Recepción de casos · Abierta 24/7
Traducción automática. Pendiente de revisión profesional.
Home / Glossary
§ — · Glossary

Crypto-fraud terms,
defined plainly.

25 terms victims, investigators, and curious readers run into across crypto-recovery work. One-sentence definition first, context underneath. Every term has a permanent anchor link, so /glossary/#pig-butchering (and the others) point at the same definition forever.

A

Address poisoning

# address-poisoning
Una estafa dirigida a wallets que siembra el historial de transacciones de la víctima con una dirección falsa que imita los primeros y últimos caracteres de una dirección que esta usó recientemente, con la esperanza de que copie y pegue la incorrecta en un envío futuro.
El atacante envía una transacción diminuta (a menudo de valor cero) desde un wallet recién generado cuya dirección empieza y termina con los mismos caracteres que una contraparte legítima a la que la víctima envía fondos con regularidad. La dirección falsa aparece ahora en el historial del wallet de la víctima. La próxima vez que la víctima copie una dirección del historial en lugar de obtenerla de la contraparte real, puede copiar la dirección imitadora y enviar los fondos al atacante. Verifique siempre la dirección completa, no solo los primeros y últimos caracteres.

Approval phishing

# approval-phishing
Also: malicious approval · token approval phishing
Un ataque a la wallet en el que la víctima firma una transacción `setApprovalForAll` o un `approve` ilimitado en una dApp falsificada, otorgando al contrato del atacante permiso para mover tokens específicos fuera de la wallet en cualquier momento posterior.
La firma parece rutinaria y la víctima asume que está aprobando una sola operación o acuñación. En realidad, le está concediendo a un contrato controlado por el atacante autoridad permanente para transferir tokens desde la wallet. El vaciado puede ocurrir segundos después o semanas después, a menudo cuando la víctima ya olvidó la aprobación. Defensa: inspeccione cada firma en busca de llamadas `approve` / `setApprovalForAll`, prefiera firmas de un solo uso cuando sea posible, y audite y revoque periódicamente las aprobaciones activas mediante Revoke.cash o el propio gestor de aprobaciones de la wallet.

Autocustodia vs. custodia

# self-custody-vs-custody
En la autocustodia tú controlas la clave privada y la plataforma no puede mover tus fondos; en los esquemas de custodia (la mayoría de los exchanges, las apps de brókers, los gestores de fondos) la plataforma posee la clave y tú posees un derecho de cobro frente a la plataforma, lo que significa que tu "saldo" queda expuesto a la solvencia y la conducta de esa plataforma.
Esta distinción es el origen de la máxima "not your keys, not your coins" (si no son tus claves, no son tus monedas). Los esquemas de custodia son cómodos y ofrecen atención al cliente; la autocustodia exige que gestiones tu propio respaldo, tu seguridad y tu cumplimiento normativo. Una parte considerable de las pérdidas en criptomonedas se relaciona con plataformas de custodia que entran en insolvencia, sufren un hackeo o se niegan a procesar retiros. Para tenencias de largo plazo, la recomendación estándar es la autocustodia en una cold wallet, limitando el uso de la custodia al trading activo.
B

Bridge attribution

# bridge-attribution
La técnica forense de seguir fondos robados a través de un puente entre cadenas (cross-chain bridge), vinculando el depósito on-chain en la cadena de origen con el retiro correspondiente en la cadena de destino, a pesar de que las identidades de las wallets difieran.
Los operadores trasladan habitualmente fondos robados a través de puentes (THORChain, LayerZero, Wormhole, Stargate) para ocultar el rastro y para convertir entre cadenas que la infraestructura de lavado prefiere. La atribución de puentes asigna la transacción de depósito de origen a su reflejo en la cadena de destino vinculando la hora del bloque, el monto y los registros de eventos del contrato del puente. Así es como un rastreo continúa de Bitcoin a Ethereum a Solana sin perder el hilo.
C

CEX vs DEX

# cex-vs-dex
Un exchange centralizado (CEX) custodia los fondos de los usuarios y opera bajo autoridad regulatoria; un exchange descentralizado (DEX) es un contrato inteligente que intercambia tokens directamente entre wallets, sin custodio ni equipo de cumplimiento al que escalar una denuncia de fraude.
La distinción importa para la recuperación: los fondos robados que llegan a un CEX a veces pueden congelarse mediante escalamiento de cumplimiento, porque el exchange controla los fondos y responde ante un regulador. Los fondos que se mueven únicamente a través de swaps en un DEX no pueden congelarse: no hay operador al que escalar, solo un contrato inteligente inmutable. Por ello, el trabajo de recuperación prioriza identificar los puntos de depósito en CEX dentro del rastro de lavado; una vez que los fondos vuelven a entrar en el ecosistema de los CEX, el escalamiento se vuelve posible de nuevo.

