Ataque sorpresa durante las vacaciones: cómo se revela el ataque de phishing de "Feliz Año Nuevo" disfrazado de MetaMask y cómo vaciar cientos de carteras

Conocido investigador de seguridad en cadena ZachXBT reveló recientemente que un ataque de phishing dirigido a usuarios de la cartera MetaMask ha provocado daños en cientos de carteras, con pérdidas acumuladas que superan los 10.7 millones de dólares y que siguen en aumento. Los atacantes aprovecharon las vacaciones de Año Nuevo para disfrazarse de comunicaciones oficiales y enviar correos de phishing de “actualización forzada”, induciendo a los usuarios a firmar contratos maliciosos y otorgar permisos.

Este incidente, junto con la reciente vulnerabilidad en la extensión del navegador Trust Wallet que permitió el robo de al menos 8.5 millones de dólares, vuelve a poner de manifiesto la extrema vulnerabilidad de la seguridad en el lado del usuario en el mundo de las criptomonedas. Este artículo analizará en profundidad las técnicas de ataque utilizadas, ofrecerá guías inmediatas de respuesta y construirá un sistema de defensa profunda orientado al futuro.

Visión general del ataque: caza precisa durante las vacaciones

Al inicio del Año Nuevo, cuando los desarrolladores y equipos de soporte de proyectos están en vacaciones y la mano de obra es mínima, se desplegó silenciosamente un ataque coordinado contra las carteras de criptomonedas. El investigador de seguridad ZachXBT monitoreó en la cadena que, en varias cadenas compatibles con EVM, cientos de direcciones de carteras estaban siendo víctimas de un robo continuo y disperso, en pequeñas cantidades. La pérdida por víctima suele ser inferior a 2,000 dólares, y todos los fondos robados se transfieren a una misma dirección sospechosa. Hasta el momento de la publicación, el total de fondos robados supera los 107,000 dólares y sigue en aumento.

Aunque la causa raíz del ataque aún está en investigación, muchos usuarios reportaron la entrada del mismo: un correo de phishing disfrazado de una “actualización obligatoria” enviado supuestamente por MetaMask. Este correo está bien diseñado, usando el icono del zorro característico de MetaMask, incluso con un sombrero de fiesta, y el asunto dice “¡Feliz Año Nuevo!”, aprovechando hábilmente el ambiente festivo para reducir la sospecha del usuario. Los atacantes eligieron este momento, precisamente porque la respuesta de los usuarios suele ser más lenta y la vigilancia menor durante las vacaciones.

Este patrón de robo en pequeñas cantidades tiene un enfoque estratégico. Sugiere que, en muchos casos, los atacantes no buscan controlar completamente la cartera mediante el robo de la frase semilla (Seed Phrase), sino que explotan permisos de contratos maliciosos (“Contract Approval”) que los usuarios han firmado previamente. Por defecto, muchas autorizaciones de tokens son “ilimitadas”, pero los atacantes no vacían la cartera de una sola vez; en cambio, controlan el monto de cada robo para mantenerlo bajo, evitando alertar al usuario y permitiendo que el ataque se replique en cientos de carteras, acumulando finalmente una suma considerable en total.

ZachXBT revela datos clave del evento de phishing

Duración del ataque: durante las vacaciones de Año Nuevo, aún por confirmar

Número de carteras afectadas: cientos (el número continúa aumentando)

Pérdida media por cartera: generalmente por debajo de 2,000 dólares

Pérdida total confirmada: más de 107,000 dólares

Redes involucradas: varias cadenas compatibles con EVM (como Ethereum, Polygon, Arbitrum, etc.)

