Saltar al contenido principal

La llamada telefónica de 282 millones de dólares: dentro del mayor atraco cripto por ingeniería social de 2026

· 11 min de lectura
Dora Noda
Dora Noda
Software Engineer

A las 11:00 PM UTC del 10 de enero de 2026, alguien contestó el teléfono y perdió un cuarto de billón de dólares. No se explotó ningún contrato inteligente. Ningún exchange fue hackeado. Ninguna clave privada fue descifrada por computadoras cuánticas. Un solo individuo simplemente le dijo a un estafador su frase semilla de 24 palabras —la clave maestra de 1,459 Bitcoin y 2.05 millones de Litecoin— porque creía que estaba hablando con el soporte técnico de una billetera de hardware.

El robo, que asciende a 282millones,sesituˊaahoracomoelmayorataqueindividualdeingenierıˊasocialenlahistoriadelascriptomonedas,superandoelreˊcordanteriorde282 millones, se sitúa ahora como el mayor ataque individual de ingeniería social en la historia de las criptomonedas, superando el récord anterior de 243 millones establecido en agosto de 2024. Pero lo que sucedió después revela algo igualmente inquietante sobre el ecosistema cripto: en cuestión de horas, los fondos robados provocaron un aumento del 30 % en el precio de Monero, expusieron el controvertido papel de la infraestructura descentralizada en el lavado de dinero y reavivaron el debate sobre si "el código es ley" debería significar que "el crimen está permitido".

La anatomía de una estafa de un cuarto de billón de dólares

El ataque fue devastadoramente simple. Según el investigador de blockchain ZachXBT, quien documentó públicamente el robo por primera vez, la víctima recibió una llamada de alguien que afirmaba representar al soporte de "Trezor Value Wallet". La firma de seguridad ZeroShadow confirmó más tarde las tácticas de suplantación de identidad del atacante, que siguieron un guion familiar: crear urgencia, establecer autoridad y manipular al objetivo para que revelara su frase semilla.

Las billeteras de hardware como Trezor están diseñadas específicamente para mantener las claves privadas fuera de línea e inmunes a ataques remotos. Pero no pueden proteger contra el componente más vulnerable de cualquier sistema de seguridad: el operador humano. La víctima, creyendo que estaba verificando su billetera para una solicitud de soporte legítima, entregó las 24 palabras que controlaban toda su fortuna.

En pocos minutos, 2.05 millones de Litecoin por un valor de 153millonesy1,459Bitcoinporunvalorde153 millones y 1,459 Bitcoin por un valor de 139 millones comenzaron a moverse a través de la cadena de bloques.

La operación de lavado: De Bitcoin a lo irrastreable

Lo que siguió fue una clase magistral de ofuscación de criptomonedas, ejecutada en tiempo real mientras los investigadores de seguridad observaban.

El atacante recurrió de inmediato a THORChain, un protocolo de liquidez cross-chain descentralizado que permite intercambios entre diferentes criptomonedas sin intermediarios centralizados. Según los datos de la cadena de bloques documentados por ZachXBT, 818 BTC (con un valor aproximado de $ 78 millones) se intercambiaron a través de THORChain por:

  • 19,631 ETH (aproximadamente $ 64.5 millones)
  • 3.15 millones de XRP (aproximadamente $ 6.5 millones)
  • 77,285 LTC (aproximadamente $ 5.8 millones)

Pero la parte más significativa de los fondos robados fue a parar a un lugar mucho menos rastreable: Monero.

El pico de Monero: Cuando los fondos robados mueven los mercados

Monero (XMR) está diseñado desde cero para ser irrastreable. A diferencia de Bitcoin, donde cada transacción es visible públicamente en la cadena de bloques, Monero utiliza firmas de anillo, direcciones ocultas y tecnología RingCT para ocultar al remitente, al receptor y los montos de las transacciones.

A medida que el atacante convertía cantidades masivas de Bitcoin y Litecoin en Monero a través de múltiples intercambios instantáneos, el repentino aumento de la demanda hizo que XMR pasara de un mínimo de 612.02aunmaˊximodiariode612.02 a un máximo diario de 717.69, un salto de más del 17 %. Algunos informes indicaron que XMR tocó brevemente los $ 800 el 14 de enero.

La ironía es amarga: el crimen del atacante enriqueció literalmente a todos los demás poseedores de Monero, al menos temporalmente. Después del pico inicial, XMR bajó a $ 623.05, lo que representa una caída del 11.41 % en 24 horas a medida que la demanda artificial disminuyó.

Para cuando los investigadores de seguridad hubieron mapeado completamente el flujo de dinero, la mayoría de los fondos robados se habían desvanecido en la arquitectura de preservación de la privacidad de Monero, lo que los hacía efectivamente irrecuperables.

