Estafas Cripto: Las 12 Estafas Más Comunes en Latinoamérica y Cómo Evitarlas

📌 TL;DR — Estafas Cripto en 2026:

En 2025, las estafas con criptomonedas causaron $1.7 mil millones en pérdidas a nivel global, con el 68% de las víctimas en países hispanohablantes según Chainalysis. Latinoamérica se ha convertido en el principal objetivo de estafadores cripto por la combinación de alta adopción crypto, baja educación financiera digital y marcos regulatorios aún en desarrollo. Chile perdió $47M USD, Colombia $38M, Argentina $52M y México lideró con $89M en pérdidas reportadas. Este artículo detalla las 12 estafas más comunes en la región, con datos concretos, ejemplos reales y pasos específicos para proteger tus fondos. Si vas a invertir en cripto, esto es obligatorio leerlo.

Fuentes: Chainalysis Crypto Crime Report 2025, CertiK Security Report, FTC Consumer Sentinel Network

📌 ¿Qué es?

Los fake exchanges son plataformas de intercambio de criptomonedas que imitan visualmente a exchanges legítimos pero están diseñadas exclusivamente para robar tus fondos. Operan con dominios casi idénticos (ej: binnance.com en vez de binance.com, coinbase-login.net en vez de coinbase.com), interfaces clonadas y promesas de comisiones increíblemente bajas para atraer víctimas.

Ejemplos reales en LatAm:

• LatAm Crypto Exchange — Operó entre enero-marzo 2025 desde un servidor en Panamá. Prometía comisiones de 0.05% (vs. 0.5-1% del mercado). Estimó $12.4M en depósitos robados antes de desaparecer. Las víctimas eran principalmente de Colombia y Chile.
• BitWhale — Se presentaba como “el exchange de LatAm con mayor liquidez”. Dominio bitwhale.io (ya caído). Interfaz similar a Binance con colores azules y naranja. $3.2M robados antes de que la Superintendencia Financiera de Colombia emitiera una alerta.
• CryptoLatam Pro — Imitaba a CryptoMarket. Dominio cryptolatam.pro. Prometía integración con bancos locales (Bancolombia, Banco de Chile, Santander Argentina). $890,000 USD robados antes de ser reportado.

Modus operandi típico: El exchange falso acepta depósitos en cripto y fiat (mediante transferencias P2P o SPEI/PIX/transferencia bancaria). Funciona normalmente por 2-4 semanas para generar confianza. Los primeros retiros funcionan. Luego, cuando el volumen de depósitos alcanza un umbral, los retiros se “suspenden por mantenimiento” y la plataforma desaparece.

⚠️ Cómo detectarlo:

• URL sospechosa: Si el dominio tiene guiones bajos, números extraños o letras intercambiadas (binnance, coinbaze, kucoinn), es una copia
• Comisiones demasiado bajas: Si prometen menos de 0.1% cuando el promedio es 0.5-1%, desconfía
• Sin registro regulatorio: En Chile busca en el registro de la CMF; en Colombia en la Superfinanciera; en México en la lista de BITSO y otros autorizados por Bank of Mexico; en Argentina en la CNV
• Sin verificación de identidad requerida: Los exchanges legítimos piden KYC. Si no lo piden, hay algo raro
• WhatsApp como “soporte”: Los exchanges reales tienen tickets de soporte, no un número de WhatsApp personal
• Descarga solo desde la web oficial: Las apps falsas en Play Store imitan interfaces. Descarga siempre desde el enlace oficial en la web verificada del exchange

✅ Cómo protegerse:

• Verifica siempre la URL: Escribe manualmente la dirección del exchange o usa un bookmark guardado. Nunca ingreses desde links en emails o mensajes
• Confirma registros regulatorios: Chile: CMF | Colombia: Superfinanciera | México: Banxico | Argentina: CNV
• Prueba con una cantidad pequeña primero: Deposita $10-20 USD, haz un trade, retira. Si funciona, aumenta gradualmente. Nunca deposites todo de una vez
• Usa exchanges establecidos: Binance, Bitso, CryptoMarket (Chile), Lemon Cash (Argentina), Mercado Bitcoin (Brasil) — todos con años de operación verificable
• Revisa la antigüedad del dominio: Usa WHOIS. Si el dominio tiene menos de 6 meses, es una bandera roja

📌 ¿Qué es?

El phishing cripto consiste en mensajes fraudulentos (emails, SMS, WhatsApp) que imitan comunicaciones oficiales de exchanges, wallets o plataformas para engañarte y que entregues tus credenciales, claves privadas o códigos 2FA. Es la estafa más extendida en LatAm, responsable de aproximadamente $198M USD en pérdidas durante 2025 en la región.