Técnica de ataque: correos de phishing que inducen a firmar permisos maliciosos en contratos

Análisis de las cuatro fallas en los correos de phishing “efectivos”

¿Por qué tantos usuarios experimentados en criptomonedas caen en estas trampas? Este correo de phishing con tema MetaMask es un ejemplo de “material de estudio” en ingeniería social, cuyo éxito revela las debilidades comunes en los hábitos de seguridad de los usuarios promedio. Sin embargo, por muy elaborado que sea el disfraz, estos ataques siempre dejan pistas en los detalles. Reconocer las siguientes cuatro señales clave puede ayudar a interceptar la amenaza antes de que cause pérdidas.

Primero, y más evidente, está en “la discrepancia grave entre la marca y el remitente”. En este caso, el remitente del correo aparece como “MetaLiveChain”, un nombre que suena relacionado con las finanzas descentralizadas (DeFi), pero que en realidad no tiene relación alguna con MetaMask. Esto suele ser una evidencia directa de que el atacante ha usurpado una plantilla legítima de marketing. La cabecera del correo incluso contiene un enlace para darse de baja, dirigido a “reviews@yotpo .com”, lo que revela aún más su naturaleza de spam.

En segundo lugar, “la creación artificial de urgencia” es un truco clásico en correos de phishing. El cuerpo del mensaje enfatiza que la actualización es “obligatoria” y exige que el usuario actúe de inmediato, advirtiendo que de lo contrario podría afectar el uso de la cartera. Esto entra en conflicto directo con las directrices de seguridad oficiales de MetaMask. MetaMask afirma claramente que “nunca” solicitará a los usuarios verificaciones o actualizaciones mediante correos no solicitados. Cualquier requerimiento de actualización urgente que parezca provenir de la fuente oficial debe considerarse una señal de alerta roja.

El tercer fallo está en “los enlaces engañosos”. Los botones o enlaces en el correo de phishing suelen tener textos como “Actualizar ahora” y apuntan a dominios que no corresponden a la organización legítima. Antes de hacer clic, los usuarios pueden simplemente pasar el cursor sobre el enlace (en escritorio) para ver la URL real. Cualquier enlace que no sea metamask.io o sus subdominios oficiales debe levantar sospechas.

El cuarto, y más crítico, es “solicitar información o permisos sensibles”. MetaMask y sus representantes legítimos nunca solicitarán por correo, SMS o llamada tu frase semilla (Secret Recovery Phrase). Además, pedirte que firmes un mensaje off-chain o una transacción cuyo contenido y propósito no puedas verificar también es una trampa. En el caso revelado por ZachXBT, es muy probable que los usuarios hayan sido inducidos a firmar un contrato de autorización malicioso, lo que equivale a abrir la puerta a los atacantes para transferir sus activos.

Guía de respuesta rápida: revocar permisos y limitar pérdidas

Si detectas que has hecho clic en un enlace de phishing o firmado permisos sospechosos, no entres en pánico, actúa inmediatamente para controlar las pérdidas. La prioridad es “restringir el acceso del atacante”. Afortunadamente, existen varias herramientas que facilitan gestionar y revocar permisos de contratos.

Para usuarios de MetaMask, ahora puedes revisar y gestionar todas las autorizaciones de tokens directamente desde la interfaz de MetaMask Portfolio. Además, sitios especializados como Revoke.cash ofrecen un proceso muy sencillo: conecta tu cartera, selecciona la red correspondiente y te mostrará claramente qué permisos tiene esa cartera en todos los contratos inteligentes. Puedes revisar y revocar permisos en cada uno de ellos enviando una transacción de “Revoke”. También, en exploradores como Etherscan, existe una sección de Token Approvals que permite revocar permisos manualmente para tokens ERC-20, ERC-721 y otros estándares. La acción rápida en estas plataformas puede salvar tus activos antes de que el atacante vacíe la cartera.

