Security ·

5 estafas con frases semilla y cómo protegerte

El robo de frases semilla es el vector de ataque más efectivo en las criptomonedas. A diferencia de explotar errores en contratos inteligentes o realizar ataques del 51%, robar una frase semilla es simple, escalable y da al atacante un control completo e irreversible sobre los fondos de la víctima. Las cinco estafas descritas aquí representan la gran mayoría de los incidentes de robo de frases semilla. Comprender cada una y saber cómo defenderse no es conocimiento opcional para quien posea criptomonedas.

Cada una de estas estafas explota una brecha entre lo que los usuarios creen que está sucediendo y lo que realmente ocurre. La defensa en todos los casos es la verificación: saber cómo confirmar que las herramientas que usas, los sitios que visitas y las personas con las que interactúas son lo que dicen ser.

Estafa 1: Generadores de frases semilla falsos

Los generadores de frases semilla falsos son sitios web o aplicaciones diseñados para parecerse a herramientas BIP39 legítimas mientras registran en secreto cada frase semilla que producen. El atacante codifica un conjunto de frases (para que cada usuario reciba una frase que el atacante ya conoce) o transmite la frase generada a un servidor remoto.

Cómo funciona

El atacante crea un sitio web de aspecto profesional que parece generar frases semilla aleatorias. En la versión más simple, el sitio selecciona de una lista precomputada de frases que el atacante ya controla. En versiones más sofisticadas, la herramienta genera una frase de apariencia real usando la Web Crypto API pero simultáneamente envía la entropía o la frase final al servidor del atacante mediante una solicitud de red oculta.

La víctima ve una frase válida de 12 o 24 palabras, crea una billetera y deposita fondos. El atacante monitorea las direcciones correspondientes y las vacía, a veces inmediatamente, a veces esperando hasta que el saldo alcance un umbral que merezca la pena.

Cómo protegerte

  • Verifica que la herramienta es del lado del cliente. Carga la página, desconéctate de Internet y genera una frase. Si la herramienta falla sin conexión, requiere comunicación con el servidor y no debe ser confiable. Consulta ¿Es seguro usar un generador de frases semilla online? para pasos de verificación detallados.
  • Inspecciona el tráfico de red. Abre la pestaña de Red en las Herramientas de Desarrollador de tu navegador antes de generar. No debería haber ninguna solicitud saliente durante la generación.
  • Usa herramientas de código abierto. Solo usa generadores cuyo código fuente sea públicamente auditable. El Generador de frases semilla Bitcoin y el Generador de frases semilla Ethereum de SafeSeed son completamente de código abierto y del lado del cliente.
  • Verifica cruzadamente los resultados. Genera una frase y comprueba si produce la misma dirección en dos o más herramientas independientes. Si un generador siempre produce la misma frase sin importar cuándo o dónde lo uses, está usando una lista fija.

Estafa 2: Sitios de phishing que imitan billeteras reales

Los sitios de phishing replican la interfaz de billeteras populares como MetaMask, Phantom o interfaces web de billeteras hardware para engañar a los usuarios y que introduzcan sus frases semilla existentes. El objetivo del atacante no es generar una nueva frase, sino capturar una que ya tengas.

Cómo funciona

El atacante registra un dominio muy similar al de un sitio legítimo: metamask-wallet.io en lugar de metamask.io, o ledger-support.com en lugar de ledger.com. Clonan el diseño visual del sitio real y presentan un mensaje pidiendo a los usuarios que "restauren" o "verifiquen" su billetera introduciendo su frase semilla.

Estos sitios de phishing se distribuyen a través de:

  • Anuncios de Google y redes sociales que aparecen para búsquedas relacionadas con billeteras
  • Canales de soporte falsos en Telegram, Discord y X (Twitter)
  • Correos electrónicos que dicen que tu billetera necesita "verificación" o "actualizaciones de seguridad"
  • Páginas optimizadas para SEO que posicionan para consultas como "recuperar billetera MetaMask"

Una vez que la víctima introduce su frase semilla en la página de phishing, se transmite al servidor del atacante. El atacante importa la frase en su propia billetera y vacía todos los fondos, típicamente en minutos.

Cómo protegerte

  • Nunca introduzcas tu frase semilla en ningún sitio web. El software legítimo de billeteras nunca te pedirá que introduzcas tu frase semilla en un navegador. La restauración de la billetera ocurre dentro de la propia aplicación, no en un sitio web.
  • Marca como favoritos los sitios oficiales. Accede a las interfaces de billeteras solo a través de marcadores que hayas establecido tú mismo, nunca a través de resultados de búsqueda o enlaces en mensajes.
  • Verifica la URL carácter por carácter. Los dominios de phishing usan sustitución de caracteres (la l minúscula vs 1, rn vs m) y palabras adicionales para engañar.
  • Usa una billetera hardware para la recuperación. Si necesitas restaurar una billetera, hazlo en el propio dispositivo hardware o en la aplicación de escritorio oficial descargada del sitio verificado del fabricante.