CoinJoin

# coinjoin
Una técnica de privacidad en la que varios usuarios de Bitcoin combinan sus transacciones en una única transacción de múltiples entradas y múltiples salidas, de modo que un observador externo no puede saber qué entrada corresponde a qué salida.
CoinJoin no es de por sí una herramienta de fraude, ya que usuarios preocupados por su privacidad lo emplean de forma legítima, pero los operadores lo utilizan habitualmente para romper el rastro en la cadena entre los fondos robados y la wallet en la que estos terminan finalmente. Los conjuntos de salidas de CoinJoin a veces pueden desmezclarse mediante heurísticas estadísticas (análisis de patrones de CoinJoin), pero la tasa de éxito depende del tamaño de la mezcla y de la paciencia del analista. Wasabi Wallet y Whirlpool son las dos implementaciones más comunes.
See also: mixer · demixing · peel chain

Cold wallet vs hot wallet

# cold-wallet-hot-wallet
Una cold wallet almacena la clave privada sin conexión (en un dispositivo de hardware o en papel); una hot wallet la guarda en software conectado a internet: la cold es notablemente más segura frente a la mayoría de los ataques de vaciado de wallets y de phishing.
La distinción entre hot y cold tiene que ver con la superficie de ataque. Las hot wallets firman transacciones de forma automática cuando haces clic en una dApp, lo que resulta cómodo pero te expone a solicitudes de firma maliciosas y a malware de reemplazo del portapapeles. Las cold wallets exigen confirmación física en el dispositivo para cada firma, lo que frustra la mayoría de los intentos de phishing de aprobaciones y de address poisoning. Para tenencias relevantes, la recomendación estándar es el almacenamiento en frío, manteniendo una hot wallet solo para pequeños saldos operativos.
D

Demixing

# demixing
El análisis forense en cadena que intenta reconstruir qué entradas de un CoinJoin corresponden a qué salidas, restaurando el vínculo entre remitente y destinatario que la mezcla fue diseñada para ocultar.
El demixing utiliza una combinación de análisis de tiempos, análisis de montos, heurísticas de agrupamiento de direcciones y firmas de patrones específicas de Wasabi/Whirlpool. Es probabilístico, no determinista: un demix exitoso devuelve un conjunto de vínculos probables ponderados por confianza en lugar de una única respuesta. Los fondos que pasan específicamente por Tornado Cash son mucho más difíciles de demixear que aquellos que se procesan mediante protocolos CoinJoin, razón por la cual los fondos enrutados a través de Tornado suelen representar el límite realista de la recuperación.
See also: coinjoin · mixer

Drainer-as-a-service (DaaS)

# drainer-as-a-service
Also: DaaS · wallet drainer kit
Un modelo de suscripción en el que un equipo de desarrollo crea y mantiene un contrato inteligente de vaciado de wallets y un panel de administración, y luego lo arrienda a afiliados que operan los sitios de phishing de front-end y reparten las ganancias con los desarrolladores.
El DaaS convirtió el vaciado de wallets, antes un delito a medida que requería conocimientos de contratos inteligentes, en un kit llave en mano que cualquier estafador de phishing puede alquilar. Los kits más mencionados (Pink, Inferno, Angel, MS) representan en conjunto una parte considerable de todos los vaciados de wallets reportados. Del lado de la recuperación: los contratos de vaciado on-chain se reutilizan en cientos de campañas, por lo que el agrupamiento de wallets (clustering) de vaciados relacionados con DaaS suele aportar evidencia utilizable más amplia de lo que el incidente individual parecería justificar.

Dusting attack

# dusting-attack
Un ataque a la privacidad en el que el atacante envía cantidades minúsculas de criptomoneda a muchas direcciones que desea desanonimizar, y luego observa si el polvo se gasta junto con las demás monedas del destinatario, lo que confirma que las direcciones pertenecen a la misma wallet.
Una vez que se confirma que dos direcciones comparten una misma wallet, el atacante puede correlacionar la actividad de la wallet con señales de identidad fuera de la cadena (depósitos en exchanges conocidos, menciones en una publicación pública, etc.) para desanonimizar al titular. El dusting rara vez es el objetivo final: por lo general alimenta una campaña posterior de phishing o extorsión dirigida al titular de la wallet identificada. Defensa: no gastar de forma descuidada los UTXO que recibieron polvo; muchas wallets permiten ahora marcar y aislar el polvo entrante sospechoso.
E