No obstante, la correcta actuación depende de evaluar con precisión el nivel de intrusión. Aquí hay una diferencia fundamental: “el robo de permisos de contrato” frente a “la exposición completa de la frase semilla”. Si solo se han robado permisos, el atacante tiene acceso solo a transferir ciertos tokens; revocar estos permisos puede mantener el control de la cartera y seguir usándola con mayor seguridad. Pero si la frase semilla ha sido comprometida, significa que el atacante controla completamente la cartera, y cualquier acción, incluyendo revocar permisos, puede ser interceptada o repetidamente robada.

La guía de seguridad oficial de MetaMask establece claramente: si sospechas que tu frase semilla ha sido comprometida, deja de usar esa cartera inmediatamente. Debes crear una nueva cartera en un dispositivo limpio y sin virus, y transferir allí todos los activos no comprometidos. La frase semilla antigua debe considerarse “permanentemente destruida” y no usarse en ningún lugar. Esta decisión drástica, de “cortar por lo sano”, es la única opción para afrontar la peor situación.

Construcción de una defensa profunda: de protección en un solo punto a un sistema de seguridad integral

Tanto en este ataque de phishing como en el reciente incidente de la vulnerabilidad en Trust Wallet que permitió el robo de 8.5 millones de dólares, se apunta a una misma conclusión: confiar en una sola capa de protección es peligroso. Frente a amenazas en constante evolución, los usuarios deben establecer un “sistema de defensa en profundidad” que involucre múltiples barreras, limitando las posibles pérdidas a un nivel soportable.

Primera capa: configuración de la cartera y hábitos diarios. Los proveedores de carteras están integrando cada vez más funciones de seguridad. Por ejemplo, MetaMask ahora fomenta que los permisos tengan límites de gasto en lugar de “ilimitados” por defecto. Además, es recomendable revisar y eliminar permisos antiguos periódicamente, considerándolos tan importantes como usar una cartera hardware. La función de alertas de seguridad Blockaid en MetaMask, que advierte antes de firmar transacciones sospechosas, es una línea de defensa subestimada.

Segunda capa: clasificación de activos y aislamiento de carteras. Es una de las estrategias más efectivas contra intrusiones. Se recomienda adoptar un modelo de “carteras frías, templadas y calientes”:

• Cartera fría (almacenamiento a largo plazo): usar hardware wallets (Ledger, Trezor) para guardar activos importantes y de gran volumen.
• Cartera templada (uso diario): en wallets de software en móvil o PC (como MetaMask) para transacciones y staking con cantidades pequeñas.
• Cartera caliente (interacción experimental): crear una cartera “quemadora” para interactuar con nuevos protocolos DeFi o NFT sin riesgo de comprometer activos principales.

Este esquema aumenta la fricción en la gestión, pero la fricción es la base de la seguridad. Un ataque que solo comprometa la cartera “quemadora” puede limitar las pérdidas a unos pocos cientos o miles de dólares, mientras que un ataque contra la cartera principal puede ser catastrófico.

Tercera capa: educación continua y mentalidad de seguridad. Aunque a menudo se culpa a los usuarios por falta de formación, datos de Chainalysis muestran que en 2025 hubo aproximadamente 158,000 incidentes de robo de carteras personales, afectando a al menos 80,000 personas. Esto indica que la velocidad de evolución de los atacantes supera la del aprendizaje de los usuarios. Por ello, es fundamental adoptar una mentalidad de “sospecha constante”: desconfiar de cualquier información no solicitada, considerar peligrosos todos los permisos y contratos, y entender que la conveniencia de las criptomonedas también crea vectores de ataque.

El ataque revelado por ZachXBT eventualmente será neutralizado por el marcado de direcciones y el congelamiento en exchanges principales. Pero en una semana, otro atacante volverá con un template modificado y nuevas direcciones. En este ciclo constante, la verdadera elección del usuario no es entre seguridad y conveniencia, sino entre “gestionar proactivamente la seguridad ahora, aunque sea incómodo” o “enfrentar pérdidas futuras y un gran dolor”. Construir y mantener un sistema de defensa profunda es optar por la primera opción, manteniendo el control total de los activos en tus manos.