Cada vez que interactúas con una aplicación descentralizada — intercambiando tokens, proporcionando liquidez, creando un NFT — casi con certeza firmaste una aprobación de token. Esa aprobación otorga a un contrato inteligente permiso para mover tus tokens en tu nombre, frecuentemente sin límite de gasto y sin fecha de vencimiento. Si ese contrato es posteriormente explotado, actualizado a una versión maliciosa, o simplemente abandonado, un atacante puede drenar tu billetera sin que firmes nada nuevo. Comprender cómo auditar y revocar esas aprobaciones en MetaMask y Rabby Wallet es uno de los hábitos de seguridad más prácticos que cualquier titular de criptomonedas puede desarrollar. Esta guía te lleva a través de los pasos exactos en ambas billeteras, explica las herramientas disponibles, y te dice qué priorizar primero.
Por Qué las Aprobaciones de Token Son un Riesgo Persistente
Las aprobaciones de token se rigen por la función ERC-20 approve() y la función ERC-721/ERC-1155 setApprovalForAll(). Cuando llamas a approve(spender, amount), autorizas una dirección específica — usualmente un contrato inteligente — para transferir hasta amount tokens de tu billetera en cualquier momento futuro. La documentación para desarrolladores de la Fundación Ethereum confirma que las aprobaciones permanecen válidas indefinidamente a menos que sean explícitamente revocadas por el propietario del token.
La consecuencia práctica: las billeteras acumulan docenas o cientos de aprobaciones activas con el tiempo. Un análisis post-mortem de 2022 sobre el exploit de Badger DAO, que resultó en aproximadamente $120 millones en pérdidas, mostró que scripts inyectados por atacantes aprovechaban aprobaciones ilimitadas existentes que los usuarios nunca habían revocado. Los tokens nunca salieron de la custodia de los usuarios a través de una transacción maliciosa que firmaran — la aprobación que firmaron meses atrás causó el daño.
Cómo Revocar Aprobaciones de Token Directamente en MetaMask
MetaMask agregó una interfaz integrada de gestión de aprobaciones en su extensión. El proceso difiere ligeramente entre la extensión del navegador y la aplicación móvil.
Extensión del Navegador MetaMask (v11+)
- Abre MetaMask y haz clic en el menú de tres puntos en la esquina superior derecha.
- Selecciona Configuración → Seguridad y Privacidad.
- Desplázate a Aprobaciones de Token y haz clic en Ver en Explorer — esto redirige a la herramienta de Aprobaciones de Token de Etherscan para tu dirección conectada.
- Alternativamente, navega a Actividad, encuentra la transacción de aprobación original, y usa el enlace de Etherscan para localizar el contrato gastador.
MetaMask en sí no renderiza un panel completo de aprobaciones dentro de la extensión a partir de principios de 2026; se basa en exploradores de bloques para la lista completa. El artículo de la Base de Conocimiento de MetaMask titulado “How to revoke smart contract allowances/token approvals” documenta este flujo explícitamente.
Usando la Herramienta de Aprobaciones de Token de Etherscan
- Ve a etherscan.io/tokenapprovalchecker y conecta tu billetera.
- La herramienta lista cada aprobación ERC-20 activa agrupada por token, mostrando la dirección del gastador y la cantidad aprobada.
- Haz clic en Revocar junto a cualquier aprobación que quieras eliminar. MetaMask te pedirá que confirmes una transacción que llama a
approve(spender, 0), estableciendo la asignación a cero. - Paga la tarifa de gas para confirmar. La aprobación se elimina en cadena una vez que la transacción se haya minado.
Etherscan también soporta aprobaciones de NFT ERC-721 a través de la misma interfaz. Cada revocación es una transacción separada en cadena con su propio costo de gas.
Cómo Revocar Aprobaciones de Token en Rabby Wallet
Rabby Wallet, desarrollado por DeBank, viene con un panel nativo de gestión de aprobaciones — una de sus características de seguridad más citadas. A diferencia del enfoque de redirección de MetaMask, Rabby muestra las aprobaciones sin salir de la interfaz de la billetera.
Gestión Integrada de Aprobaciones de Rabby
- Abre la extensión del navegador de Rabby y haz clic en la pestaña Approvals en la barra lateral (icono de escudo).
- Rabby obtiene y categoriza tus aprobaciones en todas las cadenas EVM conectadas simultáneamente — Ethereum, Arbitrum, Base, Polygon, y otros.
