El panorama de amenazas
Entender contra qué te estás protegiendo te ayuda a priorizar:
Compromiso de cuenta: Un atacante obtiene acceso a tu cuenta de exchange a través de contraseñas robadas, phishing o secuestro de sesión. Retira tus fondos.
Ataque de intercambio de SIM: El atacante convence a tu operador de telefonía móvil para transferir tu número de teléfono a su tarjeta SIM. Luego restablecen tus contraseñas de cuenta e inhabilitan tu 2FA por SMS.
Phishing: Correos electrónicos falsos, sitios web o mensajes te engañan para que ingreses tus credenciales en un sitio fraudulento o para que apruebes una transacción maliciosa.
Malware: Los registradores de pulsaciones, secuestradores del portapapeles o extensiones del navegador roban credenciales o reemplazan direcciones de cartera copiadas con direcciones del atacante.
Ingeniería social: Los atacantes se hacen pasar por personal de soporte de exchange, proyectos de criptomonedas u otras partes confiables para manipularte y revelar información o enviar fondos.
El vector de ataque más común no es el hacking técnico sofisticado, sino la explotación del comportamiento del usuario: contraseñas débiles, 2FA por SMS, enlaces de phishing o credenciales reutilizadas de sitios comprometidos.
Paso 1: Habilita la autenticación de dos factores (del tipo correcto)
La autenticación de dos factores (2FA) agrega una segunda capa de verificación más allá de tu contraseña. Pero no todo 2FA es igual.
Aplicaciones de autenticación TOTP (Recomendado)
Las aplicaciones de contraseña única basada en tiempo (TOTP) generan códigos de 6 dígitos que cambian cada 30 segundos. Estos códigos se generan localmente en tu dispositivo y nunca se transmiten a través de la red, lo que los hace resistentes a la interceptación.
Aplicaciones recomendadas:
Cómo habilitarlo en la mayoría de exchanges:
- Ve a Cuenta > Seguridad > Autenticación de dos factores
- Selecciona “Aplicación de autenticador” (no SMS)
- Escanea el código QR con tu aplicación de autenticador
- Ingresa el código de 6 dígitos para verificar la configuración
La clave de copia de seguridad es crucial. Si pierdes tu teléfono, la clave de copia de seguridad te permite restaurar tus códigos 2FA. Sin ella, recuperar el acceso a tu cuenta requiere verificación de identidad con el equipo de soporte del exchange, un proceso lento y frustrante.
2FA por SMS (No recomendado)
El 2FA por SMS envía un código a tu teléfono por mensaje de texto. Esto parece seguro, pero es vulnerable a ataques de intercambio de SIM donde un atacante porta tu número.
Los ataques de intercambio de SIM son desalarmantemente fáciles. Los atacantes llaman a operadores de telefonía móvil con información personal básica (a menudo comprada a corredores de datos u obtenida a través de redes sociales) e intercambian números de teléfono con alarmante frecuencia. Una vez que tienen tu número, pueden restablecer contraseñas y eludir el 2FA por SMS.
Si un exchange solo ofrece 2FA por SMS, acéptalo como mejor que nada. Pero si tienes la opción, siempre usa una aplicación de autenticador.
Claves de seguridad de hardware (Avanzado)
Las claves de seguridad física (YubiKey, Google Titan Key) proporcionan el 2FA más fuerte disponible. Conectar la clave y presionarla completa la autenticación, sin códigos para interceptar. Compatible con Coinbase, Gemini y algunos otros exchanges. Altamente recomendado para carteras grandes.
Paso 2: Usa una contraseña fuerte y única
Tu contraseña de exchange debe ser:
Cada año, miles de millones de combinaciones de nombre de usuario/contraseña de sitios web comprometidos se comercian en línea. Si tu contraseña de exchange es la misma que tu correo electrónico, servicio de streaming o cualquier otra cuenta, y uno de ellos se ve comprometido, tu cuenta de exchange se compromete automáticamente a través de “credential stuffing”.
Usa un gestor de contraseñas
Un gestor de contraseñas (Bitwarden, 1Password, Dashlane) genera y almacena contraseñas aleatorias únicas para cada sitio. Recuerdas una contraseña maestra; el gestor se encarga del resto.
