Crypto news

17.06.2026
19:49

Nueva ola de cripto-drenadores: cómo los hackers vacían las billeteras de los rusos

El mercado de activos digitales se ha enfrentado nuevamente a un ataque agresivo: al menos tres grupos de hackers han lanzado una campaña masiva para robar criptomonedas a usuarios rusos. Los atacantes utilizan software malicioso, los llamados drenadores (drainers), que se disfrazan de plataformas de inversión legítimas y programas de afiliados. Según mis datos, no se trata de un incidente aislado, sino de una operación bien coordinada dirigida a la audiencia de habla rusa.

Especialistas de la unidad especializada F6 Digital Risk Protection han registrado el lanzamiento de al menos 15 sitios de phishing a finales de mayo y principios de junio. Estos recursos no solo recopilan datos, sino que están equipados con scripts ocultos que, tras la autorización del usuario, verifican instantáneamente el saldo de su billetera y retiran todos los fondos disponibles: tokens, NFT y, por supuesto, stablecoins.

Mecánica del engaño: del bono al vaciado total

El esquema de ataque parece cínico y bien pensado. La víctima es atraída con la promesa de abrir una cuenta de inversión con un bono de bienvenida de $50 en USDT. Para activarlo, se le pide al usuario que conecte su billetera de criptomonedas escaneando un código QR a través de la aplicación oficial. En realidad, esta operación otorga a los hackers acceso completo para gestionar los activos.

Destaco tres tipos principales de señuelos que se están utilizando activamente en la actualidad:

  • Cuentas de inversión: promesa de un bono por registrarse.
  • Actividad en Telegram: oferta de compra ventajosa de "estrellas" o servicios premium.
  • Programas de bonificación: distribución de tokens gratuitos por conectar la billetera.

Una vez que la víctima confirma la transacción, el script malicioso "sondea" el saldo con varias solicitudes y retira instantáneamente todo lo que encuentra. Sin rastro, sin posibilidad de reversión: los fondos desaparecen en segundos.

¿Por qué está sucediendo ahora?

Según la evaluación de la analista principal de F6, María Sinitsyna, los drenadores no son un fenómeno nuevo. Hace varios años se usaban activamente contra usuarios de habla inglesa, pero luego la actividad disminuyó. Ahora observamos un resurgimiento de esta táctica, pero con un enfoque en la audiencia de habla rusa. Los hackers han adaptado sus herramientas, localizado las interfaces y utilizan activamente noticias recientes para atraer a las víctimas.

Recomiendo encarecidamente extremar la precaución: no hacer clic en enlaces de anuncios publicitarios, verificar cuidadosamente los nombres de dominio (los estafadores suelen registrar direcciones similares) y utilizar servicios Whois para comprobar la fecha de creación del sitio. Si el recurso tiene menos de un mes, es una señal de alerta grave.

Además, recuerdo que la actividad de corretaje en Rusia solo es posible con una licencia del Banco Central. Cualquier promoción o bono debe verificarse exclusivamente en plataformas oficiales. Los sitios sospechosos se pueden enviar a la plataforma "Antiphishing": los especialistas verificarán la información y la remitirán a los reguladores para su bloqueo.

Mi análisis: Esta ola de ataques es una consecuencia directa del creciente auge de DeFi y la simplificación del acceso a las criptomonedas entre una audiencia no preparada. Los hackers entienden perfectamente que la codicia y la credulidad son las principales vulnerabilidades de los usuarios. Mientras la industria no implemente mecanismos obligatorios de advertencia sobre conexiones sospechosas de billeteras, estos incidentes se repetirán. Estén alerta: ningún bono vale la pérdida de todos sus activos.