El lado oscuro de los Crypto Airdrops: cómo los estafadores usan tokens gratuitos para robar tus fondos

En el vertiginoso mundo de las criptomonedas, los airdrops suelen considerarse una bonificación, una recompensa por la adopción temprana, la participación en la comunidad o la simple actividad de la cartera. Sin embargo, paralelamente a los incentivos legítimos, ha surgido una tendencia más oscura: las estafas de airdrops diseñadas para engañar a los usuarios desprevenidos y comprometer sus carteras y fondos.

Este artículo explora cómo funcionan estas estafas, por qué son eficaces y, lo que es más importante, cómo protegerse.

Si interactúas con web3, autocustodia, Metamask, etc. ¡este post es para ti!

🪂 ¿Qué es un Airdrop legítimo?

Un airdrop legítimo es cuando un criptoproyecto distribuye tokens gratuitos a los titulares de billeteras, típicamente para:

• Recompensar a los primeros adoptantes

• Distribuir tokens de gobernanza

• Fomentar el crecimiento del ecosistema

• Comercializar un nuevo token o protocolo

Ejemplos notables de airdrops legítimos del pasado incluyen:

• Uniswap (UNI) en 2020

• Arbitrum (ARB) en 2023

• Jupiter (JUP) en 2024

Estos eventos suelen

• Anunciados en sitios web oficiales de proyectos y canales sociales

• Distribuidos mediante contratos inteligentes verificables

• No interactivos o de bajo riesgo (por ejemplo, los tokens simplemente se envían a las billeteras)

el auge de los falsos airdrops

Por el contrario, las estafas de airdrops están diseñadas para:

• Engañar a los usuarios para que firmen transacciones maliciosas

• Engañarlos para que aprueben permisos para contratos inteligentes fraudulentos

• Drenar activos valiosos de las carteras de los usuarios

La estafa funciona aprovechando la curiosidad, la falta de conocimientos generales sobre criptomonedas, la familiaridad con la interfaz y la facilidad con la que se pueden simular airdrops en la cadena.

cómo funciona la estafa (paso a paso)

1. Los estafadores envían un token falso a uno de tus monederos
   

   • El token tiene un nombre parecido a un activo o evento conocido (por ejemplo, USDT_AIRDROP, ETH2Claim, ARB_REWARD)

   • Aparece en la interfaz de su monedero (p. ej., MetaMask, Trust Wallet) sin ningún tipo de advertencia
     

2. El token parece valioso
   

   • El estafador manipula los metadatos del token para que parezca que tiene valor de mercado

   • Algunos exploradores, que son sitios web que permiten recopilar información sobre el token, pueden mostrar una liquidez inflada o falsa
     

3. Usted interactúa con el token
   

   • Intenta "reclamar", "retirar" o "negociar" el token

   • Un sitio de phishing (un sitio falso o una réplica de un sitio que le hace creer que es legítimo) le pide que conecte su monedero y "apruebe" el token
     

4. Usted autoriza el acceso malicioso sin saberlo
   

   • La aprobación (la mayoría de la gente no comprueba las autorizaciones/permisos al conectar nuevos tokens o redes en Metamask, por ejemplo) concede permiso al estafador para transferir tus tokens reales (por ejemplo, USDT, ETH, stablecoins) a los monederos de los atacantes

   • Tu cartera se vacía inmediatamente después de firmar la transacción

🎯 Por qué funciona

🧪 Ejemplo real

Un usuario recibe un token llamado USDT_AIRDROP, que muestra un saldo equivalente a 1.000 dólares. Curioso, sigue un enlace en la página del contrato del token, que lleva a un sitio de phishing que imita una plataforma DeFi real. El sitio les pide que "desbloqueen el token" Después de firmar la transacción (sin saber que este procedimiento es en realidad dar permiso al estafador para mover sus fondos), el estafador drena inmediatamente todos los USDT y ETH de su cartera - utilizando el acceso que acaba de aprobar.

Este tipo de ataque es cada vez más común y difícil de revertir (imposible para ser honestos) una vez ejecutado.

🛡️ Cómo protegerse

Sigue estas buenas prácticas para evitar ser víctima de estafas de airdrop:

✅ Hacer:

• Ignora los tokens desconocidos: Si no lo has solicitado, no lo toques. No hay almuerzo gratis ni buena voluntad. Si alguien te envía tokens inesperados, desconfía.

• Utiliza funciones de ocultación de tokens en la interfaz de tu monedero (ten en cuenta también que a veces esas funciones acaban ocultando transacciones reales, un falso positivo).

• Utiliza herramientas como revoke.cash para revisar y revocar permisos de contratos inteligentes en tus monederos.

• Confirma los airdrops sóloa través de fuentes oficiales del proyecto (por ejemplo, X/Twitter, Discord, sitio web).

• Utiliza un monedero "frío" dedicado para el almacenamiento a largo plazo y evita conectarlo (mejor no hacerlo nunca) a dApps desconocidas.

❌ No

• Interactuar con tokens desconocidos ni intentar comerciar con ellos inmediatamente

• Hacer clic en enlaces de páginas de tokens del explorador de bloques sin verificarlos

• Firmar transacciones de contratos inteligentes que no entiendas completamente

🔍 Cómo identificar un token fraudulento

🏁 Reflexiones finales

Si bien los airdrops pueden ser una herramienta poderosa para el crecimiento de la comunidad y la descentralización, también están siendo explotados por estafadores para robar fondos en un solo clic. La mejor manera de mantenerse a salvo es acercarse a todos los tokens no solicitados con el máximo escepticismo.

Si no lo has solicitado, no lo toques.

Si no entiende la transacción, no la firme.

Las criptomonedas te permiten ser tu propio banco, pero eso también significa ser tu propio equipo de seguridad profesional.