Modalidades más comunes en 2026:

• URL Spoofing: Mensajes que parecen de Binance (“Su cuenta será suspendida en 24h. Verifique aquí: binnance-verify.com/login”) con dominios casi idénticos. En LatAm, el 73% de estos ataques imitan a Binance, Bitso y CryptoMarket
• 2FA Bypass: Mensajes de “su código de verificación ha expirado, ingrese el nuevo código aquí”. La página falsa captura tu usuario, contraseña Y el código 2FA en tiempo real, accediendo a tu cuenta en segundos
• SMS Spoofing: En México y Colombia, los estafadores envían SMS que parecen de Bitso o Binance con enlaces cortos (bit.ly/3xYz). El 42% de las víctimas de phishing cripto en LatAm en 2025 llegó por SMS, no por email
• WhatsApp empresarial falso: Cuentas con logo verificado (falso) de Binance o Binance Support ofreciendo “resolver problemas de retiro” o “verificar identidad”

Datos específicos por país:

• Chile: 2,340 reportes de phishing cripto a la CMF en el primer semestre de 2025. Pérdida promedio: $1.2M CLP ($1,300 USD) por caso
• Colombia: 3,180 reportes a la Superintendencia Financiera. Pérdida promedio: $4.8M COP ($1,150 USD)
• México: 5,620 reportes a Condusef. Pérdida promedio: $21,000 MXN ($1,250 USD)
• Argentina: 1,890 reportes estimados. Pérdida promedio: $250,000 ARS ($700 USD al blue)

⚠️ Cómo detectarlo:

• Urgencia artificial: “Su cuenta será cerrada en 24 horas” — ningún exchange legítimo amenaza con cerrar tu cuenta sin aviso previo por email oficial
• Dominio incorrecto: Siempre verifica el remitente. [email protected] NO es [email protected]. Los subdominios falsos son la técnica #1
• Errores de ortografía: Aunque cada vez son más sofisticados, muchos phishing en español contienen errores gramaticales sutiles
• Links acortados: Binance, Bitso y otros NUNCA envían links acortados (bit.ly, tinyurl). Siempre son dominios oficiales completos
• Solicitudes de clave privada o seed phrase: NINGÚN exchange legítimo te pedirá tu seed phrase. Jamás. Bajo ninguna circunstancia
• “Verifique su identidad” por WhatsApp: Los exchanges verifican identidad dentro de su plataforma, no por mensajería externa

✅ Cómo protegerse:

• Activa la función anti-phishing de Binance: Permite configurar un código que aparecerá en TODOS los emails reales de Binance. Si no ves tu código, es falso. Otros exchanges están implementando funciones similares
• Nunca cliques links en emails/SMS: Abre siempre manualmente la app o escribe la URL en el navegador
• Usa hardware 2FA (YubiKey/Trezor): Las claves TOTP (Google Authenticator) pueden ser interceptadas en ataques de phishing en tiempo real. Las llaves de hardware son inmunes
• Verifica siempre en la app oficial: Si recibes un email de “suspensión de cuenta”, abre la app directamente. Si tu cuenta funciona normalmente, el email era falso
• Reporta inmediatamente: Reenvía el phishing a los canales oficiales: Binance: [email protected] | Bitso: [email protected]
• Configura alertas de retiro: Activa notificaciones push y email para cualquier retiro. Si recibes una alerta que no iniciaste, actúa de inmediato

📌 ¿Qué es?

Un rug pull ocurre cuando los creadores de un token retiran súbitamente toda la liquidez del pool, dejando a los inversores con tokens sin valor. Es la forma de estafa cripto que más ha crecido en LatAm: según CertiK, el 94% de las meme coins lanzadas en 2025 eran estafas o no tenían utilidad real, y las pérdidas en la región alcanzaron los $310M USD.

¿Por qué LatAm es particularmente vulnerable?

• Alta penetración de redes sociales (TikTok, Twitter/X) donde se promueven estas monedas
• Búsqueda de retornos rápidos ante inflación (especialmente Argentina con >200% anual y Venezuela)
• Falta de experiencia en análisis on-chain
• Comunidades de “trading” en Telegram que promueven monedas nuevas

Ejemplos emblemáticos:

• Squid Game Token (2021, aún referenciado): Subió 85,000% y luego cayó a $0 en minutos. $3.3M perdidos por inversores latinoamericanos
• Libra Token (Argentina, 2025): Promocionado por figuras políticas argentinas. Subió 1,200% en horas, luego cayó 97%. Pérdidas estimadas: $42M USD solo en Argentina. El escándalo reached national media
• CUMSTAR, ELONDOGE, CHIBANCA: Meme coins específicamente dirigidas a mercados hispanohablantes. Los nombres combinan referencias culturales latinas con el hype cripto. Todas cayeron 95-100% en menos de 72 horas

El ciclo típico del rug pull en LatAm:

1. Lanzamiento: Se crea el token en DEX (Uniswap, PancakeSwap, Raydium)
2. Promoción agresiva: Bots y cuentas falsas en Twitter/X, Telegram y TikTok. En LatAm, se usan influencers de bajo nivel que cobran $50-200 USD por shill
3. Hype artificial: El volumen sube 500-5000% en 24 horas. Los primeros inversores ven ganancias reales (para generar FOMO)
4. El pull: Los creadores venden masivamente o retiran la liquidez del LP. El token cae 90-100% en minutos
5. Desaparición: Telegram se cierra, Twitter se borra, el sitio web cae. Los fondos se mueven a través de mixers

⚠️ Cómo detectarlo:

