El mes de enero de 2026 ha marcado una preocupante escalada en la intensidad y precisión de los ciberataques en el sector de las criptomonedas. Aunque el número global de víctimas ha disminuido ligeramente, la efectividad de los golpes asestados por los ciberdelincuentes se ha disparado literalmente, poniendo de manifiesto una transición hacia estrategias de ataque mucho más selectivas y devastadoras.
La explosión del "Signature Phishing"
Según el último informe de la firma de seguridad blockchain Scam Sniffer, las pérdidas por el llamado "phishing de firma" se han disparado, superando los 6,3 millones de dólares sólo en enero. Aunque el número de usuarios afectados descendió un 11% respecto al mes anterior, el valor total de los fondos robados aumentó un 207% desde los niveles de diciembre.
Esta cifra aparentemente contradictoria refleja un cambio de paradigma táctico. Los delincuentes han abandonado las campañas masivas dirigidas a pequeños ahorradores y se han pasado a la "caza de ballenas". Ahora se dirigen a los "High-Net-Worth Individuals", personas con carteras extremadamente grandes que, con un solo error, pueden asegurarse un botín multimillonario.
Dos víctimas representan el 65 % de las pérdidas
La eficacia de esta nueva estrategia queda demostrada por las cifras: sólo dos víctimas representaron casi el 65% de todas las pérdidas registradas por phishing de firma en enero. En el incidente más grave, un único inversor perdió 3,02 millones de dólares.
El robo se produjo al suscribirse a una función maliciosa denominada "permit" o "increaseAllowance". Estos mecanismos, si el usuario los aprueba sin saberlo, conceden a un tercero acceso indefinido para mover tokens de la wallet. El peligro radica en que, una vez obtenida la 'firma', el atacante puede vaciar el fondo sin que el propietario tenga que aprobar cada transacción posterior.
El flagelo del envenenamiento de direcciones
Además del phishing de firmas, otra amenaza asola el sector: el envenenamiento de direcciones. En un caso emblemático ocurrido en enero, un inversor perdió 12,25 millones de dólares tras enviar fondos a una dirección fraudulenta.
Esta técnica se aprovecha de los hábitos de gestión del monedero de los usuarios. Los hackers generan direcciones "vanity" o "lookalike", que imitan los primeros y últimos caracteres de una dirección legítima en el historial de transacciones de la víctima. El engaño se basa en la distracción: los delincuentes esperan que el usuario copie y pegue la dirección directamente del historial sin verificar toda la cadena alfanumérica.
La advertencia de Safe Labs
La gravedad de estos ataques coordinados ha llevado a Safe Labs (antes conocida como Gnosis Safe), líder en monederos multifirma, a emitir una alerta de seguridad global. La empresa ha identificado una campaña masiva de ingeniería social que utiliza unas 5.000 direcciones maliciosas para atacar a su base de usuarios.
Hemos identificado un intento coordinado por parte de actores maliciosos de crear miles de direcciones Safe similares ('lookalike') diseñadas para engañar a los usuarios para que envíen fondos a un destino equivocado. Se trata de ingeniería social combinada con envenenamiento de direcciones, afirmó la compañía en un post en X.
🚨 Actualización de seguridad: envenenamiento de direcciones a gran escala + campaña de ingeniería social dirigida a usuarios multisig
- Safe{Labs} (@SafeLabs_) February 6, 2026
Hemos identificado un esfuerzo coordinado por parte de actor(es) malicioso(s) para crear miles de direcciones Safe parecidas diseñadas para engañar a los usuarios para que envíen fondos a...
La recomendación de los expertos es inequívoca: nunca hay que fiarse de la familiaridad visual de los primeros caracteres de una dirección. Antes de realizar cualquier transferencia de alto valor, es esencial verificar cada uno de los caracteres de la cadena de destino. ¡En un mundo en el que las firmas digitales son vinculantes e irreversibles, la cautela sigue siendo la única barrera real contra la ciberdelincuencia de élite.
