El mensaje principal nunca cambia: "aún estás en las primeras etapas", porque generar miedo a perderse algo (FOMO) en personas que vieron a su amigo ganar dinero con Solana es la mejor táctica de ventas en todo el mundo de las criptomonedas, y los estafadores lo saben.
El dinero fluye a raudales. La gente intercambia sus ETH o BNB, ganados con tanto esfuerzo, por el nuevo token en exchanges descentralizados, llenando así el fondo de liquidez. El gráfico sube porque la presión compradora es alta y nadie está vendiendo todavía. En este punto, sinceramente, el proyecto puede parecer idéntico a algo real. Muchos emprendimientos legítimos también tuvieron comienzos difíciles, y el estafador se aprovecha de esa ambigüedad para evitar que te fijes demasiado en el código del contrato.
Entonces termina, generalmente rápido. El equipo activa una función de drenaje en el fondo de liquidez, o venden en el mercado toda su asignación de tokens en cuestión de minutos, o se activa un mecanismo de seguridad en el contrato inteligente y el botón de venta deja de funcionar. Cualquiera que sea el método que elijan, el resultado es que tus tokens pasan de tener un valor del 300 % a no valer nada en lo que tarda en actualizarse la página.
Tras el robo, los rastros comienzan a desaparecer. Las cuentas en redes sociales son eliminadas. El servidor de Discord se convierte en un pueblo fantasma. El sitio web desaparece o, en el caso de Defi100, es reemplazado por un mensaje burlón que literalmente decía: "Te estafamos". Los fondos robados se blanquean mediante Tornado Cash o se transfieren a través de cinco cadenas para entorpecer el rastro. El análisis forense en la cadena a veces puede rastrear el destino del dinero, pero recuperarlo es otra historia, y una que casi nunca tiene un final feliz.
Todo el ciclo puede durar meses (para esquemas complejos) u horas (para estafas rápidas con memecoins). En 2024, Comparitech registró aproximadamente 92 estafas confirmadas con un robo de 126 millones de dólares. En 2025, las cifras se dispararon: DappRadar estimó pérdidas por estafas de casi 6 mil millones de dólares, aunque el 92 % de esa cantidad provino únicamente del incidente de Mantra.
Tipos de desgarros en alfombras: desgarros fuertes, desgarros suaves y todo lo demás.
Los problemas con las alfombras que se desprenden de ellas varían, y esas diferencias son importantes porque influyen en la rapidez con la que se puede detectar lo que está sucediendo y en si se tiene alguna posibilidad de solucionarlo antes de que se produzca el daño.
Tiradores duros de alfombra
Con una maniobra descarada, la intención era criminal desde la primera línea de código. Nadie en el equipo planeó lanzar un producto. Crearon un contrato inteligente con una puerta trasera oculta, lo envolvieron en una campaña de marketing, esperaron a que el proyecto se volviera rentable y lo explotaron. El proyecto fue una trampa desde el primer día, y la única incógnita era cuándo la activarían.
Tácticas comunes de presión para obtener una compensación:
Robo de liquidez. Este es el clásico. Un desarrollador crea un token, lo vincula con ETH o BNB en un fondo de liquidez en un exchange descentralizado como Uniswap o PancakeSwap. Los inversores compran, el fondo crece y, entonces, el desarrollador llama a una función en el contrato que retira toda la liquidez. Tus tokens siguen en tu billetera, pero ahora valen cero porque no hay nada con qué intercambiarlos.
Restricciones de venta. El contrato inteligente está programado para que solo la billetera del creador pueda vender. Los demás pueden comprar, pero no vender. El precio sube porque solo hay presión de compra. Luego, el creador vende todo. Te quedas con tokens de los que literalmente no puedes deshacerte. A esto a veces se le llama estafa de "trampa".
Funciones ocultas de acuñación. El contrato contiene una función que permite al propietario crear un número ilimitado de nuevos tokens. Este acuña una cantidad masiva, la inunda en el mercado y provoca una caída drástica del precio. Desde fuera parece una venta normal, pero en realidad se trata de un fraude inflacionario codificado en el contrato.
Tiradores de alfombra suaves
Las estafas sutiles son más astutas y, sinceramente, son las que más desconciertan. Puede que el proyecto haya comenzado con buenas intenciones, o al menos sin código abiertamente malicioso. No hay ninguna función oculta de drenaje, ningún honeypot, ningún interruptor de apagado. En cambio, lo que sucede es que el equipo pierde interés gradualmente (o nunca lo tuvo), vende discretamente sus tokens durante semanas o meses, deja de responder a las preguntas de la comunidad y, finalmente, desaparece del chat grupal uno a uno.