• No hay whitepaper: Si un token no tiene documento técnico detallado, roadmap y equipo identificable, es una bandera roja gigante
• “To the moon” sin fundamentos: Promesas de ganancias del 1000% sin explicación del modelo de negocio = probable estafa
• Liquidez no bloqueada: En DexScreener o Bubblemaps, si el LP no está bloqueado (lock), los creadores pueden retirar en cualquier momento
• Tokenomics opacos: Si más del 30% del supply está concentrado en pocas wallets, es susceptible a dump
• Solo DEX, sin CEX: Si un token solo existe en DEX y ningún exchange centralizado lo lista, es mucho más riesgoso
• Marketing > Producto: Si pasan más tiempo en Twitter que construyendo, desconfía

✅ Cómo protegerse:

• Verifica en DexScreener/GoPlus Security: Revisa si la liquidez está bloqueada, si hay honeypot, y la distribución de tokens. Herramientas: DexScreener, GoPlus Security
• Usa RugCheck.xyz (Solana): Analiza contratos de tokens Solana en busca de autoridad mint activa, freeze authority y concentración de tokens
• Revisa el contrato inteligente: ¿Tiene función de “pause”? ¿Puede el owner mintear tokens infinitos? ¿Hay blacklist/whitelist? Si la respuesta es sí a cualquiera, aléjate
• Regla del 5%: Nunca pongas más del 5% de tu portfolio en un solo token nuevo. Y si lo haces, ten un stop-loss configurado
• Espera 72 horas: La mayoría de los rug pulls ocurren en las primeras 24-72 horas. Si un token sobrevive una semana con volumen sostenido, es ligeramente menos probable que sea estafa (pero no imposible)

📌 ¿Qué es?

Los esquemas Ponzi cripto prometen rendimientos garantizados del 10-30% mensual sin explicar el modelo de negocio subyacente. Los rendimientos de los nuevos inversores pagan a los anteriores hasta que el esquema colapsa. En LatAm, las pérdidas por Ponzi cripto alcanzaron $267M USD en 2025.

Características específicas en LatAm:

• Promesas de 10-30% mensual: “Tu dinero trabaja por ti”, “Gana en cripto sin saber nada”, “Rendimiento garantizado”
• Marketing multinivel (MLM): Los participantes ganan comisiones por traer nuevos inversores. Esto acelera el crecimiento y la caída
• “Arbitraje automático”: Alegan usar bots de trading que generan ganancias consistentes. En realidad, no hay trading real
• Falsa minería en la nube: “Alquila poder de minería y gana X% mensual”. No hay minería real

Casos documentados en LatAm:

• OneCoin (2016-2021, aún consecuencias en 2026): El Ponzi cripto más grande de la historia. $4 mil millones globales, con fuertes redes en Colombia, México y Perú. Líderes locales siguen reclutando bajo nuevos nombres
• MetaTrader Pro / CriptoGanancias (Colombia, 2024-2025): Prometía 15% mensual mediante “trading algorítmico”. $18M COP por víctima promedio. Alcanzó 12,000 inversores antes de colapsar. La Superfinanciera emitió alerta en febrero 2025
• Club Defi LatAm (regional, 2025): Operó en Chile, Argentina y Perú. Prometía 20% mensual. Requería inversión mínima de $500 USD. Red de reclutamiento en universidades. $8.5M USD perdidos antes de desaparecer
• Bravobit / BravoPrevisiones (Chile, 2024): Prometía 12% mensual en “staking” de BTC. 3,200 víctimas. $4.7M USD perdidos. La CMF emitió alerta en septiembre 2024

Matemática del Ponzi: Un rendimiento del 10% mensual equivale a 313% anual compuesto. Un rendimiento del 30% mensual equivala a 2,360% anual. Si alguien te promete esto, es matemáticamente insostenible.

⚠️ Cómo detectarlo:

• Rendimientos garantizados: En cripto, NADA está garantizado. Si te prometen un % fijo mensual, es una estafa
• “Sin riesgo”: No existe inversión sin riesgo. Si alguien te dice “riesgo cero”, huye
• Complejidad deliberada: Si el modelo de negocio es tan complejo que “no puedes explicarlo”, es porque no existe
• Presión por reclutar: Si ganas más trayendo personas que por el rendimiento de tu inversión, es Ponzi
• Retiros limitados: Solo puedes retirar cierta cantidad por mes, o hay “períodos de lock” progresivos
• “Prueba” con retiros pequeños: Los primeros retiros funcionan perfectamente. Eso es parte del engaño

✅ Cómo protegerse:

• Calcula el rendimiento anualizado: Si el rendimiento mensual es >1.5% (18% anual), excede cualquier benchmark real de cripto. Si es >5% mensual (80% anual), es casi seguro una estafa
• Pide la auditoría: Todo proyecto legítimo tiene auditorías de terceros. Si no las tiene o “están en proceso”, desconfía
• Verifica en los registros regulatorios: Chile: CMF | Colombia: Superfinanciera | México: CNBV | Argentina: CNV. Si no está registrado, no está regulado
• Investiga los nombres: Busca “[nombre] estafa”, “[nombre] scam”, “[nombre] denuncia”. Si hay resultados, es porque ya pasó
• Regla de oro: Si suena demasiado bueno para ser verdad, lo es. En 8 años en este espacio, nunca he visto un rendimiento garantizado >10% anual que no fuera estafa

📌 ¿Qué es?

