- El SMS como segundo factor es el eslabón más débil: el SIM swapping permite a un atacante recibir tus códigos sin tocar tu teléfono.
- Una app de códigos temporales (TOTP) o una llave física FIDO2 blinda el acceso aunque roben tu contraseña.
- El código anti-phishing y la whitelist de direcciones de retiro son dos ajustes gratuitos que casi nadie activa y que frenan el robo incluso con la cuenta abierta.
La mayoría de los robos de saldo en plataformas de intercambio no comienzan con un fallo de la plataforma, sino con el acceso a una cuenta mal protegida. Según el Informe sobre Delitos en Internet del Buró Federal de Investigaciones de Estados Unidos (FBI), las denuncias por fraude con criptomonedas superaron los 5.600 millones de dólares en pérdidas reportadas, una cifra en la que el control indebido de cuentas y el robo de credenciales pesan de forma creciente. El exchange es el punto donde se cruzan tus fondos, tu identidad verificada y tu correo, y por eso concentra el interés de los atacantes.
Vale aclarar que ninguna de las defensas que siguen exige conocimientos técnicos ni dinero: todas están en el menú de seguridad de cualquier plataforma seria. La diferencia entre una cuenta vulnerable y una blindada suele reducirse a media docena de ajustes que el usuario tenía delante y nunca tocó.
El SMS como segundo factor es el eslabón más débil
La autenticación de dos factores (2FA) por mensaje de texto da una falsa sensación de seguridad. El problema no es el código en sí, sino el canal: el SMS viaja a tu número de teléfono, y ese número puede ser secuestrado mediante SIM swapping, una técnica en la que el atacante convence a la operadora de portar tu línea a una tarjeta SIM bajo su control.
Una vez que el delincuente recibe tus mensajes, los códigos de verificación llegan directamente a su dispositivo. A esto se suma que el SMS también es el canal de recuperación de muchas cuentas de correo, lo que multiplica el daño. La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) desaconseja expresamente el SMS como segundo factor frente a alternativas más robustas, precisamente por su exposición a la interceptación.
Apps TOTP frente a llaves físicas: qué nivel elegir
El siguiente escalón es la contraseña de un solo uso basada en tiempo (TOTP), los códigos de seis dígitos que rotan cada treinta segundos en aplicaciones como las de autenticación. Su ventaja es que el código se genera en tu dispositivo, sin viajar por la red: nadie puede interceptarlo desde la operadora.
El nivel superior lo marcan las llaves de seguridad físicas con estándar FIDO2, dispositivos que se conectan por USB o NFC y que validan el inicio de sesión con una pulsación. Su fortaleza es que están vinculadas al dominio real del exchange: si una web falsa intenta autenticarte, la llave sencillamente no responde, lo que neutraliza el phishing de raíz.
Un segundo factor solo protege de verdad cuando no puede ser interceptado ni copiado a distancia; ahí es donde la llave física marca la diferencia frente al código que se teclea.
Para la mayoría de los usuarios, una app TOTP ofrece una protección sólida y suficiente. Sin embargo, quien custodia saldos elevados o usa la plataforma como base de operaciones recurrente encuentra en la llave física una capa difícil de superar. Vale destacar que conviene guardar los códigos de respaldo que el exchange entrega al activar el 2FA: son la vía de recuperación si se pierde el teléfono o la llave.
El código anti-phishing, el ajuste que casi nadie activa
El código anti-phishing es una de las defensas más infravaloradas y, a la vez, de las más simples. Consiste en una palabra o secuencia que el usuario define en su configuración y que la plataforma incluye en todos los correos legítimos que envía.
El mecanismo es directo: si recibes un mensaje que dice ser del exchange pero no contiene tu código personal, es falso. Cabe destacar que el phishing por correo —mensajes que imitan a la plataforma para que introduzcas tus credenciales en una web clonada— sigue siendo una de las vías de robo más frecuentes, como detalla el repaso de las estafas con criptomonedas más comunes. Un código anti-phishing convierte un correo fraudulento en algo evidente de un vistazo, sin depender de revisar el remitente con lupa.
La whitelist de direcciones de retiro frena la fuga de fondos
Aun cuando un atacante logra entrar en la cuenta, todavía necesita sacar los fondos, y ahí entra la whitelist o lista blanca de direcciones de retiro. Activada esta función, la plataforma solo permite enviar criptomonedas a direcciones previamente autorizadas por el titular; cualquier intento de retirar a una dirección nueva queda bloqueado.
Las plataformas suelen reforzar esta capa con un periodo de espera de 24 a 48 horas cada vez que se añade una dirección nueva, una ventana pensada para que el usuario reciba la alerta y reaccione antes de que el dinero se mueva. Asimismo, conviene activar las notificaciones de retiro por correo: son a menudo el primer aviso de que algo va mal. La whitelist es, en la práctica, el último cortafuegos entre un acceso comprometido y la pérdida efectiva de los fondos.
Contraseña única y correo dedicado: la higiene que sostiene todo lo demás
Las capas anteriores se apoyan sobre dos cimientos básicos. El primero es una contraseña larga, única y nunca reutilizada: la mayor parte de los accesos no autorizados se producen por credenciales filtradas en otros servicios y probadas en masa, una técnica conocida como «relleno de credenciales». Un gestor de contraseñas resuelve el problema sin esfuerzo de memoria.
El segundo cimiento es un correo electrónico dedicado en exclusiva a las plataformas de criptomonedas, distinto del personal y protegido también con 2FA. Es importante aclarar que ese buzón es la puerta maestra: quien controla tu correo puede solicitar restablecer contraseñas y desactivar protecciones. Esta lógica de aislar lo crítico es la misma que separa el saldo operativo de los ahorros a largo plazo, una decisión que se explica al comparar una hot wallet frente a una cold wallet: lo que está conectado se protege, pero lo que no se va a tocar conviene sacarlo de la plataforma.
Señales de que la cuenta ya está comprometida
Conviene reconocer los síntomas a tiempo, porque la reacción rápida limita el daño. Entre las señales de alerta figuran inicios de sesión desde ubicaciones o dispositivos desconocidos, cambios en la configuración de seguridad que el usuario no realizó, correos de confirmación de operaciones inexistentes o la imposibilidad repentina de acceder a la cuenta.
Ante cualquiera de estos indicios, la recomendación general es cambiar de inmediato la contraseña, revisar las sesiones activas y revocarlas, y contactar con el soporte de la plataforma. Si los fondos ya se han movido, la velocidad es determinante y conviene seguir un protocolo ordenado, como el que detalla la guía sobre qué hacer si te robaron tus criptomonedas. Por otro lado, antes incluso de elegir dónde operar, vale la pena comparar las plataformas de intercambio y revisar qué funciones de seguridad ofrece cada una, porque no todas incluyen whitelist, código anti-phishing o soporte para llaves físicas.
Más allá de cada ajuste concreto, la protección de una cuenta de intercambio funciona por capas que se refuerzan entre sí: un segundo factor robusto evita el acceso, el código anti-phishing desactiva el engaño y la whitelist contiene la fuga. La seguridad real dependerá menos de una herramienta milagrosa y más de si el usuario dedica unos minutos a activar todas las defensas disponibles, o si las deja apagadas confiando en que el ataque le tocará a otro.
¿Tienes información para nuestro equipo?
Si conoces una noticia o tienes una filtración, escríbenos de forma confidencial.