Bitwarden es de código abierto, gratuito para uso personal y ha sido auditado de forma independiente. Es un excelente punto de partida.
Después de configurar un gestor de contraseñas:
- Genera una nueva contraseña aleatoria para tu cuenta de exchange
- Actualiza la contraseña del exchange
- Asegúrate de que tu cuenta de correo electrónico también tenga una contraseña fuerte y única, es la clave de recuperación para todo lo demás
Paso 3: Asegura tu cuenta de correo electrónico
Tu cuenta de correo electrónico es la clave maestra de todas tus cuentas de exchange. El restablecimiento de contraseña, confirmaciones de retiro y alertas de seguridad se envían a través del correo electrónico. Si un atacante tiene acceso a tu correo, puede acceder a tu exchange.
Asegura tu correo electrónico con:
- Una contraseña fuerte y única (a través del gestor de contraseñas)
- Una aplicación de autenticador para 2FA (no SMS)
- Opciones de recuperación que no apunten a cuentas vulnerables o números de teléfono
Usa una dirección de correo electrónico dedicada para cuentas de criptomonedas, separada de tu correo electrónico diario. Esto reduce la exposición a phishing (sabes que cualquier correo electrónico relacionado con criptomonedas dirigido a tu dirección principal es sospechoso) y aísla tu actividad de criptografía.
Paso 4: Habilita la lista blanca de direcciones de retiro
La mayoría de los principales exchanges ofrecen una función de lista blanca de direcciones de retiro. Cuando está habilitada, tu cuenta solo puede enviar criptomonedas a direcciones que hayas preaprobado. Agregar una nueva dirección requiere:
- Confirmación a través del correo electrónico
- Un período de espera obligatorio (normalmente de 24 a 48 horas)
Esta es una capa de seguridad extremadamente poderosa. Incluso si un atacante compromete completamente tu cuenta, no puede retirar fondos hasta que también acceda a tu correo electrónico y espere el período de enfriamiento, dándote tiempo para detectar la violación y bloquearlos.
Habilitar en Binance: Cuenta > Seguridad > Gestión de direcciones de retiro > Habilitar lista blanca
Habilitar en Coinbase: Configuración > Seguridad > Direcciones permitidas
Habilitar en Kraken: Cuenta > Seguridad > Bloqueo de configuración global (proporciona protección similar)
Paso 5: Establece un código anti-phishing (Binance)
Binance ofrece una función de código anti-phishing única en esa plataforma. Estableces una frase personalizada corta, y cada correo electrónico legítimo de Binance la incluye. Si recibes un correo electrónico con marca de Binance sin tu código, es un intento de phishing.
Establécelo en: Cuenta > Seguridad > Seguridad avanzada > Código anti-phishing
Para otros exchanges sin esta función, verifica mentalmente cada correo electrónico revisando: ¿Esperaba este correo electrónico? ¿La dirección de envío coincide exactamente con el dominio oficial del exchange? ¿El enlace va al dominio oficial?
Paso 6: Gestiona los límites de retiro y las claves API
Límites de retiro
Algunos exchanges te permiten establecer límites de retiro diarios máximos personales más bajos que los predeterminados del exchange. Esto limita los daños de una cuenta comprometida. Establece esto en un nivel apropiado para tu actividad típica.
Seguridad de claves API
Si utilizas bots de trading, rastreadores de cartera o cualquier herramienta de terceros que se conecte a través de API:
- Crea claves API separadas para cada aplicación
- Nunca otorgues permisos de retiro a las claves API utilizadas por servicios de terceros: los permisos de solo lectura y solo trading son suficientes para la mayoría de casos de uso
- Revisa y elimina regularmente las claves API no utilizadas
- Nunca compartas claves API en ningún ticket de soporte, mensaje de Discord o formulario
Las claves API con permisos de retiro son tan peligrosas como las credenciales de cuenta. Un atacante con una clave API habilitada para retiros puede drenar tu cuenta sin necesidad de tu contraseña o 2FA.
Paso 7: No dejes fondos en exchanges a largo plazo
Los exchanges son objetivos. Todos los principales exchanges han experimentado algún tipo de incidente de seguridad: hacks, robo interno, fallos técnicos o incautación regulatoria. La historia de las criptomonedas está plagada de fracasos de exchanges: Mt. Gox (850,000 BTC, 2014), FTX ($8B, 2022), hack de Bitfinex (2016, parcialmente recuperado), Cryptopia, QuadrigaCX.
