Las 10 estafas cripto más comunes y cómo detectarlas a tiempo

Detecta estafas cripto temprano con checklist práctico. Evita aprobaciones peligrosas, phishing, deepfakes y rug pulls

1. Checklist rápido de detección en 60 segundos

Mini plan rápido

  • Validar la identidad del emisor y el dominio antes de tocar la wallet
  • Revisar permisos y firmas que puedan dar gasto ilimitado
  • Buscar señales de urgencia y promesas imposibles

Chequeo express

  • URL y dominio con tipografías raras o caracteres que imitan letras
  • Mensajes que fuerzan a actuar ya con bloqueo de cuenta o premio limitado
  • Petición de firmar con la wallet sin contexto claro o desde un sitio recién descubierto
  • Descarga de archivos o extensiones fuera de las tiendas oficiales
  • Promesas de rentabilidad fija o duplicación de fondos
  • Soporte que contacta por DM o por teléfono de forma proactiva

Qué haría en un minuto

  • Abrir el sitio escribiendo el dominio a mano en vez de usar enlaces
  • Mirar el candado HTTPS y el nombre real del dominio
  • Probar el enlace en un navegador aislado tipo perfil invitado
  • Si aparece una firma ciega detengo todo y verifico qué función pide
  • Busco el proyecto en su canal oficial y comparo anuncios
  • Si algo huele raro cierro todo y vuelvo en frío con otra conexión

Matriz de señales rojas y verdes

SituaciónSeñales rojasSeñales verdesAcción inmediata
Enlace por DMUrgencia y faltas de ortografíaComunicación por canales verificadosNo hacer clic y verificar anuncio en el canal oficial
Firma en la walletPermiso de gasto ilimitado o aprobación de tokens no esperadosFirma de lectura o login sin permisos de gastoCancelar y revisar permisos antes de seguir
Oferta de inversiónRentabilidad fija y capturas dudosasRiesgo explicado y documentación auditadaNo enviar fondos y solicitar documentación técnica
Descarga de appArchivo fuera de tienda oficialApp listada y con desarrollador verificableNo instalar y escanear con antivirus

2. Phishing y firma ciega con aprobaciones tipo drainers

Cómo funciona
El atacante te empuja a un sitio o mensaje que parece legítimo. Allí intenta que firmes algo con la wallet. Si la firma otorga permisos de gasto o acceso a tokens el drainer puede vaciar tus fondos. A veces no te piden frase semilla de forma directa. Se conforman con una aprobación maliciosa que queda olvidada y activa.

Señales tempranas

  • Pop ups que abren MetaMask o tu wallet sin que tú lo hayas solicitado
  • Solicitud de aprobar gasto ilimitado sobre un token que no usabas
  • Dominios con letras similares a las reales
  • Soporte que te pide conectar la wallet para verificar identidad
  • Páginas de airdrop donde todo es urgente y la cuenta atrás presiona

Cómo me protejo

  • Reviso siempre qué contrato y qué función voy a firmar. Si no lo entiendo paro
  • Limito aprobaciones a importes pequeños y a contratos confiables
  • Uso listas blancas para direcciones de destino frecuentes
  • Mantengo fondos a largo plazo en una hardware wallet y uso una hot wallet de batalla con saldo acotado
  • Tras usar dapps nuevas reviso permisos y revoco lo que no necesito

Qué hacer si ya firmaste

  • Corto conexión y cierro todo
  • Revoco permisos del token afectado cuanto antes
  • Muevo fondos a una nueva dirección segura
  • Cambio contraseñas de correos y servicios vinculados por si hubo malware

3. Rug pulls y honeypots

Diferencias clave
Rug pull es retirada de liquidez o abandono del proyecto dejando el token sin valor. Honeypot es un contrato que permite comprar pero impide vender a la mayoría de usuarios. En ambos casos el objetivo es dejarte atrapado.