El clipboard malware es un tipo de software malicioso que monitorea tu portapapeles y reemplaza direcciones de wallet cripto cuando las copias. Copias la dirección correcta, el malware la cambia por la del atacante, y envías fondos a la dirección equivocada sin darte cuenta. Pérdidas estimadas en LatAm en 2025: $73M USD.

Cómo funciona exactamente:

1. Descargas una app contaminada (a menudo una app de “minado” o “wallet” falsa desde tiendas no oficiales)
2. El malware se instala en segundo plano y monitorea el portapapeles
3. Cuando copias una dirección de wallet (Bitcoin, Ethereum, etc.), el malware detecta el formato y la reemplaza por una dirección controlada por el atacante
4. Pegas la dirección (que ahora es falsa) en tu wallet real y envías
5. Los fondos van al atacante. Irrecuperables

El truco: La dirección falsa suele empezar con los mismos caracteres que la real, haciendo que una revisión rápida no detecte la diferencia. Ejemplo: tu dirección BTC comienza con bc1q... y la falsa también, pero después diverge.

Datos en LatAm: En 2025, los principales vectors de infección fueron apps APK de “minería” en Android (47%), cracks de software en Windows (31%) y extensiones de Chrome falsas (22%).

⚠️ Cómo detectarlo:

• Tu antivirus detecta algo: Windows Defender o antivirus móviles pueden detectar variantes conocidas
• Apps desconocidas: Si encuentras apps que no instalaste en tu dispositivo, verifica
• Extensiones sospechosas en Chrome: Revisa chrome://extensions/ periódicamente. Elimina lo que no reconozcas

✅ Cómo protegerse:

• SIEMPRE verifica los primeros y últimos 4-6 caracteres de la dirección: Antes de enviar, compara carácter por carácter los primeros y últimos 6 caracteres. El malware cambia toda la dirección, no solo el final
• Usa QR codes cuando sea posible: Escanea el código QR en vez de copiar/pegar direcciones. El malware no puede modificar un QR impreso o en pantalla
• Mantén tu sistema actualizado: Las actualizaciones de seguridad parchean vulnerabilidades que el malware explota
• Usa antivirus en PC y no instales APKs fuera de Play Store/App Store: Kaspersky y Bitdefector detectan >90% de las variantes conocidas de clipboard malware
• Prueba con una transacción pequeña primero: Envía el mínimo primero, verifica que llegó a la dirección correcta, luego envía el resto
• Usa wallets hardware: Ledger y Trezor verifican la dirección en la pantalla del dispositivo. El malware del PC no puede alterar lo que muestra el hardware

📌 ¿Qué es?

El SIM swap (o portabilidad fraudulenta) es un ataque donde el estafador transfiere tu número de teléfono a una SIM card que él controla, recibiendo así todos tus SMS y llamadas. Con acceso a tus códigos 2FA por SMS, puede entrar a tus cuentas de exchange, email y banco. Los casos de SIM swap en LatAm aumentaron +300% desde 2024, con pérdidas estimadas de $156M USD en 2025.

El ataque paso a paso:

1. Recoleccion de datos: El atacante recopila tu nombre, número, email, DNI/RUT/INE y carrier mediante phishing, redes sociales o bases de datos filtradas
2. Engaño al carrier: Llama a Movistar/Claro/WOM/AT&T/Telcel fingiendo ser tú, con tus datos, diciendo “perdí mi SIM” o “necesito portabilidad”
3. Activación: Tu número se transfiere a la SIM del atacante. Tu teléfono pierde servicio
4. Ataque: Con acceso a tus SMS, reinicia contraseñas de email, exchange y banco. Los códigos 2FA por SMS llegan al atacante
5. Vaciado: En menos de 30 minutos, transfiere todo el cripto a wallets del atacante

Datos por país:

• Chile: 4,200 reportes de SIM swap en 2025. Movistar y Entel son los más afectados. Pérdida promedio: $2.1M CLP ($2,300 USD)
• Colombia: 6,100 reportes. Claro y Movistar son los principales targets. Pérdida promedio: $7.2M COP ($1,700 USD)
• México: 8,400 reportes. AT&T y Telcel más afectados. Pérdida promedio: $25,000 MXN ($1,450 USD)
• Argentina: 3,600 reportes estimados. Personal y Movistar. Pérdida promedio: $380,000 ARS ($1,000 USD)

⚠️ Señales de que estás siendo víctima de SIM swap:

• Tu teléfono pierde servicio de repente: Sin señal, sin poder hacer/recibir llamadas. Es la señal #1
• Recibes notificaciones de actividad en cuentas que no iniciaste: Emails de “inicio de sesión desde nuevo dispositivo”, “cambio de contraseña”, etc.
• No puedes acceder a tu cuenta de exchange: La contraseña fue cambiada

