Address poisoning y deepfakes: las estafas cripto que crecieron 5 veces en 2026
Los ataques de envenenamiento de direcciones se multiplicaron por 5 entre noviembre y enero. Cómo funcionan y cómo proteger tus fondos.
Entre noviembre de 2025 y enero de 2026, los intentos de "address poisoning" (envenenamiento de direcciones) se multiplicaron por 5,5, según datos de Blockaid. En diciembre, una sola víctima perdió 50 millones de dólares en USDT en apenas media hora, desde que recibió los fondos hasta que el atacante los pasó por un mixer. El objetivo de este tipo de ataque no son traders sofisticados ni contratos DeFi complejos: son personas que copian y pegan direcciones de wallet, algo que cualquiera que mueva USDT con frecuencia — para remesas, ahorro o trading — hace varias veces por semana.
Cómo funciona el envenenamiento de direcciones
El mecanismo es simple y por eso es efectivo. El atacante genera una dirección que comparte los primeros y los últimos caracteres con una dirección que la víctima usa habitualmente — la de un exchange, un familiar o un proveedor de pago. Luego envía una transferencia mínima, muchas veces de valor cero, desde esa dirección falsa hacia la wallet de la víctima. Esa transacción queda registrada en el historial.
El error ocurre en el siguiente paso: cuando la víctima necesita reenviar fondos a esa misma dirección de siempre, copia la dirección desde su historial de transacciones en lugar de verificarla carácter por carácter — y el historial ahora contiene la versión envenenada. La mayoría de las wallets muestran las direcciones truncadas (los primeros y últimos 4-6 caracteres), que es exactamente lo que el atacante clona. El resto de la dirección, invisible en la interfaz, pertenece por completo al atacante.
No hace falta que la víctima haga clic en nada malicioso ni firme una transacción. El ataque se completa en el momento en que confía en una dirección que no verificó completa.
Por qué 2026 disparó los ataques
Este tipo de estafa no es nueva, pero 2026 cambió su escala. Un estudio de CyLab documentó 270 millones de intentos de este tipo entre 2022 y 2024, con pérdidas confirmadas de 83,8 millones de dólares. Blockaid registró más de 65,4 millones de transacciones de envenenamiento solo desde enero de 2025, un promedio de 160.000 por día.
La escalada de 2026 tiene una causa técnica concreta: la actualización Fusaka de Ethereum redujo las comisiones de red a centavos, lo que puso a Ethereum al mismo nivel de costo operativo que Tron para este tipo de ataque masivo. Hasta entonces, el envenenamiento de direcciones se concentraba en Tron por sus comisiones bajas. Con Ethereum igual de barato de operar, los atacantes migraron parte de su actividad hacia esa red, que además mueve mayores volúmenes en USDT y ETH.
Los casos más grandes documentados en el período lo confirman. Además de la pérdida de 50 millones de dólares en USDT de diciembre de 2025, en enero de 2026 otra víctima perdió 4.556 ETH — unos 12,4 millones de dólares — después de que un atacante "empolvara" su wallet con transferencias mínimas durante más de dos meses antes de que la víctima cometiera el error de copiar la dirección equivocada.
Deepfakes con IA: la otra cara de la moneda
El envenenamiento de direcciones ataca el hábito de copiar y pegar. Los deepfakes atacan la confianza. En 2025, las pérdidas por estafas cripto habilitadas con inteligencia artificial alcanzaron los 17.000 millones de dólares a nivel global, con un crecimiento del 1.400% en estafas de suplantación de identidad de funcionarios y figuras públicas.
La variante más peligrosa para usuarios de LATAM y España es la suplantación en videollamada en tiempo real: atacantes que usan IA para hacerse pasar por soporte de un exchange, un desarrollador de un proyecto o incluso un familiar en Telegram o Zoom, y que convencen a la víctima de hacer una transferencia "urgente" por motivos de seguridad. Las suplantaciones de celebridades y figuras públicas representaron el 52% de las pérdidas totales por deepfake, con un pago promedio por estafa de 2.764 dólares — 253% más que el año anterior.
Para quienes envían dinero a familiares por WhatsApp o Telegram como parte de una remesa habitual, el riesgo es directo: un atacante que ya conoce la rutina de envío puede insertarse en la conversación con una voz o video clonados y pedir que el próximo envío se dirija a "una nueva dirección" por un supuesto problema técnico.
Cómo protegerte en la práctica
Ninguna wallet elimina el riesgo por completo, pero unos pocos hábitos reducen la exposición de forma real:
- Nunca copies una dirección desde tu historial de transacciones. Verifica siempre contra una fuente guardada de forma independiente — un contacto guardado en la wallet, un código QR o una lista blanca de direcciones de confianza.
- Compara la dirección completa, no solo el inicio y el final. Los ataques están diseñados específicamente para engañar la verificación parcial que hacen la mayoría de las interfaces.
- Usa las funciones de lista blanca de direcciones cuando tu exchange o wallet las ofrezca. Agregar una dirección nueva a la lista suele requerir una confirmación adicional (correo, 2FA), lo que le da tiempo al usuario para detectar un error.
- Antes de interactuar con un contrato o token nuevo, revísalo con una herramienta de análisis como el Token Safety Checker, que detecta indicadores de honeypot, impuestos ocultos y otros patrones de riesgo antes de que envíes fondos.
- Desconfía de cualquier solicitud de transferencia urgente por videollamada o mensaje, incluso si la voz o el rostro son reconocibles. Verifica por un segundo canal — una llamada telefónica directa, no por la misma app donde llegó la solicitud.
- Si envías remesas con frecuencia, guarda la dirección de destino una sola vez y reutilízala desde tu libreta de contactos de la wallet, en lugar de pedirla o copiarla de nuevo en cada envío.
El patrón común entre address poisoning y deepfakes es que ambos explotan la repetición: cuanto más rutinaria es una transferencia, más fácil es para un atacante insertarse sin que el usuario lo note. Eso hace que quienes mueven USDT de forma regular — para remesas, ahorro en dólares o trading — sean, paradójicamente, el objetivo más rentable para este tipo de estafa.
La defensa más efectiva no es técnica, es de hábito: verificar la dirección completa cada vez, guardar los destinos de confianza en la propia wallet y tratar cualquier "urgencia" en una transferencia como una señal de alerta, no como un motivo para apurar el envío.