La carrera contra el reloj de ZeroShadow

La firma de seguridad ZeroShadow detectó el robo en cuestión de minutos e inmediatamente comenzó a trabajar para congelar lo que pudiera. Sus esfuerzos lograron marcar y congelar aproximadamente $ 700,000 antes de que pudieran convertirse en tokens de privacidad.

Eso es el 0.25 % del total robado. El otro 99.75 % se había ido.

La rápida respuesta de ZeroShadow resalta tanto las capacidades como las limitaciones de la seguridad en la cadena de bloques. La naturaleza transparente de las cadenas de bloques públicas significa que los robos son visibles casi instantáneamente, pero esa transparencia no significa nada una vez que los fondos se mueven a monedas de privacidad. La ventana entre la detección y la conversión a activos irrastreables se puede medir en minutos.

THORChain: El riesgo moral de la descentralización

El robo de $ 282 millones ha reavivado intensas críticas hacia THORChain, el protocolo descentralizado que procesó gran parte de la operación de lavado. Esta no es la primera vez que THORChain se enfrenta al escrutinio por facilitar el movimiento de fondos robados.

El precedente de Bybit

En febrero de 2025, piratas informáticos norcoreanos conocidos como Lazarus Group robaron 1.4milmillonesdelexchangeBybit,elmayorrobodecriptomonedasdelahistoria.Durantelossiguientes10dıˊas,lavaron1.4 mil millones del exchange Bybit, el mayor robo de criptomonedas de la historia. Durante los siguientes 10 días, lavaron 1.2 mil millones a través de THORChain, convirtiendo el ETH robado en Bitcoin. El protocolo registró $ 4.66 mil millones en intercambios en una sola semana, con un estimado del 93 % de los depósitos de ETH durante ese período rastreables a actividades criminales.

Los operadores de THORChain se enfrentaron a una elección: detener la red para prevenir el lavado de dinero o mantener los principios de descentralización independientemente del origen de los fondos. Eligieron lo segundo.

Éxodo de desarrolladores

La decisión desencadenó un conflicto interno. Un desarrollador principal conocido como "Pluto" renunció en febrero de 2025, anunciando que "dejaría de contribuir inmediatamente a THORChain" tras la reversión de una votación para bloquear las transacciones vinculadas a Lazarus. Otro validador, "TCB", reveló que se encontraban entre los tres validadores que votaron a favor de detener el comercio de ETH pero fueron desautorizados en cuestión de minutos.

"El espíritu de ser descentralizado son solo ideas", escribió TCB al abandonar el proyecto.

El problema del incentivo financiero

Los críticos señalan que THORChain recaudó aproximadamente 5millonesencomisionessolodelastransaccionesdelLazarusGroupunagananciasignificativaparaunproyectoqueyaestabaluchandocontralainestabilidadfinanciera.Enenerode2026,elprotocolohabıˊaexperimentadouneventodeinsolvenciade5 millones en comisiones solo de las transacciones del Lazarus Group — una ganancia significativa para un proyecto que ya estaba luchando contra la inestabilidad financiera. En enero de 2026, el protocolo había experimentado un evento de insolvencia de 200 millones que llevó al congelamiento de los retiros.

El robo de $ 282 millones añade otro punto de datos al papel de THORChain en el lavado de criptomonedas. Si la arquitectura descentralizada del protocolo lo hace legal o éticamente distinto de un transmisor de dinero centralizado sigue siendo una cuestión controvertida — y una que los reguladores están cada vez más interesados en responder.

El panorama general: La amenaza asimétrica de la ingeniería social

El robo de $ 282 millones no es un caso aislado. Es el ejemplo más dramático de una tendencia que dominó la seguridad de las criptomonedas en 2025.

Según Chainalysis, las estafas de ingeniería social y los ataques de suplantación de identidad crecieron un 1,400 % interanual en 2025. La investigación de WhiteBit encontró que las estafas de ingeniería social representaron el 40.8 % de todos los incidentes de seguridad cripto en 2025, convirtiéndolas en la principal categoría de amenaza.

Los números cuentan una historia aleccionadora:

  • $ 17 mil millones estimados en total robados a través de estafas y fraudes cripto en 2025
  • $ 4.04 mil millones drenados de usuarios y plataformas a través de hacks y estafas combinados
  • 158,000 incidentes individuales de compromiso de billeteras que afectaron a 80,000 víctimas únicas
  • 41 % de todas las estafas cripto involucraron phishing e ingeniería social
  • 56 % de las estafas de criptomonedas se originaron en plataformas de redes sociales

Las estafas habilitadas por IA demostraron ser 4.5 veces más rentables que los métodos tradicionales, lo que sugiere que la amenaza solo se intensificará a medida que mejoren la clonación de voz y la tecnología deepfake.