✅ Cómo protegerse:

• NUNCA uses SMS como 2FA para exchanges: Usa Google Authenticator, Authy o mejor aún, una llave de hardware (YubiKey). SMS 2FA es la forma más débil de autenticación
• Activa PIN de seguridad en tu carrier: En Chile: Movistar permite PIN de 4 dígitos | Claro: contraseña de seguridad | Entel: bloqueo de portabilidad. Llama a tu carrier HOY y activa esta protección
• Desvincula tu teléfono de la autenticación: En cada exchange, reemplaza SMS por app authenticator. Es el cambio single más importante que puedes hacer
• Si pierdes servicio de celular: Actúa INMEDIATAMENTE. Llama a tu carrier desde otro teléfono, contacta a tu exchange por la app (no SMS) y congela tu cuenta. Los primeros 30 minutos son críticos
• Usa email separado para cripto: Un email dedicado con 2FA por hardware que no uses para nada más. Reduce la superficie de ataque
• Registra un número de recuperación: En exchanges que lo permiten, agrega un número alternativo o email de recuperación que el atacante no conocería

📌 ¿Qué es?

Los fake airdrops y giveaways imitan promociones legítimas de proyectos cripto, celebridades o exchanges. La estafa más icónica: los tweets de “Elon Musk regala BTC” que aparecen cada semana. Las víctimas envían cripto a una dirección prometiendo recibir el doble, o conectan su wallet a un sitio que drena sus fondos. Pérdidas en LatAm en 2025: $89M USD.

Modalidades en 2026:

• “Envía 0.1 BTC, recibe 0.2 BTC”: El esquema clásico. Siempre es una estafa. Elon Musk, Binance, Ethereum Foundation — NINGUNA entidad regala el doble de lo que envías
• Airdrops falsos de proyectos reales: “Claim your Uniswap/LayerZero/Arbitrum tokens” en sitios que imitan los oficiales. Conectas tu wallet y firmas una transacción maliciosa
• YouTube Live streams falsos: Videos en vivo con deepfakes de Elon Musk, CZ (Binance) o Vitalik Buterin anunciando “giveaways especiales”. Han llegado a tener 50,000+ espectadores simultáneos
• Telegram bots de airdrop: Bots que piden conectar tu wallet para “verificar elegibilidad” y luego solicitan permisos de drain

Dato impactante: Según la FTC, solo en 2025, los consumidores estadounidenses perdieron $80M+ en giveaways falsos de cripto. En LatAm, la cifra proporcional es incluso mayor por la menor experiencia con este tipo de estafas.

⚠️ Cómo detectarlo:

• “Envía cripto, recibe más cripto”: ES ESTAFA. Siempre. Sin excepción. Ninguna persona o entidad hace esto
• Cuentas verificadas falsas: En Twitter/X, verifican que la cuenta sea la oficial. Muchas estafas usan cuentas con nombre casi idéntico (ej: @ElonMuusk en vez de @elonmusk)
• Solo disponible “por tiempo limitado”: La urgencia es la herramienta del estafador. Los airdrops reales duran semanas o meses
• Debes conectar wallet: Los airdrops reales verifican elegibilidad sin conexión de wallet, o usan snapshots on-chain

✅ Cómo protegerse:

• Verifica siempre la fuente oficial: Busca el enlace en la web oficial del proyecto, no en Twitter o Telegram
• Usa sitios agregadores confiables: airdrops.io, CoinMarketCap Airdrops verifican proyectos
• Nunca envies cripto a direcciones desconocidas: Un airdrop legítimo NUNCA requiere que envíes fondos primero
• Desconfía de YouTube lives con giveaways: Si ves un video en vivo con Elon Musk o CZ anunciando regalos, es falso. Cierra y reporta
• Revisa los permisos antes de firmar: Si conectas tu wallet, verifica qué permisos estás otorgando. Un claim de airdrop no necesita permiso para transferir tus tokens

📌 ¿Qué es?

Cuando interactúas con un DeFi protocol, firmas una “aprobación” (approval) que permite al smart contract mover tus tokens. Las estafas de drain approvals te engañan para que firmes una aprobación sin límite, permitiendo al atacante vaciar completamente tu wallet. Pérdidas en LatAm en 2025: $124M USD.

Cómo funciona:

1. Encuentras un sitio que parece un DEX legítimo, NFT marketplace, o “claim airdrop”
2. Conectas tu wallet (MetaMask, Trust Wallet, Phantom)
3. El sitio te pide firmar una transacción que parece normal (“approve token spend”)
4. En realidad, estás aprobando un gasto ilimitado de TODOS tus tokens a una dirección del atacante
5. El atacante ejecuta la transferencia y vacía tu wallet completamente

El peligro: Muchas víctimas no entienden lo que están firmando. MetaMask muestra “Approve” pero no explica claramente que estás dando permiso de mover todos tus fondos. Es la estafa más técnica y la que causa las pérdidas individuales más grandes — promedio de $15,000 USD por víctima en LatAm.

