Volver a Wolfsfera Intelligence
SEGURIDAD5/11/2026, 7:55:20 PM

Me robaron 47.000€ en crypto mientras dormía. Así fue exactamente.

Me robaron 47.000€ en crypto mientras dormía. Así fue exactamente.
# Me robaron 47.000€ en crypto mientras dormía. Así fue exactamente. Son las 2:47 de la madrugada. Miguel, trader con 6 años de experiencia, recibe un email de "soporte@binance-secure.com". El asunto: *"Actividad sospechosa detectada en tu cuenta. Acción requerida en las próximas 2 horas."* El logo es perfecto. El diseño es idéntico al de Binance. Hay un botón azul que dice "Verificar mi cuenta ahora". Miguel lleva operando desde 2018. Ha visto cientos de phishing. Pero son las 3 de la mañana, acaba de ver que el mercado está en rojo y el email tiene su nombre real. Hace clic. --- ## Lo que Miguel no sabía **El dominio `binance-secure.com` fue registrado 11 días antes.** A esa hora, ningún scanner de su proveedor de email lo marcó como peligroso. SPF y DMARC estaban configurados correctamente — los atacantes sabían lo que hacían. El certificado SSL era válido. La página de destino era una copia pixel-perfect del portal de Binance. Miguel introdujo su contraseña. Después, su código 2FA. Pero el ataque real no era robarle la cuenta de Binance. --- ## El contrato que nadie leyó La página le pedía "verificar su wallet" para "confirmar la titularidad de los fondos". Era un formulario de conexión de MetaMask. Al conectar, apareció una ventana de firma. El texto decía algo sobre "verificación de identidad". Miguel aprobó. Lo que en realidad firmó fue un `setApprovalForAll` — una instrucción que le daba al contrato del atacante permiso para mover **todos** sus NFTs y tokens ERC-20 sin ninguna confirmación adicional. 4 minutos después, su wallet estaba vacía. --- ## Los tres vectores que usaron Este ataque no fue sofisticado. Fue sistemático. Usaron exactamente los tres vectores que más víctimas hacen en crypto: **1. Email con dominio joven + typosquatting** `binance-secure.com` vs `binance.com`. Tu cerebro autocompleta. El dominio tenía 11 días — suficientemente nuevo para que las listas negras no lo tuvieran, suficientemente bien construido para parecer legítimo. **2. Urgencia artificial** "2 horas para actuar" desactiva el pensamiento crítico. En crypto, la prisa es siempre una señal de alarma. **3. Contrato drainer con `setApprovalForAll`** Una sola firma. Sin límite de cantidad. Sin tiempo de expiración. Es el equivalente a darle a alguien las llaves de tu casa y la dirección de tu banco. --- ## Cómo no caer en la misma trampa La buena noticia: los tres vectores son detectables antes de que hagas clic. **Para dominios y URLs:** Antes de introducir cualquier credencial, verifica la antigüedad del dominio. Un dominio legítimo de un exchange lleva años registrado. Si tiene menos de 90 días, para. **Para emails:** Mira el dominio real del remitente — no el nombre que aparece en tu inbox. `Binance Support ` no es Binance. Nunca lo será. **Para contratos:** Antes de firmar cualquier cosa en MetaMask, lee exactamente qué estás autorizando. `setApprovalForAll: true` sin límite es casi siempre una trampa. Usa un simulador de transacciones. --- ## La regla de la manada En Wolfsfera hemos analizado más de 200 casos de robo en los últimos 18 meses. El patrón es siempre el mismo: **prisa + confianza visual + una firma**. Rompe cualquiera de los tres y el ataque falla. Nuestro motor Wolf Security analiza dominios sospechosos, contratos y emails antes de que interactúes con ellos — puedes consultarlo en [wolfsfera.com/wolf-security](https://wolfsfera.com/wolf-security). No es magia: es RDAP, TLS, DNS y análisis de bytecode. Exactamente lo que Miguel necesitaba a las 2:47 de la madrugada. --- *Miguel no es una persona real, pero su historia sí ocurre. Cada día. A personas con experiencia.* **Comparte este artículo si conoces a alguien que opera en crypto. Puede ser la diferencia.**