- Cada entrada muestra el token, el nombre del contrato gastador (cuando es identificable), la cantidad aprobada, y una puntuación de riesgo. Rabby marca los contratos marcados como riesgosos por su motor de seguridad.
- Haz clic en Revocar junto a cualquier aprobación. Confirma la transacción en el aviso de la billetera.
La documentación de Rabby describe esta característica bajo “Approval Management” en su centro de ayuda oficial. La vista entre cadenas es particularmente útil porque muchos usuarios olvidan las aprobaciones otorgadas en redes de Capa 2 donde el gas era barato y las aprobaciones se firmaban casualmente.
Herramientas de Revocación de Terceros Que Vale la Pena Conocer
Dos herramientas adicionales se usan ampliamente y vale la pena marcas junto con las características nativas de tu billetera.
- Revoke.cash — Una herramienta de código abierto (licencia MIT, código fuente en GitHub) que soporta más de 80 cadenas compatibles con EVM. Muestra aprobaciones de token y NFT, ordena por nivel de riesgo, y permite revocaciones por lotes donde la red lo soporta. La documentación del proyecto señala que lee datos directamente de los registros en cadena y no requiere correo electrónico o creación de cuenta.
- Escáner de aprobaciones de DeBank — Integrado en la interfaz de cartera de DeBank. Como Rabby se construye en la infraestructura de DeBank, los datos mostrados en ambas herramientas son consistentes.
Cuando uses cualquier herramienta de terceros, verifica el dominio cuidadosamente antes de conectar tu billetera. Sitios de phishing que imitan a Revoke.cash han aparecido en anuncios de búsqueda — siempre navega desde una URL marcada o desde la página verificada de GitHub del proyecto.
Qué Priorizar Cuando Audites Aprobaciones
Una billetera con 200 aprobaciones no requiere 200 revocaciones. Aplica un enfoque de triaje:
- Aprobaciones ilimitadas primero. Cualquier aprobación que muestre “Unlimited” o un número muy grande (p. ej., 2^256 − 1, el valor máximo uint256) debe ser revisada inmediatamente. Estas son las entradas de riesgo más alto.
- Protocolos inactivos u obsoletos. Si ya no usas un protocolo, revoca sus aprobaciones. Incluso los contratos auditados pueden ser actualizados o tener la propiedad transferida.
- Direcciones de gastador desconocidas o no verificadas. Si Etherscan o Rabby no pueden identificar el contrato gastador por nombre, trátalo como riesgo elevado.
- Subvenciones NFT setApprovalForAll. Estas permiten que un contrato transfiera cualquier NFT en la colección de tu billetera. Revoca estas a menos que estés usando activamente el mercado o contrato aprobado.
La Realidad del Costo de Gas de Revocar Aprobaciones
Cada revocación es una transacción en cadena. En la mainnet de Ethereum, revocar una aprobación ERC-20 típicamente consume alrededor de 45,000–60,000 gas. A precios de gas moderados esto cuesta una fracción de dólar a unos pocos dólares. En redes de Capa 2 como Arbitrum u Optimism, el costo es insignificante — frecuentemente menos de un centavo.
Si tienes muchas aprobaciones para revocar en mainnet, considera agrupar el trabajo en múltiples sesiones durante períodos de gas bajo (típicamente noches UTC en días de semana, según datos históricos de gas de Ethereum). Algunas herramientas como Revoke.cash soportan transacciones multi-revocación en cadenas que implementan patrones de estilo EIP-2612 permit, pero las revocaciones ERC-20 estándar requieren transacciones individuales.
Qué Significa Esto Para Ti
La higiene de aprobación de token no es una tarea única — es una práctica recurrente. Después de cualquier sesión significativa de DeFi, dedica dos minutos en la pestaña Approvals de Rabby o Revoke.cash para eliminar aprobaciones que ya no necesites. Si principalmente usas MetaMask, marca Etherscan’s Token Approvals Checker y ejecútalo mensualmente. Prioriza aprobaciones ilimitadas y aprobaciones otorgadas a contratos con los que ya no interactúas. El costo de gas de revocar aprobaciones casi siempre es menor que el costo de una sola posición explotada.
Tanto MetaMask como Rabby continúan mejorando su herramienta nativa de aprobaciones — la hoja de ruta de Q4 2025 de MetaMask hizo referencia a visibilidad mejorada de aprobaciones en la billetera — pero ninguna billetera te impide otorgar aprobaciones en primer lugar. La responsabilidad de auditarlas y revocarlas permanece contigo.