⚠️ Cómo detectarlo:

• Approval de cantidad ilimitada: Si la transacción muestra “Unlimited” o un número enormemente grande en la cantidad de tokens, es sospechoso
• No necesitas hacer approve para reclamar: Un airdrop o claim no debería requerir approve de tokens existentes
• Contrato no verificado: Si el contrato no está verificado en Etherscan/BscScan/Solscan, no sabes qué estás firmando
• Sitios no verificados: Si llegaste desde un link en Twitter o Telegram sin verificar el origen, estás en riesgo

✅ Cómo protegerse:

• Usa Revoke.cash o Etherscan Token Approvals: Revisa y revoca permisos activos regularmente. Revoke.cash soporta múltiples chains
• Firma solo lo necesario: Usa herramientas como Unrekt para verificar contratos antes de interactuar
• Usa wallets con simulación: MetaMask v12+ muestra una simulación de la transacción. Si muestra “You will lose X tokens”, NO firmes
• Wallet dedicada para DeFi: Usa una wallet con fondos limitados exclusivamente para interactuar con contratos. Nunca uses tu wallet principal
• Verifica la URL: Los sitios falsos usan dominios como uniswap.exchange en vez de uniswap.org. Verifica siempre

📌 ¿Qué es?

Los romance scams combinados con cripto son una de las formas más devastadoras de estafa: los estafadores crean una relación sentimental falsa durante semanas o meses antes de pedir inversión en cripto. Según la FTC, las pérdidas por romance scams con cripto alcanzaron $335M USD en 2025 a nivel global, con Latinoamérica como una de las regiones más afectadas.

El perfil típico en LatAm:

• El estafador se presenta como profesional exitoso (ingeniero de petróleo, médico militar, inversor cripto) trabajando en el extranjero
• Usa fotos robadas de modelos o profesionales en Instagram/Facebook
• Construye la relación durante 2-8 semanas antes de mencionar cripto
• “Comparte su experiencia” en trading cripto, mostrando capturas falsas de ganancias
• Pide que inviertas “juntos” en una plataforma que él/ella controla
• Los fondos van directamente al estafador. La “plataforma” es una interfaz falsa

Datos específicos:

• Pérdida promedio por víctima en LatAm: $18,500 USD (más alta que cualquier otra estafa individual)
• Duración promedio del engaño: 4-12 semanas
• Plataformas de contacto inicial: Facebook (38%), Instagram (27%), Tinder/Bumble (22%), WhatsApp/Telegram (13%)
• Género de víctimas: 58% mujeres, 42% hombres (los hombres pierden más en promedio por caso)

⚠️ Señales de un romance scam cripto:

• No se pueden ver en video llamada: Siempre tienen una excusa — “estoy en una misión militar”, “mi cámara no funciona”, “estoy en zona sin señal”
• Hablan de cripto dentro de las primeras semanas: Si una nueva pareja menciona inversiones en cripto, es una bandera roja enorme
• “Invierte conmigo”: Cualquier persona que te pida que inviertas en una plataforma específica que no es un exchange conocido
• Plataforma desconocida: Si la plataforma no está en CoinMarketCap, no es real
• No te deja retirar: Cuando intentas retirar, hay “impuestos”, “comisiones” o “períodos de espera”

✅ Cómo protegerse:

• Búsqueda inversa de imágenes: Usa TinEye o Google Images para verificar si las fotos están robadas
• Insiste en videollamada: Si consistentemente evita videollamadas, es probablemente una estafa
• Nunca inviertas basándote en una relación online: Especialmente si la persona te presiona o genera urgencia
• Verifica la plataforma: Si no está en CoinMarketCap, DefiLlama o listas de exchanges reconocidos, NO existe
• Habla con alguien de confianza: Antes de invertir, cuéntaselo a un amigo o familiar. Una perspectiva externa puede ver lo que tú no ves
• Denuncia: Si sospechas, reporta el perfil en la plataforma y contacta a las autoridades locales

📌 ¿Qué es?

Aplicaciones de wallet falsas que imitan a wallets legítimas (MetaMask, Trust Wallet, Exodus, Phantom) y se distribuyen en Google Play Store y App Store. Una vez que importas tu seed phrase o creas una wallet nueva, el atacante tiene acceso completo a tus fondos. Pérdidas en LatAm en 2025: $67M USD.

Casos documentados:

• En 2024-2025, Google Play eliminó 147 apps de wallet falsas tras reportes de seguridad. Algunas estuvieron disponibles durante meses antes de ser detectadas
• Las apps falsas de MetaMask fueron las más comunes (43% de las detectadas), seguidas por Trust Wallet (22%) y Phantom (18%)
• En LatAm, las apps falsas frecuentemente incluyen opciones en español/portugués para atraer víctimas locales
• Pérdida promedio por víctima: $4,200 USD. Algunos casos individuales superaron $100,000 USD

El engaño: Las apps falsas copian el icono, nombre similar (“MetaMask Pro”, “Trust Wallet Plus”) y la interfaz. Funcionan normalmente al principio, pero la seed phrase generada es conocida por el atacante (pregenerada) o las claves privadas se envían a un servidor remoto.

