Comprar criptomonedas
Pagar con
USD
USD
Compra y venta
HOT
Compra y vende criptomonedas a travésde Apple Pay, tarjetas, Google Pay, transferencias bancarias y más
P2P
0 Fees
¡Cero tarifas, más de 400 opciones de pago y compra y venta de criptomonedas sin complicaciones!
Gate Card
Tarjeta de pago con criptomonedas que permite efectuar transacciones internacionales fácilmente
Mercados
Operar
Tipo de trading
Herramientas de trading
Contrato
Contrato
Cientos de contratos liquidados en USDT o BTC
Opciones
HOT
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Comienzo del trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Participa en eventos para ganar generosas recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
tag
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Launchpad
Anticípate a los demás en el próximo gran proyecto de tokens
Puntos Alpha
NEW
¡Opera con activos on-chain y recibe recompensas por airdrop!
Puntos de futuros
NEW
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Comunidad
Square
Gate Fun
Comparte tu publicación y mantente al tanto de las criptomonedas y mucho más
Live
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
web3
Web3
Más
Promociones
Guía para principiantes
giveaways
Centro de Recompensas
Gate Learn
Cursos
Artículos
GlosarioInvestigación
Gate Learn
Glosario
Definición de Spear Phishing

Definición de Spear Phishing

SeguridadTemas de actualidad
El spear phishing es una estafa dirigida en la que los atacantes recopilan información sobre tu identidad y tus hábitos de transacción. Después, se hacen pasar por representantes de soporte al cliente de confianza, equipos de proyectos o amigos para engañarte y conseguir que accedas a sitios web falsos o firmes mensajes aparentemente legítimos con tu wallet, tomando así el control de tus cuentas o activos. En los entornos de criptomonedas y Web3, el spear phishing suele centrarse en claves privadas, frases semilla, retiros y autorizaciones de wallets. Como las transacciones on-chain son irreversibles y las firmas digitales pueden otorgar permisos de gasto, las víctimas suelen sufrir pérdidas rápidas y significativas en cuanto se ven comprometidas.
Resumen
1.
El spear phishing es un ciberataque dirigido a personas u organizaciones específicas, donde los atacantes se hacen pasar por fuentes confiables para enviar mensajes personalizados y engañosos.
2.
A diferencia del phishing genérico, el spear phishing implica una investigación profunda sobre los objetivos, aprovechando información personal, conexiones sociales o detalles laborales para aumentar la credibilidad.
3.
En el ámbito de las criptomonedas, los atacantes suelen hacerse pasar por exchanges, proveedores de wallets o equipos de proyectos para engañar a los usuarios y que revelen claves privadas, frases semilla o transfieran activos.
4.
Las tácticas comunes incluyen correos electrónicos falsificados, sitios web de phishing, cuentas falsas en redes sociales y la creación de situaciones de urgencia para presionar a las víctimas a actuar rápidamente sin verificar.
5.
Consejos de prevención: verifica cuidadosamente la identidad del remitente, evita hacer clic en enlaces sospechosos, activa la autenticación de dos factores y nunca compartas claves privadas ni frases semilla por canales no oficiales.
Definición de Spear Phishing

¿Qué es el spear phishing?

El spear phishing es una forma dirigida de phishing en la que los estafadores elaboran esquemas personalizados para individuos u organizaciones concretas, normalmente haciéndose pasar por alguien conocido o por un servicio de confianza. A diferencia del phishing genérico, el spear phishing aprovecha información sobre tu comportamiento real y tu contexto, lo que hace que el engaño resulte mucho más convincente.

En Web3, los atacantes suelen hacerse pasar por “equipos de proyectos, atención al cliente, soporte técnico o amigos”, y te instan a iniciar sesión en un sitio web con “apariencia oficial” o a “firmar una confirmación” en tu wallet. Si introduces tu contraseña o firmas un mensaje, los atacantes pueden tomar el control de tu cuenta u obtener permiso para acceder a tus tokens.

¿Por qué el spear phishing es más peligroso en Web3?