La regla: Solo mantén en un exchange lo que necesites activamente para trading. El ahorro a largo plazo debe estar en autocustodia.
La autocustodia significa mantener criptomonedas en una cartera donde controlas las claves privadas:
“No tus claves, no tus monedas” es el principio fundamental de Bitcoin y sigue siendo relevante para cualquier tenencia de criptomoneda significativa.
Paso 8: Reconoce y evita el phishing
El phishing es la forma más común en que se comprometen las cuentas de exchange. Los atacantes crean correos electrónicos y sitios web falsos convincentes del exchange para robar credenciales.
Señales de alerta en correos electrónicos
- Urgencia o miedo: “Tu cuenta será suspendida en 24 horas”
- Saludos genéricos: “Estimado cliente” en lugar de tu nombre
- Dirección de envío sospechosa: binance-security@gmail.com en lugar de @binance.com
- Enlaces que no van al dominio oficial
- Solicitudes de tu frase de recuperación, contraseña o código 2FA (los exchanges nunca piden esto)
Hábitos de navegación segura
- Verifica la URL en la barra de direcciones del navegador antes de ingresar credenciales
- Habilita la protección contra phishing de tu navegador
- Usa una clave de seguridad de hardware si está disponible: los sitios de phishing no pueden usarla incluso si accidentalmente inicias sesión
Estrategia de almacenamiento en frío para montos grandes
Para tenencias significativas (cualquier cosa de la que te arrepentiría perder), la recomendación estándar es:
Lista de verificación de seguridad rápida
- [ ] 2FA de aplicación de autenticador habilitado (no SMS)
- [ ] Contraseña fuerte y única (a través del gestor de contraseñas)
- [ ] Dirección de correo electrónico dedicada para criptomonedas
- [ ] Lista blanca de direcciones de retiro habilitada
- [ ] Código anti-phishing establecido (usuarios de Binance)
- [ ] Claves API auditadas: permisos de retiro revocados de todas las aplicaciones de terceros
- [ ] Exchange marcado: nunca uses enlaces de correo electrónico
- [ ] Tenencias a largo plazo trasladadas a cartera de hardware
Preguntas frecuentes
¿Qué método 2FA es más seguro?
Las claves de seguridad de hardware (YubiKey) son las más seguras, seguidas por aplicaciones de autenticador TOTP (Google Authenticator, Authy). El 2FA por SMS es mejor que nada pero vulnerable a ataques de intercambio de SIM. Usa una aplicación de autenticador como mínimo.
¿Qué debo hacer si mi cuenta está comprometida?
Actúa inmediatamente: contacta al equipo de soporte del exchange para congelar tu cuenta. Cambia tu contraseña de correo electrónico. Revisa los dispositivos conectados y revoca cualquier sesión que no reconozcas. Presenta un informe ante las autoridades locales si se robaron fondos. Cuanto más rápido actúes, mejor será la oportunidad de limitar pérdidas o atrapar al atacante.
¿Es seguro usar el mismo exchange durante años?
Usar exchanges reputados y regulados (Coinbase, Kraken, Gemini) durante años es común. El riesgo generalmente no es la longevidad del exchange, sino la seguridad de tu cuenta personal. Mantén prácticas de seguridad sólidas indefinidamente.
¿Cómo almaceno de forma segura mi frase de recuperación?
Escríbela en papel usando un bolígrafo (no lápiz, que se desvanece). Almacénala en múltiples ubicaciones físicas: una caja fuerte en casa y una caja de seguridad, por ejemplo. Nunca la fotografíes. Nunca la almacenes en almacenamiento en la nube, correo electrónico o en ningún dispositivo conectado a Internet. Las placas de respaldo de metal (como Cryptosteel) proporcionan protección contra incendios y daños por agua.
¿Los exchanges pueden congelar mis fondos?
Sí. Los exchanges regulados pueden congelar cuentas para revisión de cumplimiento, fraude sospechoso u órdenes legales. Este es un riesgo de usar exchanges custodios y una razón por la que los tenedores a largo plazo prefieren la autocustodia para montos significativos.
Guías relacionadas:
