Bitcoinbtc56.079,00 €+2.18%Ethereumeth1562,70 €+2.92%Tetherusdt0,874993 €+0.21%BNBbnb500,52 €+0.63%USDCusdc0,875421 €+0.15%XRPxrp0,96389 €+0.94%Solanasol67,89 €+0.06%TRONtrx0,289052 €-0.03%Figure Helocfigr_heloc0,877688 €-2.92%Hyperliquidhype59,05 €+0.15%Dogecoindoge0,064483 €+1.96%USDSusds0,875354 €+0.15%Rainrain0,012562 €-0.65%LEO Tokenleo8,22 €-1.07%Zcashzec441,92 €+8.63%WhiteBIT Coinwbt49,00 €+1.10%Stellarxlm0,164815 €+3.88%Cardanoada0,145313 €-1.22%Moneroxmr279,47 €+1.27%Chainlinklink6,91 €+2.66%Bitcoinbtc56.079,00 €+2.18%Ethereumeth1562,70 €+2.92%Tetherusdt0,874993 €+0.21%BNBbnb500,52 €+0.63%USDCusdc0,875421 €+0.15%XRPxrp0,96389 €+0.94%Solanasol67,89 €+0.06%TRONtrx0,289052 €-0.03%Figure Helocfigr_heloc0,877688 €-2.92%Hyperliquidhype59,05 €+0.15%Dogecoindoge0,064483 €+1.96%USDSusds0,875354 €+0.15%Rainrain0,012562 €-0.65%LEO Tokenleo8,22 €-1.07%Zcashzec441,92 €+8.63%WhiteBIT Coinwbt49,00 €+1.10%Stellarxlm0,164815 €+3.88%Cardanoada0,145313 €-1.22%Moneroxmr279,47 €+1.27%Chainlinklink6,91 €+2.66%
Seguridad

Un trader pierde casi un millon de dolares al firmar una aprobacion de token maliciosa

El fraude no toco su clave privada: basto una firma para que un contrato drenara el saldo en tres transferencias.

Por Elena Pérez· 10 de julio de 2026 · 5 min de lectura
Un trader pierde casi un millon de dolares al firmar una aprobacion de token maliciosa
Un trader pierde casi un millon de dolares al firmar una aprobacion de token maliciosa · Fuente: Generada con IA Generativa
Lo que debes saber
  • Un trader perdió 999.999 USDT tras firmar una aprobación de token maliciosa; el ataque se detectó el 8 de julio de 2026, según la firma de seguridad Scam Sniffer.
  • No hubo robo de claves privadas: la víctima autorizó voluntariamente un contrato que después vació el saldo.
  • El script atacante intentó drenar una cifra redonda, falló por fondos insuficientes y recalculó el saldo exacto restante en tres transferencias.
  • Revocar aprobaciones antiguas y usar un hardware wallet reduce de forma drástica la superficie de este fraude.

Un usuario perdió 999.999 USDT en la red de Ethereum (ETH) después de firmar una aprobación de token fraudulenta, en un ataque de phishing detectado el 8 de julio de 2026, según reportó la firma de análisis on-chain Scam Sniffer a través de la red social X. El caso no implicó ningún fallo técnico del protocolo ni el robo de la clave privada de la víctima: fue la propia firma del usuario la que abrió la puerta.

Vale destacar que el patrón se repite con una frecuencia creciente. De acuerdo con datos de Scam Sniffer, los ataques de phishing acumularon 723 millones de dólares en pérdidas a lo largo de 248 incidentes durante 2025, dentro de un ecosistema donde las estafas on-chain movieron al menos 14.000 millones de dólares ese mismo año.

Cómo se firmó una pérdida de casi un millón de dólares

Según la reconstrucción de Scam Sniffer, el atacante intentó primero drenar una cantidad redonda cercana al millón de dólares mediante multicalls, un tipo de transacción que agrupa varias órdenes. La operación falló porque el saldo disponible no cubría la cifra exacta solicitada.

Lejos de rendirse, el software malicioso ajustó su objetivo. «El script recalculó y extrajo el saldo exacto restante», señaló la firma de seguridad, que documentó cómo los fondos salieron de la billetera en tres transferencias sucesivas hasta dejarla prácticamente en cero. Todo ello sin que el atacante necesitara en ningún momento la contraseña o la frase semilla del usuario.