El spear phishing supone un mayor riesgo en Web3 por dos razones principales: primero, las transacciones en blockchain son irreversibles (una vez que tus activos se transfieren, es prácticamente imposible recuperarlos). Segundo, al firmar un mensaje con tu wallet puedes conceder permisos que permiten a los atacantes gastar tus tokens sin necesidad de tu contraseña.

En este contexto, “firmar” implica utilizar tu clave privada para aprobar una acción concreta. “Autorización” significa conceder a un smart contract el permiso para gastar una cantidad determinada de tus tokens. Estas acciones, presentadas en un lenguaje familiar y un contexto aparentemente legítimo, pueden parecer necesarias o rutinarias, lo que aumenta el riesgo de caer en la estafa.

¿Cómo funciona el spear phishing?

Un ataque típico de spear phishing consta de varias fases: los atacantes primero recopilan tu información pública (perfiles en redes sociales, eventos a los que asististe, direcciones on-chain). Después, suplantan a una figura de confianza para contactarte, generando una sensación de urgencia que te empuja a iniciar sesión o firmar algo.

Una táctica habitual es enviar un correo electrónico o mensaje directo por Telegram o Discord alegando un “problema técnico, control de riesgos, actualización o recompensa”, junto con un enlace falso. Si introduces tus credenciales en el sitio fraudulento o apruebas una transacción aparentemente inofensiva en tu wallet, entregas tus datos de acceso o concedes permisos para gastar tus tokens.

En exchanges, los atacantes pueden hacerse pasar por soporte al cliente y afirmar que “hay anomalías en tus órdenes que requieren verificación”, dirigiéndote a un dominio fraudulento. En wallets, pueden pedirte que “autorices un contrato para recibir recompensas”, lo que en realidad les da acceso a tus tokens.

Tácticas comunes de spear phishing

  • Suplantación de soporte al cliente y sistemas de tickets: los atacantes hacen referencia a órdenes o depósitos recientes y afirman que necesitas “verificar de nuevo” o “desbloquear” tu cuenta, proporcionándote un enlace para ello. Los detalles realistas hacen que la estafa resulte más creíble.
  • Airdrops y whitelists falsos: los atacantes ofrecen “distribuciones de NFT, recompensas en testnet o incentivos play-to-earn”, y te piden que conectes tu wallet y “autorices”. En realidad, esta aprobación otorga a su contrato derechos para gastar tus tokens.
  • Address poisoning: los atacantes introducen una dirección casi idéntica a la de uno de tus contactos habituales en tu historial o libreta de direcciones. Si copias y envías fondos a esta dirección falsa por error, pierdes tus activos—una táctica similar a mezclar contactos falsos en tu lista.
  • Alertas de seguridad falsas: aparecen mensajes emergentes como “riesgo de seguridad detectado” o “cuenta comprometida”, que generan ansiedad y te incitan a iniciar sesión o instalar “herramientas de seguridad”. Cuanto más urgente es el mensaje, mayor es el riesgo.
  • Suplantación de dominios: los atacantes emplean dominios o subdominios muy parecidos a los oficiales, imitando la apariencia del sitio web pero con pequeñas diferencias en los certificados SSL o la ortografía.

Cómo identificar ataques de spear phishing

En primer lugar, analiza si la solicitud es urgente y exige acción inmediata. El soporte legítimo normalmente te permite resolver incidencias por canales oficiales, no te presiona a través de mensajes directos.

Después, comprueba el dominio y el certificado SSL. Guarda el dominio oficial como favorito en tu navegador y accede siempre desde ahí; si recibes enlaces por correo o mensaje directo, introduce el dominio manualmente. Cualquier discrepancia en los datos del certificado o errores en la ortografía deben hacerte sospechar.

Cuando uses wallets, revisa cuidadosamente cada solicitud de firma. Presta atención a los mensajes que incluyan “autorización, límites ilimitados o permisos para gastar tokens”. Si tienes dudas, no firmes; usa otro dispositivo o consulta con alguien de confianza y experiencia.

Para prevenir el address poisoning, utiliza siempre whitelists de retiro o verifica manualmente varios caracteres iniciales y finales de las direcciones en transferencias importantes—no te fíes solo de los cuatro primeros y últimos caracteres.