Tu cartera de inversiones no se desploma de la noche a la mañana. Se va deteriorando poco a poco. Para cuando te das cuenta de que la última actualización del repositorio de GitHub fue hace cuatro meses y que el "desarrollador principal" no ha publicado nada desde agosto, el equipo ya se ha deshecho de la mayor parte de sus activos a precios que jamás volverás a ver. Lo que hace que las estafas sean especialmente desagradables es la ambigüedad: ¿fue una estafa o simplemente fracasó el proyecto? Muchos equipos honestos se quedan sin dinero o sin motivación. Los estafadores se escudan en esa negación plausible.
Los esquemas de manipulación de precios (pump-and-dump) entran en esta categoría. El equipo promociona el token, su precio sube, los iniciados venden en el punto máximo y los compradores que llegan tarde asumen las pérdidas. Es poco ético y probablemente ilegal si el token califica como valor, pero a los fiscales les resulta más difícil porque no hay código malicioso que señalar. No hay puertas traseras en el contrato. No hay funciones ocultas. Simplemente, personas vendiendo lo que poseían, lo cual, en la mayoría de los sistemas legales, no es automáticamente un delito, aunque lo parezca.
La criptomoneda Hawk Tuah de diciembre de 2024 es un ejemplo perfecto. Los creadores controlaban el 70% del suministro, la capitalización de mercado alcanzó los 500 millones de dólares solo por la expectación generada, y luego los inversores con información privilegiada vendieron, provocando que el precio se disparara y luego se desplomara de 500 millones a 50 millones en cuestión de horas. ¿Fue una estafa? ¿Un inflado y posterior desinflado? ¿Una pésima inversión que la gente debería haber previsto? Depende de a quién se le pregunte. Legalmente, es un desastre. Moralmente, la mayoría coincide en que los inversores con información privilegiada sabían perfectamente lo que hacían.
Las memecoins se han convertido en el principal vehículo para las estafas de reventa en 2026. Según datos de CoinLaw, aproximadamente el 80 % de estas estafas involucran memecoins, tokens sin utilidad más allá de la especulación y el bombo publicitario de la comunidad. La baja barrera de entrada (se puede crear un token en minutos en plataformas como Pump.fun en Solana) significa que miles de posibles estafas se lanzan cada semana. Chainalysis estima que aproximadamente el 95 % de los pools de tokens lanzados en PancakeSwap terminan siendo estafas de reventa. Reflexiona sobre esta cifra.
| Tipo | Velocidad | Cómo funciona | ¿Detectable? |
|---|---|---|---|
| Robo de liquidez | Instante | El promotor vacía la piscina. | Sí (verifique si la liquidez está bloqueada) |
| Bloque de venta/trampa de miel | Gradual | Solo el creador puede vender | Sí (prueba de venta en el analizador DEX) |
| menta escondida | Rápido | Monedas y volcados de creadores | Sí (lea el contrato para conocer las funciones de la casa de moneda) |
| Bombeo y descarga | De días a semanas | Genera expectación y luego vende tus participaciones. | Más difícil (parece una operación comercial normal) |
| abandono lento | Semanas a meses | El equipo deja de entregar | El más difícil (se asemeja a un proyecto fallido) |
Los mayores ejemplos de estafas que costaron miles de millones a los inversores.
Las cifras que aparecen a continuación no son teóricas. Cada fila de esta tabla representa a personas reales que se despertaron con la cartera vacía.