Estafa 3: Tarjetas de billetera pregeneradas

Esta estafa se dirige a los recién llegados al cripto que aún no entienden cómo funcionan las claves privadas. El atacante vende o regala tarjetas físicas, a menudo bellamente impresas y empaquetadas, que contienen una frase semilla o clave privada pregenerada. La tarjeta parece una billetera de papel legítima, con un código QR y una dirección pública.

Cómo funciona

El atacante genera miles de frases semilla, las registra todas e imprime en tarjetas de aspecto profesional. Estas se venden en marketplaces, se regalan en conferencias cripto o se incluyen como "regalos" en pedidos online. La tarjeta instruye al destinatario a depositar cripto en la dirección impresa.

La víctima, creyendo que tiene una billetera de papel segura, envía fondos a la dirección. El atacante, que tiene una copia de la misma frase semilla, vacía los fondos cuando le conviene.

Una variación de esta estafa involucra billeteras "precargadas" vendidas en mercados secundarios. El vendedor afirma que la billetera contiene cierta cantidad de cripto y la vende con descuento. El comprador recibe una billetera hardware o de papel, pero el vendedor retiene una copia de la frase semilla y vacía los fondos después de la venta.

Cómo protegerte

  • Siempre genera tus propias claves. Nunca uses una frase semilla o clave privada creada por otra persona. La única clave segura es una que hayas generado tú mismo en un dispositivo que controlas.
  • Entiende que las claves son secretos. Si alguien más ha visto alguna vez tu frase semilla, debes asumir que tiene una copia. No hay forma de verificar que alguien ha eliminado una frase que alguna vez conoció.
  • Genera offline. Usa las herramientas del lado del cliente de SafeSeed u otro generador confiable en una máquina aislada para crear tus propias claves desde cero.

Estafa 4: Malware de portapapeles

El malware de portapapeles, también llamado "clipper", es un tipo de software malicioso que monitorea tu portapapeles en busca de datos relacionados con criptomonedas y los reemplaza silenciosamente con datos del atacante.

Cómo funciona

La variante más común vigila las direcciones de Bitcoin o Ethereum en el portapapeles. Cuando copias una dirección para enviar un pago, el malware la reemplaza con la dirección del atacante. Si pegas sin verificar, tus fondos van directamente al atacante.

Una variante más peligrosa apunta a las frases semilla. Si copias tu frase semilla (por ejemplo, al transferirla entre aplicaciones durante la configuración de la billetera), el clipper la captura y la transmite al atacante. Algunas variantes reemplazan la frase semilla en el portapapeles con una diferente que el atacante controla, haciendo que respaldes una frase comprometida.

Los clippers se distribuyen comúnmente a través de:

  • Software pirata y aplicaciones crackeadas
  • Aplicaciones de billetera falsas en tiendas no oficiales
  • Extensiones de navegador que solicitan permisos de portapapeles
  • Versiones troyanizadas de herramientas cripto legítimas

Cómo protegerte

  • Nunca copies tu frase semilla al portapapeles. Escríbela a mano. Si debes transferirla digitalmente, usa un método que no involucre el portapapeles del sistema.
  • Siempre verifica las direcciones pegadas. Antes de confirmar cualquier transacción, compara los primeros y últimos varios caracteres de la dirección pegada con la dirección prevista. Usa un validador de direcciones para confirmar que el formato es correcto.
  • Usa solo software verificado. Descarga aplicaciones de billetera y herramientas solo de fuentes oficiales. Evita el software pirata por completo, especialmente en máquinas usadas para cripto.
  • Ejecuta antivirus actualizado. Aunque no es infalible, el software antivirus moderno detecta muchos clippers conocidos.
  • Verifica el contenido del portapapeles. Después de copiar una dirección, pégala en un editor de texto plano para confirmar que coincide antes de usarla en una transacción.

Estafa 5: Ataques de ingeniería social

La ingeniería social es la forma más antigua de robo, adaptada para la era cripto. El atacante te manipula para que reveles voluntariamente tu frase semilla o realices una acción que comprometa tus claves.

Cómo funciona

La ingeniería social en el espacio cripto toma muchas formas:

Soporte técnico falso. El atacante se hace pasar por personal de soporte de un proveedor de billeteras, exchange o proyecto blockchain. Contactan a través de Telegram, Discord o X en respuesta a la queja pública de un usuario. Afirman que necesitan tu frase semilla para "diagnosticar" el problema o "verificar" tu identidad. Ningún equipo de soporte legítimo pedirá jamás tu frase semilla.