Cómo prevenir el spear phishing en exchanges

La clave es gestionar todos los asuntos de tu cuenta exclusivamente a través de canales oficiales y activar las funciones de seguridad disponibles para anticipar riesgos.

  1. Activa la autenticación en dos pasos (2FA) en la página de seguridad de tu cuenta de Gate—códigos SMS o apps de autenticación—para que el inicio de sesión requiera tu contraseña y un código de un solo uso.
  2. Configura un código anti-phishing, un identificador personalizado que aparece en los correos oficiales de Gate para que puedas confirmar su autenticidad. Ten especial precaución con cualquier correo que no incluya este código o muestre uno incorrecto.
  3. Activa la whitelist de retiros, que limita los retiros a direcciones previamente autorizadas. Incluso si tus credenciales se ven comprometidas, los fondos no podrán enviarse a destinos no reconocidos.
  4. Contacta con soporte solo a través de sistemas internos de tickets—nunca trates temas sensibles por mensajes directos o chats grupales. Si alguien te contacta por mensaje directo diciendo ser del soporte, verifica su identidad en la web oficial de Gate o en el centro de tickets de la app.
  5. Verifica siempre los dominios y certificados de inicio de sesión; accede únicamente desde tus favoritos o la app oficial—nunca desde enlaces en correos o chats.
  6. Activa alertas de riesgo en inicio de sesión y retiros, y monitoriza accesos desde dispositivos desconocidos. Si detectas un dispositivo no reconocido, ciérralo inmediatamente y cambia tu contraseña.

Cómo prevenir el spear phishing al firmar con wallets

Sigue estos principios: actúa despacio, comprende antes de firmar y concede siempre el mínimo de permisos.

  1. Utiliza un hardware wallet para almacenar tu clave privada—tu “llave maestra”—ya que mantiene la clave fuera de línea en un dispositivo dedicado y reduce el riesgo de robo.
  2. Conecta wallets únicamente a través de puntos oficiales; revisa siempre dominios y URLs de contratos. Para DApps desconocidas, prueba primero con importes pequeños.
  3. Revisa cada solicitud de firma detenidamente. Si el mensaje menciona “aprobar, autorizar, permitir gasto de tokens, límite ilimitado”, selecciona siempre la autorización mínima o bajo demanda.
  4. Utiliza herramientas de gestión de permisos para revisar y revocar autorizaciones innecesarias—cuantas más autorizaciones activas, mayor es tu superficie de ataque.
  5. Gestiona los activos en varias cuentas: guarda los de mayor valor en direcciones usadas solo para recibir fondos (no para firmar habitualmente) y utiliza direcciones de bajo valor para las operaciones diarias.

Qué hacer tras ser víctima de spear phishing

El objetivo es contener el incidente de inmediato, minimizar las pérdidas y preservar las pruebas.

  1. Si accediste a un enlace de phishing o iniciaste sesión, cambia tu contraseña cuanto antes a través de canales oficiales, restablece la 2FA y cierra la sesión en dispositivos sospechosos.
  2. Si firmaste una transacción maliciosa con tu wallet, desconéctate del sitio inmediatamente y revoca las autorizaciones relacionadas; transfiere los fondos restantes a una nueva dirección lo antes posible.
  3. Activa o revisa las whitelists de retiro para evitar nuevas salidas de activos; establece restricciones de retiro en Gate y mantente atento a las alertas de riesgo.
  4. Conserva todas las pruebas (correos, registros de chat, hashes de transacción, capturas de pantalla de dominios), informa del incidente a través de los sistemas oficiales de tickets y contacta con las autoridades o el equipo de seguridad de la plataforma si es necesario.

En 2024–2025, los ataques de spear phishing son cada vez más personalizados y automatizados. Los atacantes utilizan mensajes más creíbles, avatares y documentos realistas, e incluso tecnologías deepfake de voz y vídeo para reforzar su legitimidad.

Las plataformas de mensajería privada siguen siendo los principales puntos de entrada. El address poisoning y las estafas on-chain de tipo “autoriza y roba” continúan en aumento. A medida que surgen nuevas interacciones y estándares de smart contracts, las estafas que explotan la mecánica de autorizaciones evolucionan rápidamente; por eso, comprender las firmas y restringir las aprobaciones sigue siendo esencial para la defensa.