| Proyecto | Año | Cantidad robada | Qué pasó |
|---|---|---|---|
| OneCoin | 2014-2017 | 4 mil millones de dólares | La fundadora de la estafa piramidal, Ruja Ignatova, desapareció y sigue en la lista de los más buscados del FBI. |
| Thodex | 2021 | 2.700 millones de dólares | Fundador de una bolsa turca que huyó, condenado a 11.196 años de prisión. |
| Mantra (OM) | 2025 | 5.500 millones de dólares (cifra en disputa) | 17 billeteras transfirieron tokens antes del desplome, caída del precio del 94%. |
| AnubisDAO | 2021 | 60 millones de dólares | Sin página web, recaudaron fondos, vaciaron la piscina en 20 horas. |
| Ficha del juego del calamar | 2021 | 3,38 millones de dólares | El precio se disparó un 23.000.000%, la trampa de miel impidió la venta. |
| Frosties NFT | 2022 | 1,1 millones de dólares | Los fundadores fueron acusados de fraude y lavado de dinero. |
| Halcón Tuah (HAWK) | 2024 | 87 millones de dólares (beneficio del creador) | La criptomoneda meme de celebridades, cuyos creadores controlaban el 70%, se vendió masivamente en su punto máximo. |
| Club de monos de pelota | 2022 | 2,6 millones de dólares | Estafa de NFT, fondos blanqueados mediante el cambio de cadenas de bloques. |
OneCoin merece un párrafo aparte porque es la estafa más destructiva en la historia de las criptomonedas, y ni siquiera era una criptomoneda real. No había blockchain. Ni minería. Ni nodos. Ruja Ignatova vendió "paquetes educativos" por valor de 4 mil millones de dólares a través de una estructura de marketing multinivel que reclutaba víctimas para que reclutaran a más víctimas. Desapareció en octubre de 2017 y sigue siendo una de las diez fugitivas más buscadas por el FBI. La BBC produjo una serie completa de podcasts sobre ella titulada "La criptoreina desaparecida". Su hermano fue arrestado y posteriormente condenado, pero Ruja nunca ha sido encontrada.
Cómo detectar un tirón de alfombra antes de que ocurra: la lista de verificación de señales de alerta
Aquí es donde el artículo demuestra su valía. Voy a enumerar ocho señales de alerta, y si detectas tres o más en un proyecto que estés analizando, cierra la pestaña y sigue adelante. En serio.
Lo primero que reviso es el equipo. El anonimato en el mundo de las criptomonedas no es necesariamente malo; Satoshi nunca reveló su identidad. Pero hay una enorme diferencia entre un fundador anónimo con años de historial en la cadena de bloques y un "equipo" sin presencia en LinkedIn, sin contribuciones en GitHub y con fotos que parecen sacadas de un sitio web de personas que no existen. Si no puedes encontrar a una sola persona verificable detrás del proyecto, el riesgo se multiplica.
Segundo: ¿se ha auditado el contrato inteligente? No me refiero a una auditoría realizada por "nuestros amigos", sino a un informe publicado por CertiK, Hacken, Trail of Bits u otra empresa que puedas verificar fácilmente en Google. Si no hay auditoría, significa que nadie independiente ha comprobado si el contrato puede retirar tus depósitos. Un detalle más: incluso si existe una auditoría, verifica si el contrato se puede actualizar mediante un patrón de proxy. Si los desarrolladores pueden implementar código nuevo después de la auditoría, esta solo cubre la versión revisada por el auditor, no la que implementen el próximo martes.
Tercero: bloqueos de liquidez. Abre GeckoTerminal o DEXTools y comprueba si el fondo de liquidez está bloqueado en un contrato con plazo fijo. Si está desbloqueado, el desarrollador puede vaciarlo inmediatamente. Los bloqueos de menos de 30 días son una broma. Los proyectos serios se bloquean durante al menos 6-12 meses. Y aquí hay un detalle que la gente suele pasar por alto: un bloqueo con fecha de vencimiento conocida solo significa que la retirada de fondos está programada. Anótalo en tu calendario.
Cuarto: concentración de carteras. Abre la página del token en Etherscan o Solscan y desplázate hasta la lista de poseedores. Si las 10 carteras principales controlan más del 50 % del suministro y no están claramente identificadas como fondo de liquidez, cartera de adquisición de derechos del equipo o tesorería, cualquiera de ellas puede desplomar el precio vendiendo. Esto no es un riesgo; es una certeza a la espera de un detonante.
Quinto: ¿qué prometen? Si ves "100 veces garantizado", "rentabilidad anual compuesta sostenible del 1000%" o "este es el próximo Bitcoin", huye. Los proyectos que centran su marketing en lo rico que te harás en lugar de en lo que realmente están creando son engañosos o abusivos, y ninguna de las dos opciones termina bien para ti.
Sexto: analiza el marketing en sí. ¿El grupo de Telegram está lleno de conversaciones reales o son cuentas creadas con bots que publican emojis de cohetes? ¿El Discord es activo con debates técnicos o todos los canales son solo "wen moon"? ¿Los patrocinios de influencers son orgánicos o obviamente pagados? Cuando el gasto en marketing supera con creces el esfuerzo de ingeniería, estás ante una operación de ventas, no un proyecto tecnológico.
Séptimo: ¿existe un producto funcional? No una hoja de ruta. No una presentación. No un informe técnico con diagramas sofisticados. Un producto real que alguien pueda usar ahora mismo. Si el equipo te pide dinero antes de haber lanzado algo funcional, el riesgo de que financies su salida en lugar de su visión aumenta considerablemente.