Estafa de recuperación

# recovery-scam
Also: second-stage scam
Una estafa que apunta a víctimas previas de fraude con criptomonedas mediante contactos en frío con ofertas de "recuperación" no solicitadas, exigiendo un pago sin un alcance de trabajo por escrito, sin entregar nunca ninguna recuperación real y, con frecuencia, drenando dinero adicional a lo largo de varias etapas.
Los estafadores de recuperación recopilan datos de contacto a partir de bases de datos públicas de denuncias de estafas, publicaciones en redes sociales y foros centrados en la recuperación de fondos. Contactan en frío a las víctimas, mencionan credenciales que no pueden acreditar ("asociados con el FBI", "autorizados por la FCA"), afirman haber localizado ya los fondos y exigen una "tarifa de congelamiento de activos" o una "tarifa de presentación" sin entregables específicos por escrito. Las firmas legítimas de recuperación no contactan en frío, evalúan el caso antes de cotizar y emiten un alcance de trabajo por escrito con un anticipo fijo que detalla exactamente qué cubre la tarifa. El IC3 del FBI advierte de forma explícita sobre el patrón de contacto en frío sumado a tarifas sin alcance definido.

Estafa de salida de pool de liquidez

# liquidity-pool-exit-scam
Also: rug pull
Una estafa en la que los desarrolladores de un token lanzan un pool de liquidez en un DEX, atraen depósitos y luego retiran toda la liquidez emparejada de una sola vez, dejando a los tenedores con tokens sin valor que no se pueden vender.
La configuración parece el lanzamiento normal de un token DeFi: un nuevo token emparejado contra ETH o una stablecoin en un pool al estilo de Uniswap. Los desarrolladores conservan el control de los tokens LP (o nunca los bloquean) y los retiran en el momento de máxima liquidez. Señales de alerta habituales: equipo anónimo, ausencia de auditoría, periodo de bloqueo de liquidez inferior a 30 días o inexistente, wallets de los fundadores con asignaciones desproporcionadas de tokens. La recuperación rara vez es realista, porque los operadores fueron anónimos desde el inicio y los fondos suelen fluir directamente hacia mixers.

Evidence pack

# evidence-pack
El expediente estructurado que una firma de investigaciones reúne para un caso de recuperación: rastreo de hashes de transacciones, análisis de clústeres de wallets, atribución de contrapartes, capturas de pantalla y comunicaciones de respaldo, y una recomendación de ruta de recuperación, empaquetado conforme al estándar que un regulador o un tribunal aceptará.
Un evidence pack defendible se ancla a hashes de transacciones y alturas de bloque específicas: cada afirmación contenida en él debe ser reproducible a partir de los datos públicos de la cadena. Incluye los datos de origen (el grafo de transacciones en bruto), la interpretación del analista y la calificación de confianza asignada a cada atribución. La diferencia fundamental entre una firma de recuperación real y una estafa de recuperación es si llegan a producir un evidence pack: las firmas reales lo hacen, los estafadores ofrecen garantías vagas.
M

Mezclador (criptomonedas)

# mixer
Also: tumbler
Un servicio o contrato inteligente que agrupa criptomonedas de muchos depositantes y paga importes equivalentes a direcciones nuevas, rompiendo el vínculo en cadena entre las wallets de origen y de destino.
Tornado Cash (Ethereum) es el ejemplo más citado; Sinbad, ChipMixer y Wasabi/Whirlpool son equivalentes habituales en Bitcoin. Los mezcladores son utilizados de forma intensiva por los operadores de fraudes con criptomonedas para lavar fondos robados, razón por la cual varios han sido sancionados por la OFAC y otros reguladores. La recuperación resulta mucho más difícil una vez que los fondos entran en un verdadero mezclador que después de pasar por un exchange convencional. En el caso concreto de Tornado Cash, la recuperación suele ser imposible sin la cooperación del operador.
See also: demixing · coinjoin · peel chain

Multi-sig wallet

# multi-sig-wallet
Una wallet que requiere firmas de múltiples claves privadas (por ejemplo, 2 de 3 o 3 de 5) para autorizar cualquier transacción saliente, lo que significa que una sola clave comprometida no puede vaciar la wallet.
El esquema multi-sig es el estándar para la custodia institucional de criptomonedas y para particulares que mantienen saldos elevados. Implementaciones habituales: Gnosis Safe (cadenas EVM), Casa y Unchained (Bitcoin). Contrapartida: el multi-sig reduce drásticamente el riesgo de punto único de fallo, pero añade fricción a cada transacción y depende del almacenamiento seguro de múltiples claves, lo que en sí mismo se convierte en el problema de seguridad.
P

