El mercado cripto es abierto y poco regulado, lo que lo convierte en objetivo frecuente de estafadores. Esta guía cubre los 8 tipos de fraude más comunes.
Los sitios de phishing son páginas falsas que imitan casi perfectamente exchanges o carteras legítimas. Los estafadores distribuyen enlaces a través de anuncios, correos falsos o redes sociales para que las víctimas ingresen sus credenciales.
La técnica más común es hacer pequeños cambios en el nombre de dominio: reemplazar la letra "l" con el número "1", agregar guiones extra (ej. binance-pro.com) o usar un dominio de nivel superior diferente. Algunos sitios de phishing avanzados incluso tienen certificados HTTPS válidos.
La defensa más efectiva es acceder al exchange solo a través de marcadores configurados por ti mismo, nunca haciendo clic en enlaces de correos, Telegram o redes sociales.
Los estafadores en Telegram, Twitter/X y Discord se hacen pasar por soporte oficial de exchanges y contactan a los usuarios proactivamente. Un escenario común: publicas una pregunta en una comunidad oficial y en minutos recibes un mensaje privado de un supuesto "agente".
El objetivo final es casi siempre obtener tu frase semilla o clave privada, o hacerte transferir fondos a una dirección de "verificación". El soporte real nunca inicia mensajes directos ni pide contraseñas.
Otra variante es la estafa de "pantalla compartida": el falso agente te pide instalar software de control remoto para "resolver" tu problema y luego transfiere tus fondos.
Las estafas de alta rentabilidad prometen retornos diarios estables del 1-5%, alegando usar "bots de arbitraje" o "estrategias cuantitativas". En realidad son esquemas Ponzi: los inversores tempranos se pagan con el dinero de los nuevos hasta que el esquema colapsa.
Señales de alerta típicas: retornos sospechosamente estables, imposibilidad de retirar el capital libremente, requisito de referidos, equipo anónimo o difuso, sin registros de operaciones verificables.
En cripto, los esquemas Ponzi aparecen como: pools de liquidez DeFi con "alto APY", "hosting" de mineros, plataformas de "trading con IA" y estructuras MLM tradicionales.
Las estafas de airdrops falsos atraen a las víctimas con "conecta tu cartera para reclamar tokens gratuitos". Al conectarte y firmar la transacción, en realidad autorizas un contrato malicioso que vacía tu cartera.
Las estafas de "regalos de celebridades" también son frecuentes: posts falsos de Elon Musk, CZ u otras figuras prometen "envía 1 BTC, recibe 2". Las víctimas han perdido cientos de millones de dólares.
Un exit scam de exchange ocurre cuando los operadores de la plataforma desaparecen con los fondos de los usuarios. Suele ocurrir en exchanges pequeños y no regulados. El patrón: la plataforma atrae depósitos con altos bonos → los retiros entran en "mantenimiento" → el sitio desaparece.
El colapso de FTX (noviembre 2022) fue uno de los mayores desastres de exchanges en la historia, con más de $10 mil millones en fondos mal apropiados. Recordó que incluso plataformas grandes tienen riesgos — elegir exchanges regulados con Proof of Reserves es esencial.
Los principales exchanges como Binance, OKX, Bybit y Bitget se someten a auditorías de terceros, publican Proof of Reserves y tienen años de operaciones — son las opciones más seguras.
Los principales exchanges regulados como Binance, OKX y Bybit tienen licencias en múltiples países, publican pruebas de reservas y operan con transparencia. Empezar con una plataforma verificada es la medida más eficaz contra las estafas.
Comparar exchanges seguros →"No son tus llaves, no son tus monedas." Tu frase semilla (12 o 24 palabras) genera todas tus claves privadas — quien la tenga controla completamente tu cartera.
Para grandes cantidades, una cartera hardware (Ledger, Trezor) es el método más seguro. Las claves privadas se almacenan en un chip offline; incluso con un ordenador infectado, la cartera hardware permanece segura.
Tu frase semilla debe respaldarse físicamente — escrita a mano o grabada en metal. Nunca la fotografíes ni la guardes en la nube. Una vez expuesta, la cartera puede vaciarse en segundos.
La 2FA añade una segunda capa de protección más allá de tu contraseña. Incluso si tu contraseña es comprometida, un atacante no puede iniciar sesión sin el segundo factor.
Usa Google Authenticator, Authy o una clave de seguridad hardware (YubiKey). Evita el 2FA por SMS — los atacantes pueden realizar un SIM swap para transferir tu número a un dispositivo que controlan.
Al configurar 2FA, guarda físicamente los códigos de recuperación. Sin ellos, si pierdes el teléfono, podrías perder acceso permanentemente a tu cuenta.
Las claves API permiten que software de terceros (bots de trading, rastreadores) accedan a tu cuenta. Si una clave se filtra o tiene permisos excesivos, un atacante puede operar en tu nombre o transferir fondos si el permiso de retiro está activado.
Muchos usuarios pegan claves API en herramientas no confiables o las hardcodean en repositorios públicos (GitHub). Los escáneres automatizados las encuentran en minutos.
Mejores prácticas: permisos mínimos (nunca actives retiros), restricción por IP, rotación regular y nunca en el código fuente.
Registrarte en un exchange regulado, completar el KYC y activar el 2FA son los tres pasos básicos de protección. Cex101 ha preparado una comparación completa de los principales exchanges del mundo.
Ver exchanges recomendados