Octavo y último punto: la presión del FOMO (miedo a perderse algo). "Solo quedan 2 horas en la lista blanca". "El precio se duplica después de esta ronda". "Si no te apuntas ahora, te arrepentirás para siempre". Cada una de estas frases está diseñada para que actúes sin pensar, que es justo lo que necesita un estafador. Las oportunidades reales no tienen temporizadores. Si alguien te presiona, tiene un motivo, y ese motivo no te beneficia.
Herramientas que te ayudan a evitar volverte rudo
No es necesario evaluar todo manualmente. Existen varias herramientas gratuitas:
| Herramienta | Lo que hace | URL |
|---|---|---|
| Detector de tokens | Analiza los contratos de tokens en busca de patrones de estafa. | tokensniffer.com |
| GeckoTerminal | Muestra la liquidez, los titulares y el estado de bloqueo. | geckoterminal.com |
| Herramientas DEX | Análisis de tokens en tiempo real, puntuaciones de auditoría | dextools.io |
| RugDoc | revisiones de riesgos de proyectos DeFi | rugdoc.io |
| Seguridad GoPlus | API de detección de seguridad de tokens | gopluslabs.io |
| Etherscan/BSCScan | Lea los contratos, verifique la distribución al titular. | etherscan.io |
Antes de comprar cualquier token nuevo, analícelo con Token Sniffer como mínimo. Solo toma 30 segundos y detecta automáticamente la mayoría de las trampas y estafas relacionadas con la función de acuñación. Para un análisis más profundo, lea el contrato en Etherscan. Si el contrato no está verificado (código fuente no publicado), no lo compre. Punto.
Sin embargo, quiero ser realista en un aspecto. Estas herramientas detectan a los estafadores perezosos. Un equipo bien financiado que contrata desarrolladores de Solidity competentes puede escribir un contrato que pase los filtros automatizados y aun así tener un mecanismo de manipulación oculto en su lógica. Ninguna herramienta sustituye la comprensión de lo que se compra. Si no puedes leer un contrato inteligente por ti mismo, al menos limítate a proyectos auditados por empresas verificables y ten en cuenta que incluso los proyectos auditados presentan vulnerabilidades (el auditor revisa una instantánea, no todas las acciones futuras del equipo).
La mejor defensa no es ninguna herramienta, sino el tamaño de la posición. No inviertas en un token nuevo que no puedas permitirte perder por completo. Si tratas cada proyecto no probado como una posible ruina, tus apuestas serán tan pequeñas que perder te dolerá más el orgullo que tu cartera.
¿Es ilegal tirar de las alfombras?
En resumen: las estafas de robo de fondos son ilegales prácticamente en todas partes. Incorporar una función de drenaje en un contrato inteligente para robar los depósitos de los usuarios es fraude, sin más. Los fundadores del NFT Frosties se enfrentan a cargos federales por fraude electrónico en Estados Unidos. Turquía condenó al fundador de Thodex a 11.196 años de prisión, lo cual resulta impresionante o absurdo según la opinión que se tenga sobre el sistema legal turco.
Las manipulaciones de precios son donde la situación se complica legalmente. Si creaste un token, lo promocionaste y luego vendiste tus participaciones cuando el precio alcanzó su máximo, ¿cometiste un delito o simplemente vendiste tu propiedad? La respuesta depende de si el token se considera un valor según la ley de tu país. La SEC ha estado presionando para clasificar más tokens como valores, lo que haría que las manipulaciones de precios sean claramente procesables. Sin embargo, no han ganado todos los casos y la aplicación de la ley es irregular en las distintas jurisdicciones.
Aquí está la parte que realmente importa a las víctimas: incluso cuando un robo es claramente delictivo, recuperar el dinero es prácticamente imposible. Las criptomonedas robadas se canalizan a través de Tornado Cash, se transfieren entre cadenas y se mezclan hasta que se pierde el rastro. Chainalysis y otras empresas de análisis forense de blockchain a veces pueden rastrear el flujo y han ayudado a las fuerzas del orden en algunos casos de gran repercusión. Pero para la persona promedio que perdió 5000 dólares en una criptomoneda que llegó a valer cero, nadie investiga su caso. El dinero se ha perdido. Esa es la cruda realidad de la autocustodia: el mismo sistema que te protege de los bancos también significa que no hay ningún banco al que llamar cuando te roban.