Peel chain

# peel-chain
Un patrón de lavado en el que una gran cantidad de criptomonedas se mueve a través de una secuencia de wallets, desprendiendo una pequeña fracción hacia un exchange o punto de retiro de efectivo en cada salto, mientras el grueso continúa su recorrido.
Las peel chains están diseñadas para fragmentar una única transacción sospechosa de gran tamaño en muchas transacciones pequeñas que quedan por debajo de los umbrales AML por depósito en los exchanges receptores. Suelen abarcar cientos de direcciones intermedias y pueden tardar semanas en completarse. El desenredo de una peel chain es una técnica forense on-chain específica: cada "desprendimiento" (peel) sigue un patrón reconocible (una entrada grande, una salida pequeña hacia un exchange y una salida de cambio grande que se convierte en la siguiente entrada) que permite al analista rastrear a través de lo que a primera vista parecen transacciones sin relación entre sí.

Permit2 phishing

# permit2-phishing
Una variante de phishing que explota el estándar de firmas `Permit2` de Uniswap, en la que la víctima firma un mensaje fuera de la cadena que el atacante luego envía a la cadena para vaciar los tokens aprobados, sin gas ni rastro en la cadena hasta que ocurre el vaciado real.
Permit2 fue diseñado para permitir que los usuarios aprueben el gasto de tokens mediante una sola firma, en lugar de pagar gas por una transacción `approve` aparte. La desventaja: la firma fuera de la cadena es invisible hasta que el atacante decide ejecutarla, lo que dificulta detectarla o revocarla antes del vaciado. Las interfaces de los wallets se están poniendo al día al analizar las firmas Permit2 y mostrar qué autorizan, pero a fecha de 2026 muchos wallets todavía muestran la firma como "datos tipados EIP-712" opacos: lea con atención cada cuadro de diálogo de firma.

Pig butchering (sha zhu pan)

# pig-butchering
Also: sha zhu pan · romance-into-investment scam
Una estafa de romance convertido en inversión que dura meses, en la que el operador construye confianza emocional con un objetivo durante semanas y luego le presenta una plataforma de trading falsa que muestra ganancias inventadas hasta que el objetivo deposita suficiente dinero como para que valga la pena extraerlo.
El término es una traducción del chino 殺豬盤 ("matar al cerdo"), en referencia al patrón de "engordar" a la víctima construyendo una relación antes de la extracción. El contacto comienza fuera de cualquier contexto de inversión (aplicaciones de citas, LinkedIn, aperturas con números equivocados) y la inversión se "descubre" en lugar de proponerse. El pig butchering es la categoría de mayores pérdidas en el fraude cripto a nivel mundial. Guía dedicada de CryptoLeek: /scams/romance/.
R

Retención por cumplimiento (frente a la extorsión por bloqueo de retiro)

# compliance-hold
Una retención por cumplimiento genuina es un congelamiento de fondos en un exchange impulsado por el regulador durante una revisión AML/KYC, descontado del saldo existente y sin que el usuario deba realizar ningún pago; la extorsión por bloqueo de retiro es una retención falsa que exige al usuario pagar una tarifa adicional antes de cualquier liberación.
Retenciones por cumplimiento reales: están documentadas en los términos del exchange, se comunican mediante mensajería dentro de la plataforma por parte del equipo de cumplimiento identificado y nunca exigen que el usuario transfiera dinero nuevo. Extorsión por bloqueo de retiro: se inventa sobre la marcha ("tarifa de liberación fiscal", "depósito antilavado de dinero", "pago por mejora de nivel"), exige nuevos fondos y genera una nueva solicitud de tarifa después de cada pago. Cualquier proceso de "cumplimiento" que le exija depositar más dinero es la variante de extorsión, sin importar lo oficial que suene el lenguaje.

Rug pull

# rug-pull
Una estafa de salida de un fondo de liquidez en DeFi, donde los fundadores de un token retiran de golpe toda la liquidez emparejada de un fondo de un DEX, dejando a los tenedores con tokens sin valor que no pueden venderse por nada.
Consulte `liquidity-pool-exit-scam` para conocer el mecanismo. El término es coloquial y a menudo se utiliza de forma laxa para describir cualquier proyecto de DeFi donde los fundadores desaparecen con los fondos de los usuarios, incluidas variantes más elaboradas como ataques de gobernanza, contratos actualizables maliciosos y retiros de bóvedas con bloqueo temporal que vacían la bóveda. Ya sea un retiro clásico de liquidez o un ataque de gobernanza, el perfil forense en cadena es el mismo: rastrear las wallets de los fundadores, identificar cualquier punto de salida hacia un CEX, escalar cuando sea posible.
S

