En crypto, un error operativo puede costarte más que un mal trade. La seguridad no es un checklist de 200 pasos; es un sistema simple para reducir el riesgo más común: approvals peligrosos, firmas que no entiendes, y phishing.
Si usas DeFi, este artículo funciona mejor junto a: checklist de riesgos DeFi.
Puntos clave
- Separar wallets por función reduce el daño cuando algo sale mal.
- Un "approval" de tokens puede dar permiso para gastar tu balance; revísalo como si fuera acceso a tu cuenta.
- El phishing hoy se parece a sitios reales; tu defensa es proceso, no intuición.
- Firma solo lo que entiendes; si no lo entiendes, no es "solo un login".
Glosario: wallet, seed phrase, hardware wallet, token approval, phishing.
1) Empieza por un sistema de wallets (no por paranoia)
Un sistema práctico para la mayoría de usuarios:
- Wallet fría (cold): para ahorros; no interactúa con dApps. Ideal con hardware wallet.
- Wallet caliente (hot): para uso diario; montos limitados; interactúa con dApps.
- Wallet de pruebas: para probar cosas nuevas con montos pequeños.
Ventaja:
- si una dApp drena tu wallet caliente, no se lleva tu tesoro.
Regla rápida:
Si no podrías perder ese monto sin que te afecte, no debería estar en la wallet que firma cosas todos los días.
2) Seed phrase: lo único que no puedes perder
Tu seed phrase (frase semilla) es la llave maestra.
Buenas reglas:
- no la compartas con nadie, nunca,
- no la guardes en capturas, email, notas en la nube, ni fotos,
- no la escribas en un formulario por "soporte",
- guárdala offline y en un lugar que sobreviva a tu peor semana (pérdida de teléfono, robo, daños).
Si alguien te pide tu seed phrase, es una estafa. No hay excepciones.
3) Hardware wallet: por qué ayuda (y qué no resuelve)
Una hardware wallet reduce el riesgo de:
- malware que roba claves en tu computadora,
- firmas invisibles o sin confirmación explícita,
- exposición de claves privadas en un entorno comprometido.
Pero no resuelve:
- phishing (puedes firmar algo malo igual),
- approvals excesivos (si los firmas),
- enviar fondos a la dirección equivocada.
Es un cinturón de seguridad, no un piloto automático.
4) Approvals (permisos) de tokens: el riesgo subestimado
Cuando interactúas con un DEX o un protocolo, muchas veces primero haces un approval: le das permiso a un contrato para mover tus tokens.
Puntos prácticos:
- Un approval puede ser por un monto específico o "ilimitado".
- Si el contrato o la dApp que controla la interacción es maliciosa (o es comprometida), un approval grande puede permitir drenaje.
- Los approvals no vencen solos. Quedan hasta que los revocas.
Hábitos que ayudan:
- usa approvals por monto cuando sea razonable,
- revoca approvals que ya no necesitas,
- no firmes approvals desde tu wallet fría.
Si no entiendes qué token y qué contrato estás aprobando, detente.
"Approve for all" (NFTs) y permisos de operador
En NFTs existe un permiso común llamado "approve for all" (aprobar un operador). En la práctica significa: un contrato o cuenta puede mover tus NFTs sin pedirte permiso uno por uno. Es cómodo en marketplaces, pero en manos equivocadas es peligroso.
Reglas simples:
- firma estos permisos solo en sitios oficiales (dominio verificado),
- evita hacerlo desde tu wallet fría,
- revoca permisos que no uses.
5) Firmas: no todo es una transacción con gas
En Web3 existen firmas de mensajes (a veces sin gas). Un sitio puede pedirte "firmar" para:
- login,
- términos,
- permitir acciones futuras.
El problema:
- algunos flujos se ven inocentes,
- pero pueden usarse para permisos, sesiones, o interacciones peligrosas dependiendo del contexto.
Regla práctica:
Si el sitio no es uno que esperabas, no firmes nada.
Si tienes dudas, cierra la pestaña y entra desde un marcador guardado, no desde un link.
6) Phishing moderno: por qué funciona y cómo defenderte
El phishing ya no se ve como spam obvio. Se ve como:
- anuncios en buscadores con dominios parecidos,
- cuentas de soporte falsas en X/Telegram/Discord,
- clones casi idénticos de dApps reales,
- links en "airdrops" o "reclamos" urgentes.
Defensa por proceso:
- entra a dApps desde bookmarks,
- revisa el dominio, letra por letra,
- evita firmar en WiFi público si no sabes qué haces,
- prueba con un monto pequeño antes de mover el resto,
- desconfía de urgencias ("última oportunidad", "tienes 10 minutos").
7) Estafas comunes (patrones repetidos)
- Soporte falso: "te ayudo a recuperar fondos" y te piden seed phrase.
- Airdrop trampa: te hacen firmar o aprobar un contrato que drena.
- Token basura en tu wallet: lo ves y al "interactuar" caes en la trampa.
- Suplantación de dirección: malware cambia la dirección en tu portapapeles.
- Links de "verificación" en Discord: te llevan a firmas/aprobaciones.
Tu objetivo no es memorizar todas; es reconocer el patrón: urgencia + link + firma/aprobación.
8) Un checklist corto antes de firmar o aprobar
- ¿Estoy en el dominio correcto (bookmark, no link)?
- ¿Esta acción tiene sentido para lo que quiero hacer?
- ¿Qué token estoy aprobando y para qué contrato?
- ¿Estoy usando la wallet correcta para este nivel de riesgo?
- ¿Podría estar haciendo esto con un monto más pequeño primero?
Preguntas frecuentes
¿Cuál es el error de seguridad más común?
Dar permisos (approvals) innecesarios o firmar cosas en el sitio equivocado. No siempre se nota en el momento; el daño puede llegar días después.
¿Sirve usar solo un exchange y olvidarme de wallets?
Reduce algunos riesgos (por ejemplo, firmar dApps), pero introduce otros (custodia, restricciones, freezes). No es "mejor"; es distinto. Decide según tu uso.
¿Una hardware wallet me protege de phishing?
No por sí sola. Te protege de ciertas formas de robo de clave. Si firmas una transacción maliciosa en un sitio falso, igual puede ser grave.
¿Cómo reduzco riesgo sin dejar de usar DeFi?
Separación de wallets, montos limitados, bookmarks, approvals controlados, y un hábito: si algo se siente raro, paras.
¿Dónde aprendo los riesgos técnicos de protocolos, no solo operativos?
Empieza por: checklist de riesgos DeFi. Luego, si usas préstamos o pools, entiende: precio de liquidación y impermanent loss.
Siguiente paso
Si vas a usar DeFi esta semana, implementa dos cambios: separa wallets (fría vs caliente) y revisa tus approvals. Luego, antes de depositar, pasa por: checklist de riesgos DeFi.
Guarda en marcadores los dominios oficiales que usas.
Fuentes
- ethereum.org - Wallets (acceso: 2025-12-27).
- ethereum.org - Security (acceso: 2025-12-27).