Puntos clave para prevenir el spear phishing

Concéntrate en tres aspectos: utiliza siempre puntos de acceso y canales oficiales; detente antes de iniciar sesión o firmar cualquier cosa—verifica y comprende cada acción; y haz que las funciones de seguridad (2FA, códigos anti-phishing, whitelists de retiro, hardware wallets, revocación periódica de permisos) formen parte de tu rutina diaria. Adoptar un enfoque pausado y deliberado es más eficaz contra el spear phishing que depender de una sola herramienta.

Preguntas frecuentes

He recibido un airdrop inesperado de NFT o tokens de un desconocido que afirma que solo tengo que firmar para reclamarlo, ¿es spear phishing?

Casi seguro que sí. Los ataques de spear phishing suelen emplear “recompensas de airdrop” para que firmes smart contracts maliciosos. Aunque la solicitud de firma parezca inofensiva, puede conceder a los atacantes permiso para transferir activos desde tu wallet. Si recibes airdrops no solicitados, verifica siempre la identidad del remitente mediante un explorador de blockchain antes de firmar nada; si tienes dudas, no procedas.

Alguien que dice ser de un equipo de proyecto me ha escrito por mensaje directo en un chat de grupo pidiéndome que participe en una verificación de whitelist introduciendo mi clave privada, ¿qué debo hacer?

Detente de inmediato y bloquea al remitente—esto es spear phishing clásico. Los equipos legítimos nunca te pedirán tu clave privada, frase mnemotécnica ni ninguna información sensible de firma por mensaje privado. Comprueba si has hecho clic en enlaces de phishing recientemente; si es así, considera mover tus activos a una nueva dirección de wallet por seguridad.

¿Cómo descubren los spear phishers mi dirección de wallet o correo electrónico?

Los atacantes recopilan información de diversas fuentes: direcciones públicas on-chain, nombres de usuario en foros, bases de datos de correos electrónicos filtrados e incluso datos que compartes abiertamente en Discord o Twitter. Esta investigación dirigida explica por qué sus ataques son precisos y no aleatorios. Mantener un perfil bajo y limitar la exposición de información personal es la mejor defensa.

Si he firmado accidentalmente un smart contract malicioso, ¿puedo recuperar mis activos?

Una vez que autorizas permisos maliciosos, los atacantes pueden transferir tus activos y normalmente no hay forma de recuperarlos. Sin embargo, actúa de inmediato: transfiere los fondos restantes a una nueva dirección de wallet, revoca todos los permisos de contrato (con herramientas como revoke.cash), cambia tus contraseñas y activa la 2FA. Informa también del incidente al equipo de seguridad de Gate para su investigación.

¿Cómo puedo saber si una notificación que dice ser de Gate es legítima o phishing?

Las notificaciones auténticas de Gate solo se envían a través del panel de tu cuenta, tu correo electrónico registrado o canales oficiales en redes sociales—nunca te pedirán pulsar en enlaces sospechosos ni introducir tu contraseña en otro sitio. Accede siempre a Gate navegando directamente a la web oficial, nunca desde enlaces recibidos. Si tienes dudas sobre la legitimidad de cualquier mensaje, verifícalo en el Security Center de Gate o contacta directamente con atención al cliente.

Un simple "me gusta" vale más de lo que imaginas

Compartir

Contenido

¿Qué es el spear phishing?

¿Por qué el spear phishing es más peligroso en Web3?

¿Cómo funciona el spear phishing?