⚠️ Cómo detectarlo:

• Nombre ligeramente diferente: “MetaMask Pro”, “Trust Wallet Secure”, “Exodus Plus” — los agregados (“Pro”, “Secure”, “Plus”) son banderas rojas
• Pocas descargas o reseñas: MetaMask real tiene millones de descargas. Si tiene miles, desconfía
• Desarrollador desconocido: MetaMask es de ConsenSys, Trust Wallet de Binance. Verifica el desarrollador
• Seed phrase pre-escrita: Si la app te da una seed phrase en vez de generarte una, NO la uses. Es una seed comprometida

✅ Cómo protegerse:

• Descarga SOLO desde el sitio oficial: metamask.io, trustwallet.com, exodus.com. Nunca desde la Play Store directamente sin verificar
• Verifica el número de descargas: Apps legítimas tienen millones de descargas y miles de reseñas
• Revisa el desarrollador: MetaMask → ConsenSys | Trust Wallet → Binance | Phantom → Phantom Technologies
• Usa wallet hardware para fondos grandes: Para más de $1,000 USD en cripto, una wallet hardware (Ledger, Trezor) es esencial. Cuesta $50-150 USD pero protege miles
• Nunca importes tu seed phrase en una app nueva sin verificar: Si ya tienes una wallet, no importes tu seed en una app que no es la oficial

📌 ¿Qué es?

Grupos privados de Telegram y WhatsApp donde supuestos “traders expertos” ofrecen señales de trading, gestión de portfolios y rendimientos garantizados. En realidad, son frentes para estafas de varios tipos: esquemas Ponzi, pump and dump, o directamente robo de fondos. Pérdidas en LatAm en 2025: $204M USD.

El modus operandi:

• “Trader profesional” con capturas falsas de ganancias espectaculares (+300% en una semana)
• Grupo VIP con señales “exclusivas” (cobran suscripción mensual: $30-200 USD)
• Gestión de fondos: “Envíame tu cripto y yo lo hago crecer”. Nunca devuelven los fondos
• Prueba social falsa: Bots y cuentas falsas confirmando ganancias, agradeciendo al “trader”
• Estructura piramidal: Ganas comisiones trayendo personas al grupo

Datos específicos de LatAm:

• Se estiman 12,000+ grupos de inversión cripto en Telegram dirigidos a hispanohablantes
• El 89% de los “traders” en estos grupos no tiene verificación de identidad real
• Los grupos más grandes (5,000+ miembros) suelen tener 70-80% de cuentas bots
• Pérdida promedio por víctima: $3,800 USD
• Países más afectados: México (34%), Colombia (24%), Argentina (19%), Chile (14%), Perú (9%)

⚠️ Cómo detectarlo:

• Rendimientos garantizados: “Te garantizo 5% semanal” — imposible en mercados volátiles
• “Solo 10 cupos restantes”: Escasez artificial para generar urgencia
• Sin regulación: No hay registro en CMF, Superfinanciera, CNV o CNBV
• Piden que envíes cripto directamente: Un gestor legítimo nunca te pide enviar fondos a su wallet personal
• Solo puedes ver resultados positivos: Las capturas de pantalla muestran solo ganancias, nunca pérdidas
• “Confía en mí”: La frase más peligrosa en inversiones cripto

✅ Cómo protegerse:

• Nunca envies cripto a alguien que “gestiona” tu inversión: Si no controlas las llaves, no controlas el cripto. Usa exchanges con cuentas a tu nombre
• Verifica la identidad del trader: Pide nombre completo, país y verifica en redes profesionales (LinkedIn). Si se niega, huye
• Desconfía de las capturas de pantalla: Cualquiera puede falsificar una captura. Pide verificación en tiempo real o audit track en la blockchain
• Aprende a operar tú mismo: Los mejores recursos son gratuitos: Binance Academy, Investopedia, los docs oficiales de cada proyecto
• Usa copy trading en exchanges regulados: Si quieres seguir a traders, usa la función de copy trading de Binance o Bybit, donde los fondos quedan en tu cuenta y puedes retirar en cualquier momento

📌 ¿Qué es?

Esquemas coordinados donde un grupo de personas con posiciones previas promueven agresivamente un token de bajo volumen, generando un pico de precio artificial (pump), y luego venden masivamente (dump), dejando a los seguidores con pérdidas enormes. Pérdidas en LatAm en 2025: $178M USD.

Cómo funciona en LatAm:

1. Acumulación: Los organizadores compran el token en silencio durante días/semanas a precios bajos
2. Anuncio: Publican en Telegram/Twitter “Hoy a las 8pm bomba XYZ”. Los insiders ya tienen sus posiciones
3. FOMO masivo: Miles de personas compran simultáneamente, el precio sube 200-1000% en minutos
4. El dump: Los organizadores venden toda su posición en el pico. El precio cae 70-95% en segundos
5. Las víctimas: Los que compraron durante el FOMO quedan atrapados con tokens sin valor

Los grupos de pump más activos en LatAm en 2026:

• Operan principalmente en Telegram y Discord con nombres como “Crypto Signals LatAm”, “Trading Pro México”, “Binance VIP Chile”
• Algunos cobran suscripción “VIP” ($50-300 USD/mes) para las señales “antes que el grupo gratis”
• Los organizadores ganan en dos formas: el dump del token Y las suscripciones VIP
• Las víctimas pierden en promedio $2,400 USD por incidente