El cebo de los "fondos atrapados". El atacante publica públicamente una frase semilla (en redes sociales, foros o grupos de chat) afirmando que la compartieron "accidentalmente". La billetera asociada contiene fondos visibles. Cuando alguien importa la frase para reclamar los fondos, descubre que los tokens están en una red que requiere comisiones de gas. Cuando depositan tokens de gas, un bot de barrido controlado por el atacante vacía inmediatamente los tokens depositados.

El mentor de inversiones. Un estafador construye una relación (a menudo durante semanas) a través de redes sociales o aplicaciones de citas, eventualmente guiando a la víctima hacia una "oportunidad de inversión especial" que requiere compartir acceso a la billetera o usar una herramienta específica (maliciosa).

Reclamaciones de airdrops. Mensajes que ofrecen airdrops de tokens gratuitos que requieren "conectar tu billetera" a una DApp maliciosa, que luego solicita permiso para transferir tus fondos o te pide que introduzcas tu frase semilla.

Cómo protegerte

  • Trata tu frase semilla como un código de lanzamiento nuclear. Ningún servicio legítimo, equipo de soporte, amigo o familiar necesita tu frase semilla. Nunca. Por ninguna razón.
  • Sé escéptico con la ayuda no solicitada. Si alguien te contacta ofreciendo asistencia cripto, especialmente en redes sociales o plataformas de mensajería, asume que es una estafa hasta que se demuestre lo contrario.
  • Verifica identidades a través de canales oficiales. Si necesitas soporte de un proveedor de billeteras o exchange, navega a su sitio web oficial y usa el formulario de soporte o chat allí listado.
  • Comprende el truco de los "fondos atrapados". Si encuentras una frase semilla compartida públicamente con fondos, es un cebo. Los tokens visibles no pueden moverse sin depositar otros tokens, que serán robados instantáneamente.
  • Revisa los permisos de contratos inteligentes. Si una DApp solicita aprobación ilimitada de tokens o permisos que no coinciden con su propósito declarado, rechaza la transacción.

Cómo verificar cualquier herramienta que uses

La defensa contra todas las estafas anteriores converge en una habilidad: verificación. Aquí tienes un enfoque consolidado para evaluar cualquier herramienta cripto.

Transparencia del código fuente

Si una herramienta no es de código abierto, no puedes verificar qué hace. El código abierto no es garantía de seguridad, pero las herramientas de código cerrado requieren confianza incondicional. Prioriza las herramientas de código abierto para cualquier operación que involucre claves o frases semilla.

Operación del lado del cliente

Para herramientas de generación de claves, verifica la ejecución del lado del cliente desconectándote de Internet después de cargar la página. Si la herramienta funciona offline, sus operaciones criptográficas se ejecutan en tu navegador a través de la Web Crypto API. Este es el estándar usado por SafeSeed y otros generadores de reputación. Lee ¿Qué es la entropía en cripto? para entender por qué la fuente de entropía importa.

Comportamiento de red

Usa las Herramientas de Desarrollador de tu navegador para monitorear todas las solicitudes de red. Durante operaciones sensibles (generación de claves, visualización de frases semilla, firma de transacciones), no debería haber solicitudes salientes. Cualquier solicitud, incluso a un servicio de analíticas, es un vector potencial de fuga de datos.

Verificación de dominio y certificado

Antes de introducir cualquier información en un sitio web, verifica el nombre de dominio exacto y asegúrate de que HTTPS está activo. Usa marcadores para herramientas cripto de acceso frecuente. Compara el dominio con las cuentas oficiales de redes sociales del proyecto o su repositorio de GitHub.

Reputación comunitaria

Verifica si la herramienta ha sido revisada por investigadores de seguridad independientes. Busca informes de auditoría, discusiones en foros cripto reputados y menciones en publicaciones enfocadas en seguridad. Una herramienta sin revisión externa ni presencia comunitaria es de mayor riesgo.

Verificación cruzada de resultados

Cuando uses un generador de frases semilla, verifica la salida derivando la misma dirección usando una herramienta diferente y confiable. El Generador de direcciones Bitcoin o el Generador de direcciones Ethereum de SafeSeed pueden servir como punto de referencia. Si dos herramientas independientes producen la misma dirección a partir de la misma frase semilla, ambas probablemente implementan el estándar correctamente.

La mayor fortaleza del ecosistema cripto, la autocustodia, es también su mayor vulnerabilidad. No hay departamento de fraude al que llamar, no hay contracargo que solicitar y no hay proceso de recuperación una vez que los fondos son robados. Comprender estas cinco estafas y construir hábitos de verificación es la inversión más valiosa que puedes hacer en tu seguridad cripto. Para más lectura sobre los conceptos subyacentes de seguridad de claves, consulta Mejores prácticas de seguridad de claves privadas y Frase semilla vs clave privada.