Tácticas comunes de spear phishing

Cómo identificar ataques de spear phishing

Cómo prevenir el spear phishing en exchanges

Cómo prevenir el spear phishing al firmar con wallets

Qué hacer tras ser víctima de spear phishing

Puntos clave para prevenir el spear phishing

Preguntas frecuentes

Glosarios relacionados
Descifrar
El descifrado es el proceso por el cual los datos cifrados se transforman de nuevo en su formato original y legible. En el entorno de las criptomonedas y la tecnología blockchain, el descifrado es una operación criptográfica esencial que suele requerir una clave específica —por ejemplo, una clave privada—, permitiendo que solo los usuarios autorizados accedan a la información cifrada y protegiendo la seguridad del sistema. Existen dos tipos de descifrado: simétrico y asimétrico, que corresponden a distintos
Combinación de fondos
La mezcla de fondos es la práctica mediante la cual los exchanges de criptomonedas o los servicios de custodia agrupan y gestionan los activos digitales de distintos clientes en una única cuenta o cartera. Aunque mantienen registros internos que identifican la titularidad individual, los activos se almacenan en carteras centralizadas bajo control de la institución, en vez de estar gestionados directamente por los clientes en la blockchain.
cifra
Un algoritmo criptográfico es un conjunto de métodos matemáticos que se utilizan para bloquear la información y verificar su autenticidad. Los tipos más habituales incluyen el cifrado simétrico, el cifrado asimétrico y los algoritmos hash. Dentro del ecosistema blockchain, estos algoritmos son esenciales para firmar transacciones, generar direcciones y garantizar la integridad de los datos, lo que protege los activos y mantiene seguras las comunicaciones. Además, las actividades de los usuarios en wallets y exchanges, como las solicitudes de API y los retiros de activos, dependen tanto de la implementación segura de estos algoritmos como de una gestión eficaz de las claves.
Definición de Anonymous
La anonimidad consiste en participar en actividades en línea o en la cadena sin revelar la identidad real, mostrando únicamente direcciones de monedero o seudónimos. En el sector cripto, la anonimidad se observa habitualmente en transacciones, protocolos DeFi, NFT, monedas orientadas a la privacidad y herramientas de zero-knowledge, y contribuye a limitar el rastreo y la elaboración de perfiles innecesarios. Como todos los registros en las blockchains públicas son transparentes, la anonimidad en la mayoría de los casos es realmente seudonimato: los usuarios aíslan su identidad creando nuevas direcciones y separando sus datos personales. No obstante, si estas direcciones se vinculan a una cuenta verificada o a información identificable, el grado de anonimidad disminuye considerablemente. Por ello, es imprescindible emplear herramientas de anonimidad de manera responsable y conforme a la normativa vigente.
Venta masiva
El dumping consiste en la venta acelerada de grandes volúmenes de activos de criptomonedas en un intervalo de tiempo muy breve. Esto suele causar caídas sustanciales en los precios y se manifiesta mediante incrementos repentinos en el volumen de operaciones, movimientos acusados a la baja y cambios drásticos en la percepción del mercado. Este fenómeno puede originarse por episodios de pánico, la publicación de noticias adversas, acontecimientos macroeconómicos o la venta estratégica de grandes tenedores ("w

Artículos relacionados

Las 10 mejores herramientas de trading en Cripto
Intermedio

Las 10 mejores herramientas de trading en Cripto

El mundo cripto está en constante evolución, con nuevas herramientas y plataformas emergiendo regularmente. Descubre las principales herramientas de criptomonedas para mejorar tu experiencia de trading. Desde la gestión de cartera y el análisis de mercado hasta el seguimiento en tiempo real y las plataformas de meme coin, aprende cómo estas herramientas pueden ayudarte a tomar decisiones informadas, optimizar estrategias y mantenerte al frente en el dinámico mercado cripto.
2024-11-28 05:39:59
Cómo encontrar nuevas memecoins antes de que se vuelvan virales
Intermedio

Cómo encontrar nuevas memecoins antes de que se vuelvan virales

Aprende cómo identificar oportunidades de inversión tempranas antes de que una memecoin se vuelva viral. Este artículo aborda estrategias utilizando plataformas de lanzamiento, herramientas de seguimiento y tendencias en las redes sociales, enfatizando la gestión del riesgo para ayudarte a mantenerte adelante en el mercado de criptomonedas.
2025-02-07 03:57:12
La verdad sobre la moneda Pi: ¿Podría ser la próxima Bitcoin?
Principiante

La verdad sobre la moneda Pi: ¿Podría ser la próxima Bitcoin?

Explorando el modelo de minería móvil de la Red Pi, las críticas que enfrenta y sus diferencias con Bitcoin, evaluando si tiene el potencial de ser la próxima generación de criptomonedas.
2025-02-07 02:15:33