Señales tempranas

  • Liquidez bloqueada sin pruebas o con plazos irrisorios
  • Contrato sin renuncia de propiedad cuando dicen que sí
  • Gran parte del suministro en pocas direcciones
  • Sitio con equipo anónimo y sin historial verificable
  • Gráficos con volumen mínimo y saltos bruscos

Diligencia debida esencial

  • Leer el contrato de forma básica y buscar funciones de bloqueo de venta
  • Ver distribución de tokens y wallet del deployer
  • Confirmar bloqueo de liquidez en un servicio público
  • Comprobar si hay auditorías reales y si cubren la versión actual del contrato
  • Evitar inversiones por FOMO y nunca con fondos que no puedas perder

4. Pump and dump y shilling agresivo

Patrón típico
Se crea un ruido artificial con grupos de señales o cuentas influyentes. Entran temprano quienes controlan el movimiento. Luego llega la masa que compra tarde. Cuando sube lo suficiente venden los promotores y el precio cae.

Indicadores on chain y fuera de cadena

  • Muchas compras de pocas direcciones que ya estaban financiadas entre sí
  • Picos de menciones en redes muy por encima del interés orgánico
  • Mensajes con promesas de salida a exchange importante sin pruebas
  • Roadmap genérico y sin entregables claros

Cómo no ser liquidez de salida

  • No comprar por mensajes de urgencia o por capturas sin fuente
  • Exigir documentación y un caso de uso con usuarios reales
  • Revisar si el equipo responde preguntas difíciles y con datos
  • Esperar confirmaciones como listados oficiales y avances verificables
  • Mantener un plan de entradas y salidas por niveles y con riesgo acotado

5. Deepfakes e impersonación de equipos y soporte

Qué están haciendo los estafadores
Usan voz e imagen generadas con IA para imitar a fundadores o a soporte. Montan directos falsos con cuentas que parecen oficiales. Ofrecen airdrops con enlaces que conducen a firmas peligrosas.

Cómo detecto el engaño

  • Micro desincronización entre voz y labios
  • Gestos repetidos de forma robótica
  • Cuentas con fecha de creación reciente y sin historial de interacción real
  • Enlaces acortados sin dominio oficial

Medidas prácticas

  • Verifico anuncios en la web y perfiles verificados
  • Nunca sigo instrucciones de inversión recibidas por DM
  • Pido confirmación por un segundo canal que yo elijo
  • Reporto cuentas falsas para que la plataforma actúe

6. Estafas románticas tipo pig butchering

Fases del engaño
Primero entra la fase de confianza con conversación diaria y afecto. Luego te muestran ganancias de un supuesto sistema. Por último llega la fase de extracción con depósitos cada vez mayores. Si te resistes usan culpa o amenazas.

Banderas rojas

  • Perfil idílico con vida perfecta y disponibilidad total
  • Conocimiento sorprendente de trading pero cero transparencia
  • Petición de mover la conversación a mensajería privada
  • Solicitud de pruebas de confianza con pequeños depósitos iniciales

Cómo me blindo

  • Separo vida personal y finanzas. Jamás mezclo amor con inversión
  • Valido plataformas por mi cuenta y no aporto capital por presión emocional
  • Si ya hubo dinero corto contacto y guardo evidencias de mensajes y direcciones
  • Busco ayuda en una red de apoyo para evitar recaídas

7. Soporte técnico falso y apps clonadas de exchanges

Tácticas habituales
Aparecen ventanas emergentes que anuncian bloqueos de cuenta. Ofrecen un teléfono o chat de soporte que pide conectar la wallet o entregar códigos. También existen apps clonadas con iconos y nombres casi idénticos a los reales.

Cómo verifico

  • Nunca uso teléfonos publicados en pop ups o hilos sospechosos
  • Descargo apps desde tiendas oficiales y reviso el desarrollador real
  • Entro al soporte desde la web escrita a mano y no desde enlaces enviados
  • Si hay una alerta que fuerza acciones inmediatas la ignoro hasta validar

Plan de acción

  • No ceder control remoto del dispositivo a desconocidos
  • No compartir códigos de autenticación ni claves
  • Registrar captura del engaño y avisar a la plataforma legítima

8. Grupos de señales y gestores milagro

La estructura del timo
Prometen entradas ganadoras y comisiones solo por éxito. Al principio muestran aciertos que pueden ser inventados. Después te empujan a mover capital a una plataforma bajo su control.