SIM swap (contexto cripto)

# sim-swap
Un ataque en el que el atacante manipula mediante ingeniería social al operador de telefonía móvil de la víctima para que transfiera el número de teléfono de la víctima a una SIM que el atacante controla, y luego usa los códigos de 2FA enviados por SMS para tomar el control de las cuentas de exchange y del correo electrónico de la víctima.
El SIM swap es la vía de acceso a una cuenta de exchange de criptomonedas que más se menciona después del phishing. El atacante puede haber obtenido los datos de la víctima a partir de una filtración de datos previa, de ingeniería social o de un empleado interno sobornado en el operador. Defensa: no use SMS como segundo factor en ninguna cuenta que contenga criptomonedas o que controle una, use TOTP (Google Authenticator, Authy) o tokens de hardware (YubiKey). Los operadores de telefonía móvil permiten cada vez más configurar un PIN de portabilidad (port-out PIN); úselo.
See also: wallet drain

Sweeper bot

# sweeper-bot
Un programa automatizado que vigila una wallet comprometida (aquella cuya clave privada el operador ya conoce) y envía de inmediato cualquier fondo entrante a una dirección controlada por el atacante, dejando la wallet permanentemente inutilizable para la víctima.
Cuando una víctima descubre que su wallet está comprometida, a veces intenta "salvar" los fondos enviando ETH para cubrir el gas de una transacción de rescate. El sweeper bot se le adelanta y toma los fondos de gas en el momento en que llegan, impidiendo el rescate. Defensa: no envíe nada a una wallet comprometida; en su lugar, migre cualquier fondo entrante desde el origen, o utilice transacciones privadas de Flashbots para coordinar el rescate con una prioridad mayor a la que el bot puede igualar.
See also: wallet drain
W

Wallet clustering

# wallet-clustering
Técnica forense on-chain que agrupa múltiples direcciones de criptomonedas en "clústeres" que se cree están controlados por un mismo operador, mediante heurísticas de entradas compartidas, patrones de gasto común y huellas de comportamiento.
Una sola operación de fraude suele controlar desde decenas hasta miles de direcciones, cada una usada brevemente antes de ser descartada. Los algoritmos de clustering identifican qué direcciones se comportan como una misma wallet, por ejemplo al ser gastadas en conjunto dentro de una sola transacción (lo que prueba que comparten un controlador). Un clustering eficaz es lo que hace viable la recuperación: permite al analista seguir el grueso de los fondos incluso cuando el operador crea constantemente nuevas direcciones "frescas" para recibirlos.

Wallet drain

# wallet-drain
Also: drainer attack
Un ataque en el que un operador obtiene el derecho de mover tokens fuera de la wallet de una víctima, por lo general mediante una aprobación de tokens maliciosa o una clave privada robada, y transfiere el saldo de la wallet a una dirección que él controla.
Los wallet drains se diferencian del fraude en plataformas de inversión porque no hay ninguna plataforma a la que escalar: la pérdida ocurre directamente desde la wallet de autocustodia de la víctima. Los dos vectores más comunes son (1) el phishing de aprobaciones (la víctima firma una transacción de aprobación de tokens maliciosa en una dApp falsificada) y (2) el compromiso de la frase semilla (la víctima introduce su frase de recuperación en un sitio de phishing que se hace pasar por el soporte de la wallet). La recuperación es posible cuando los fondos sustraídos llegan a un CEX regulado antes de ser blanqueados, y resulta más difícil cuando van directamente a un mixer. Guía dedicada de CryptoLeek: /scams/wallet-drain/.

Withdrawal-block extortion

# withdrawal-block
Also: frozen-withdrawal scam · release-fee scam
El patrón de extracción de segunda fase en el que una plataforma de trading fraudulenta se niega a liberar los fondos "ganados" de la víctima hasta que esta paga comisiones cada vez más altas: liberación fiscal, verificación AML, ascensos de nivel de cuenta, ninguna de las cuales libera nada.
Casi todas las estafas de plataformas de inversión falsas desembocan en un bloqueo de retiros una vez que la víctima ha depositado lo suficiente como para que valga la pena extraerle dinero. Las comisiones suenan plausibles (toman prestado el lenguaje de los procedimientos reales de cumplimiento) y la interfaz de la plataforma sigue mostrando el saldo de la víctima como si fuera real. Cada comisión pagada genera una nueva solicitud de comisión. El capital fue extraído mucho antes de todo esto: el bloqueo de retiros existe únicamente para extraer dinero adicional. Guía dedicada de CryptoLeek: /scams/withdrawal-block/.