Qué es una aprobación de token y por qué es tan peligrosa

En redes como Ethereum, cada vez que una aplicación descentralizada necesita mover tus tokens —un intercambio, un préstamo, un staking— le concedes un permiso llamado aprobación (approval) o allowance. Es la función approve del estándar ERC-20, y autoriza a un contrato a gastar tus fondos en tu nombre.

El problema aparece cuando esa autorización es ilimitada y a favor de un contrato malicioso. Muchas interfaces piden por comodidad un permiso «infinito» para no repetir la firma en cada operación. Si el contrato beneficiario está bajo control de un estafador, ese permiso equivale a entregarle una llave maestra de tu saldo, activa hasta que decidas revocarla. Puedes repasar estos conceptos en nuestro glosario de términos cripto.

La firma que vacía la billetera sin robar la clave

Es importante aclarar que este vector no rompe la criptografía de la billetera. La víctima conserva en todo momento su clave privada; lo que ocurre es que autoriza una operación cuyo alcance real no comprende. La diferencia entre custodiar tu clave y entender qué firmas es justamente donde se concentra el riesgo, como explicamos en esta guía sobre clave pública y privada.

El phishing de aprobaciones se apoya en la ingeniería social: webs clonadas de proyectos legítimos, airdrops falsos, mensajes de soporte fraudulentos o anuncios patrocinados que redirigen a un dominio casi idéntico al original. La firma parece rutinaria, pero detrás va una autorización de gasto. Entender cómo funcionan las firmas digitales ayuda a distinguir cuándo estás moviendo fondos y cuándo estás cediendo control sobre ellos.

Cómo revisar y revocar las aprobaciones activas

La defensa más inmediata y gratuita es auditar periódicamente los permisos que has concedido. Herramientas como Revoke.cash o el propio panel de aprobaciones de Etherscan permiten conectar tu billetera en modo lectura y listar todos los contratos con acceso a tus tokens. Desde ahí puedes retirar el permiso con una sola transacción.

Como norma de higiene, conviene revocar cualquier aprobación que no reconozcas o que ya no uses, y desconfiar por defecto de los permisos «ilimitados». Otorgar aprobaciones por el importe exacto de cada operación, en lugar de un cheque en blanco, limita el daño si más adelante ese contrato resulta comprometido. Vale recordar que revocar tiene un pequeño coste de gas, pero es ínfimo frente al saldo que protege.

Simuladores, hardware wallet y una regla de oro antes de firmar

A esto se suma una capa técnica cada vez más accesible. Varias extensiones de billetera incorporan simuladores de transacciones que muestran, antes de firmar, qué activos saldrían de tu cuenta y hacia dónde. Si la simulación indica una transferencia que no esperabas, es la señal para detenerse.

Asimismo, un hardware wallet obliga a confirmar cada operación en un dispositivo físico, con los detalles a la vista, lo que reduce el margen de una firma automática o precipitada. Combinarlo con una autenticación robusta en tus cuentas y exchanges —como detallamos en nuestra guía sobre 2FA— eleva de forma notable el listón para el atacante. La regla de oro, según recomiendan de forma reiterada firmas como Scam Sniffer, es sencilla: no firmar nunca una transacción cuyo efecto no se entiende por completo.

Sin embargo, ninguna herramienta sustituye al criterio del propio usuario. Mientras las interfaces sigan normalizando los permisos ilimitados y los estafadores perfeccionen la clonación de dominios, la frontera entre una operación legítima y un vaciado de billetera dependerá de si el sector logra imponer aprobaciones acotadas por defecto o si la responsabilidad última seguirá recayendo, transacción a transacción, en quien pulsa «firmar».

¿Tienes información para nuestro equipo?

Si conoces una noticia o tienes una filtración, escríbenos de forma confidencial.

Contáctanos

Artículos relacionados

Interpol destapa una cartera cripto de 122 millones ligada a estafas románticas
seguridad

Interpol destapa una cartera cripto de 122 millones ligada a estafas románticas

Por Elena Pérez · 10 de julio de 2026 · 5 min

Ver más de Seguridad

Lo último

Ver todas las noticias