Señales de alerta

  • Historial de operaciones imposible y sin auditoría
  • Pantallazos sin trazabilidad
  • Presión para depositar en un sitio desconocido
  • Falta de reglas de riesgo y de control independiente

Política personal

  • No pago por señales que no pueda verificar
  • Solo confío en métricas auditable y cuentas con track record público
  • Si el negocio depende de traer a más gente es un foco rojo

9. Descargas maliciosas del tipo prueba mi juego en Discord o Steam

Cómo operan
Te comparten un archivo que parece un juego o una demo. Al ejecutarlo instala un ladrón de cookies o un grabador de pantalla. De esa forma toman sesiones de tus cuentas y desde ahí atacan tus fondos.

Defensa por capas

  • Ejecutar descargas en un equipo aislado o máquina virtual
  • Usar antivirus con protección en tiempo real
  • Bloquear instalación de extensiones fuera de la tienda
  • Mantener actualizado el sistema y el navegador
  • Cerrar sesión en servicios críticos cuando no los uses

Hábitos que me evitan problemas

  • No ejecuto binarios de desconocidos
  • Rechazo archivos comprimidos con contraseñas
  • Reviso firmas digitales de instaladores cuando existen

10. Giveaways y airdrops más cajeros cripto con comisiones y urgencias

Trucos más usados
Anuncian sorteos que piden conectar la wallet para verificar elegibilidad. Piden una pequeña comisión para liberar un premio. En cajeros promueven convertir efectivo con comisión extra sin explicar costes y riesgos.

Verificación de legitimidad

  • Anuncio replicado en web oficial y perfiles verificados
  • Condiciones claras sin pedir pagos adelantados
  • Plazos y reglas transparentes y comprobables

Mi regla simple
Si para cobrar un premio debo pagar o firmar permisos amplios no participo. Un airdrop legítimo no necesita gasto previo para liberar supuestas recompensas.

11. Primeros auxilios cripto de 0 a 10 minutos

Objetivo
Cortar la pérdida y preservar evidencia para posibles recuperaciones. El tiempo es clave.

Pasos inmediatos

  • Activar modo avión si sospecho de malware y reconectar desde un dispositivo limpio
  • Revocar permisos en los tokens que puedan haber quedado expuestos
  • Mover fondos a una nueva dirección que yo controle con hardware wallet
  • Cambiar contraseñas de correo y de servicios con autenticación
  • Guardar direcciones y transacciones para seguimiento
  • Avisar a la comunidad y a la plataforma legítima para que emita alertas

De 10 a 60 minutos

  • Reinstalar extensiones y revisar con antivirus
  • Documentar todo en un archivo con capturas y tiempos
  • Consultar con amigos de confianza para evitar nuevas acciones impulsivas

13. Conclusión

La mejor defensa es la suma de atención más hábitos sencillos. Yo reduzco la superficie de ataque con una hot wallet de uso diario y resguardo el patrimonio en hardware wallet. Evito urgencias y firmo solo lo que entiendo. Ante la duda freno y verifico en un segundo canal. Con estas reglas se pueden esquivar la mayoría de fraudes cripto y detectar el engaño antes de que sea tarde

Juanjo Linares
Soy inversor particular desde 2019. Empecé con Bitcoin y otras criptomonedas y hoy me centro en metales y acciones. En Inverthoy comparto análisis con metodología clara, números, costes visibles y evaluación de riesgos. Este contenido es solo informativo, no es asesoramiento financiero.

Lo Último

¿Por qué Bitcoin ha bajado tanto? Causas reales (y qué mirar a partir de ahora)

Bitcoin vs Ethereum vs altcoins la comparativa definitiva guiada por liquidez

Por qué elegir futuros antes que CFDs comparativa honesta para decidir bien