MetaMask: rumor de robo de 5 000 ETH y respuesta del equipo

Aumento reciente de incidentes de seguridad en carteras

El 18 de abril, el desarrollador de MetaMask @tayvano_ publicó en la comunidad un tuit que anunciaba el robo de 5 000 ETH. El mensaje desató una ola de especulaciones y temor sobre la posible existencia de vulnerabilidades en MetaMask. Al día siguiente, el equipo oficial de MetaMask respondió que el rumor del robo era falso, pero que ya estaban investigando el origen potencial de alguna falla.

El 20 de abril, el equipo de imToken emitió una alerta advirtiendo que criminales se estaban haciendo pasar por empleados de imToken, usando mensajes de texto y otros canales para inducir a los usuarios a visitar sitios de phishing y revelar sus frases mnemónicas, lo que provocó la pérdida de fondos. Solo un día después, investigadores de SlowMist detectaron que, al buscar “imToken” en Google, el anuncio destacado estaba ocupado por un sitio web malicioso, y advirtieron a los usuarios que no hicieran clic.

El 22 de abril, Trust Wallet publicó un comunicado indicando que las direcciones de carteras creadas entre el 14 y el 23 de noviembre del año pasado presentaban una brecha de seguridad, y que ya habían iniciado el proceso de compensación.

Con la creciente demanda de interacciones en DeFi, NFT y otras aplicaciones on‑chain, los usuarios ya no se limitan a mantener sus fondos en exchanges centralizados; cada vez más personas depositan sus tokens en carteras personales. Esta tendencia amplía la superficie de ataque para los hackers, cuyos vectores más comunes incluyen errores de autorización, descarga de aplicaciones maliciosas y vulnerabilidades propias de la cartera. Por ello, la seguridad de los activos se ha convertido en una habilidad esencial que todo poseedor de criptomonedas debe dominar.

A continuación, abordaremos los conceptos básicos de las carteras, casos típicos de robos y medidas de protección de claves privadas, con el objetivo de reducir la probabilidad de que sus activos sean sustraídos.

En este artículo analizamos varios incidentes recientes de robo en carteras populares, revelamos la evolución de los ataques de phishing y ofrecemos medidas prácticas de defensa. Al desglosar los casos de MetaMask, imToken, Trust Wallet y otros, ayudamos a los usuarios a identificar riesgos y a mejorar la seguridad de sus fondos.

Conceptos básicos de una cartera

Antes de hablar de seguridad, es útil comprender algunas nociones clave que facilitan la implementación de buenas prácticas.

1. Cifrado simétrico vs. cifrado asimétrico

Cifrado simétrico: el emisor y el receptor utilizan el mismo algoritmo y la misma clave para cifrar y descifrar.

Cifrado asimétrico: se emplea un par de claves – una pública y una privada. La clave pública sirve para cifrar, mientras que la privada se usa para descifrar; ambas claves no son intercambiables.

Como se observa, la clave pública y la privada del receptor no son la misma llave.

2. Clave pública, clave privada, frase mnemónica y dirección

Una vez entendido el tipo de cifrado, veamos los componentes internos más habituales de una cartera.

• Par de claves: compuesto por una clave pública (visible) y una clave privada (secreta).
• Clave pública: se utiliza para cifrar datos; solo la clave privada correspondiente puede descifrarlos.
• Clave privada: genera la clave pública y permite descifrar la información cifrada con ella.
• Dirección: cadena corta obtenida al aplicar un algoritmo de compresión a la clave pública; sirve para identificar la cuenta en la cadena.
• Frase mnemónica: conjunto de palabras legibles (usualmente 12) que simplifica la gestión de la clave privada; en esencia, equivale a la clave privada.

En la práctica, el usuario firma electrónicamente una transacción usando su clave privada (o la frase mnemónica que la deriva). Los nodos de la red verifican la firma mediante la clave pública, garantizando la autenticidad de la operación. Se puede comparar la clave pública (dirección) con el número de cuenta bancaria y la clave privada (frase mnemónica) con la contraseña de esa cuenta; quien posee la clave privada posee la propiedad total de los fondos.

3. Formas de almacenar la clave privada

Los activos no se guardan dentro de la aplicación de la cartera; permanecen bloqueados en la dirección de la cadena y solo pueden ser controlados por quien posea la clave privada. Por eso, la seguridad de la clave privada determina directamente la seguridad de los fondos. Al crear una cartera por primera vez, la mayoría de los programas advierten al usuario que haga una copia de seguridad adecuada; si la clave se pierde, no hay forma de recuperarla.