Por qué las billeteras de hardware no pueden salvarte de ti mismo

La tragedia del robo de $ 282 millones es que la víctima estaba haciendo muchas cosas bien. Utilizaron una billetera de hardware — el estándar de oro para la seguridad de las criptomonedas. Sus llaves privadas nunca tocaron un dispositivo conectado a Internet. Probablemente entendían la importancia del almacenamiento en frío (cold storage).

Nada de eso importó.

Las billeteras de hardware están diseñadas para proteger contra ataques técnicos: malware, intrusiones remotas, computadoras comprometidas. Están diseñadas explícitamente para requerir la interacción humana en todas las transacciones. Esto es una característica, no un error — pero significa que el humano sigue siendo la superficie de ataque.

Ninguna billetera de hardware puede evitar que leas tu frase semilla (seed phrase) en voz alta a un atacante. Ninguna solución de almacenamiento en frío puede protegerte contra tu propia confianza. La seguridad criptográfica más sofisticada del mundo es inútil si te pueden convencer de que reveles tus secretos.

Lecciones de un error de un cuarto de billón de dólares

Nunca compartas tu frase semilla

Esto no puede decirse con suficiente claridad: ninguna empresa legítima, representante de soporte o servicio te pedirá nunca tu frase semilla. Ni Trezor. Ni Ledger. Ni tu exchange. Ni tu proveedor de billetera. Ni los desarrolladores de la blockchain. Ni las fuerzas del orden. Nadie.

Tu frase semilla equivale a la llave maestra de toda tu fortuna. Revelarla equivale a entregarlo todo. Hay cero excepciones a esta regla.

Sé escéptico ante el contacto entrante

El atacante inició el contacto con la víctima, no al revés. Esta es una señal de alerta crítica. Las interacciones de soporte legítimas casi siempre comienzan contigo comunicándote a través de canales oficiales — no con alguien llamándote o enviándote mensajes sin haberlo solicitado.

Si recibes un contacto afirmando ser de un servicio cripto:

  • Cuelga y vuelve a llamar a través del número oficial en el sitio web de la empresa
  • No hagas clic en enlaces en correos electrónicos o mensajes no solicitados
  • Verifica el contacto a través de múltiples canales independientes
  • En caso de duda, no hagas nada hasta haber confirmado la legitimidad

Entiende qué es recuperable y qué no

Una vez que la criptomoneda se mueve a Monero o se mezcla a través de protocolos que preservan la privacidad, es efectivamente irrecuperable. Los $ 700,000 que ZeroShadow logró congelar representan el mejor de los escenarios para una respuesta rápida — y aún así fue menos del 0.3 % del total.

Los seguros, los recursos legales y la ciencia forense de blockchain tienen límites. La prevención es la única protección confiable.

Diversifica tus fondos

Ninguna frase semilla única debería controlar $ 282 millones en activos. Distribuir los fondos en múltiples billeteras, múltiples frases semilla y múltiples enfoques de seguridad crea redundancia. Si uno falla, no lo pierdes todo.

Las preguntas incómodas

El robo de $ 282 millones deja al ecosistema cripto lidiando con preguntas que no tienen respuestas fáciles:

¿Deberían los protocolos descentralizados ser responsables de prevenir el lavado de dinero? El papel de THORChain en este robo — y en el lavado de $ 1.4 mil millones de Bybit — sugiere que la infraestructura sin permisos (permissionless) puede convertirse en una herramienta para criminales. Pero añadir restricciones cambia fundamentalmente lo que significa "descentralizado".

¿Pueden las monedas de privacidad coexistir con la prevención del crimen? Las características de privacidad de Monero son legítimas y sirven para propósitos válidos. Pero esas mismas características hicieron que $ 282 millones fueran efectivamente irrastreables. La tecnología es neutral; las implicaciones no lo son.

¿Está preparada la industria para la ingeniería social mejorada por IA? Si la clonación de voz y la tecnología deepfake hacen que los ataques de suplantación de identidad sean 4.5 veces más rentables, ¿qué sucede cuando se vuelven 10 veces más sofisticados?

La víctima del 10 de enero de 2026 aprendió la lección más dura posible sobre la seguridad de las criptomonedas. Para todos los demás, la lección está disponible por el precio de la atención: en un mundo donde miles de millones pueden moverse en segundos, el eslabón más débil siempre es el humano.

Construir aplicaciones Web3 seguras requiere una infraestructura robusta. BlockEden.xyz proporciona nodos RPC y APIs de grado empresarial con monitoreo y detección de anomalías integrados, ayudando a los desarrolladores a identificar actividades inusuales antes de que afecten a los usuarios. Explore nuestro marketplace de APIs para construir sobre bases enfocadas en la seguridad.

Share on Twitter