4. Carteras calientes y carteras frías

• Cartera caliente: extensiones de navegador, aplicaciones móviles, etc. Son cómodas y permiten transacciones rápidas, pero al estar siempre conectadas a internet su nivel de seguridad es menor.
• Cartera fría: dispositivos hardware que almacenan la clave privada de forma offline. Ofrecen alta resistencia a ataques y son recomendables para guardar grandes sumas a largo plazo; su uso implica conectar el dispositivo y autorizar operaciones de forma manual.

Una vez comprendidos estos conceptos, queda claro que todas las estrategias de defensa giran en torno a proteger la clave privada.

Casos típicos de robo

Los ejemplos reales permiten identificar los puntos críticos y aplicar defensas específicas.

1. Filtración de la frase mnemónica

• A principios de 2021, el fundador de *Shengcai Youshu* (亦仁) guardó su clave privada de Bitcoin en una nota en la nube. Como resultado, más de diez millones de dólares (≈ 180 millones MXN, ≈ 40 mil millones COP, ≈ 10 mil millones ARS) de BTC fueron sustraídos.

• En noviembre 2022, el creador de *Distributed Capital* (沈波) perdió una cartera que contenía 38 233 180 USDC, 1 607 ETH, 719 760 USDT y 4.13 BTC. La investigación de SlowMist concluyó que la causa fue la exposición de su frase mnemónica.

2. Pérdida de la clave privada

El ingeniero informático británico James Howells extravió en 2013 un disco duro que contenía aproximadamente 8 000 BTC. Nueve años después, sigue invirtiendo recursos considerables en la búsqueda del hardware.

3. Clic en enlaces maliciosos

• Un usuario hizo clic en un enlace desconocido, lo que permitió a un atacante leer la copia de seguridad cifrada de MetaMask almacenada localmente y transferir la totalidad de los fondos.

• Un KOL de Twitter abrió un enlace recibido por mensaje directo, vio comprometida su cuenta y, posteriormente, publicó un “airdrop” fraudulento que incitó a sus seguidores a hacer clic y perder sus activos.

4. Autorizaciones indiscriminadas o vulnerabilidades de contratos

• El 2 de octubre, el DEX Transit Swap (parte de Token Pocket) sufrió un ataque que ocasionó pérdidas superiores a 15 millones de dólares (≈ 270 millones MXN, ≈ 60 mil millones COP, ≈ 15 mil millones ARS). La empresa aconsejó a sus usuarios revocar las autorizaciones concedidas.

• El 11 de octubre, el plugin wallet Rabby de DeBank fue señalado por una vulnerabilidad en su contrato de intercambio; los atacantes explotaron la falla y obtuvieron alrededor de 190 000 USD (≈ 3.42 millones MXN, ≈ 760 millones COP, ≈ 190 millones ARS).

5. Descarga de aplicaciones falsificadas

• Hackers enviaron mensajes de texto alarmantes, induciendo a los usuarios a reinstalar una supuesta “aplicación oficial”. Tras iniciar sesión, los fondos fueron transferidos al atacante.

• Otro usuario instaló una versión falsificada de la Binance App y, al intentar transferir, envió 5 ETH a una dirección desconocida, perdiendo esos activos de forma permanente.

De estos ejemplos se desprende que la mayoría de los robos se originan en: filtración de la frase mnemónica, pérdida de la clave privada, interacción con enlaces de phishing, autorización indiscriminada y uso de software no oficial.

Medidas de prevención y mejores prácticas

1. Copia de seguridad segura de la clave privada

• Realice una doble copia inmediatamente después de crear la cartera, guardando al menos dos versiones offline.
• Escriba la frase mnemónica en papel y, si lo desea, encripte el texto (por ejemplo, añadiendo caracteres personalizados) o guárdela en un dispositivo que nunca se conecte a internet.
• Cuando sea posible, adquiera placas de metal oficiales para grabar la frase; el metal protege contra fuego, inundaciones y otros desastres.
• Para sumas considerables, opte por un hardware wallet de marca reconocida y adquiéralo exclusivamente a través de los canales oficiales, evitando distribuidores

Lectura Relacionada

• MetaMask: la billetera segura para Ethereum y DeFi
• MetaMask 小狐狸钱包深度评测：多链支持与安全机制全解析
• Guía completa de transferencia cross‑chain con MetaMask

💡 Regístrate en Binance con el código B2345 para el descuento máximo en comisiones. Ver guía completa Binance.

⚠️ Aviso de riesgo: Los precios de las criptomonedas son muy volátiles. Esto no es asesoramiento de inversión.