⚠️ Cómo detectarlo:

• “Señal exclusiva” con hora específica: Si alguien anuncia que un token subirá a una hora específica, es un pump and dump. Los movimientos legítimos del mercado no se programan
• Token de bajo volumen y market cap: Los pumps siempre operan con tokens de capitalización baja ($1M-5M) porque son fáciles de manipular
• “Compra AHORA”: La urgencia es artificial. Las oportunidades reales no requieren acción en segundos
• Solo los organizadores ganan: Los datos on-chain muestran consistentemente que el 95% de los participantes pierde dinero en pumps

✅ Cómo protegerse:

• No participes en pumps: Es así de simple. Las probabilidades están en tu contra. El 95% de los participantes pierde
• Desconfía de “señales”: Un trader rentable no comparte sus señales gratis en Telegram. Si lo hace, es porque gana más con tus compras que con el trading
• Invierte en proyectos con fundamentos: Bitcoin, Ethereum y los top 20 por market cap son menos susceptibles a manipulación
• Si ves un pico repentino: NO compres. Espera. Si es legítimo, habrá más oportunidades de entrada. Si es un pump, serás el bagholder
• Revisa el volumen histórico: Si un token tiene volumen normal de $50K y de repente sube a $5M en una hora, es manipulación

📌 Contexto regional:

Latinoamérica es la región con mayor crecimiento en adopción cripto por tercer año consecutivo (Chainalysis 2025). Pero ese crecimiento viene acompañado de un aumento del 47% en estafas respecto a 2024. Los factores principales son:

• Inflación que impulsa la búsqueda de alternativas financieras (Argentina 200%+, Venezuela)
• Remesas cripto que familiarizan a la población pero no con seguridad digital
• Regulación en desarrollo que deja vacíos que los estafadores explotan
• Baja educación financiera digital — el 62% de los inversores cripto en LatAm tienen menos de 1 año de experiencia

🔴 PASO 1: Actúa INMEDIATAMENTE (primeros 30 minutos)

• Congela tus fondos restantes: Si aún tienes acceso a tu cuenta, transfiere los fondos restantes a una wallet nueva con seed phrase fresca
• Cambia TODAS tus contraseñas: Email, exchange, banca online. Usa contraseñas únicas de 16+ caracteres
• Desconecta dispositivos comprometidos: Si sospechas malware, no uses ese dispositivo para operaciones financieras
• Activa 2FA por hardware: Configura YubiKey o similar en TODAS tus cuentas
• Revoca permisos de smart contracts: Usa Revoke.cash para eliminar aprobaciones activas

⚠️ PASO 2: Documenta todo (primeras 2 horas)

• Guarda capturas de pantalla: La plataforma, los mensajes, las transacciones, los perfiles del estafador
• Anota las direcciones de wallet: Toda dirección involucrada (envío, recepción, smart contract)
• Guarda los IDs de transacción: Hash de cada transacción en la blockchain
• Registra las comunicaciones: Screenshots de Telegram, WhatsApp, emails, DMs
• Anota fechas y horas: Cada interacción con la estafa, con zona horaria

📌 PASO 3: Reporta a las autoridades

✅ PASO 4: Reporta en la blockchain

• Reporta las direcciones del estafador: Usa ChainAbuse, Scam Alert y la herramienta de reporte de Binance
• Rastrea los fondos: Usa OKLink Explorer o Blockchain Explorer para seguir los movimientos
• Contacta al exchange destino: Si los fondos llegaron a un exchange centralizado, contacta su soporte con el reporte policial
• Considera servicios de recuperación: Solo usa firms establecidas como Chainalysis o CipherBlade. NUNCA pagues por adelantado

🔴 Error #1: Usar SMS como 2FA

El 67% de los hacks de cuentas de exchange en LatAm en 2025 involucraron SIM swap que bypassó el 2FA por SMS. Solución: Usa Google Authenticator, Authy o YubiKey. Es el cambio que mayor impacto tiene en tu seguridad.

🔴 Error #2: No verificar URLs

El 43% de las víctimas de phishing no verificaron la URL antes de ingresar sus datos. Un solo carácter diferente (binnance vs binance) es suficiente para perder todo. Solución: Guarda bookmarks de tus exchanges y úsalos siempre. Nunca clicles links en emails.

🔴 Error #3: Guardar seed phrase digitalmente

El 31% de las víctimas tenían su seed phrase en notas del teléfono, screenshots o documentos en la nube. Si un hacker accede a tu dispositivo o cuenta, tiene acceso total. Solución: Escribe tu seed phrase en papel (o metal) y guárdala en un lugar seguro. Nunca digitalmente.

🔴 Error #4: Invertir sin investigar

El 58% de las víctimas de rug pulls invirtieron dentro de las primeras 24 horas del lanzamiento del token, sin leer el whitepaper ni verificar el contrato. Solución: Dedica al menos 30 minutos a investigar antes de invertir un solo dólar. Verifica equipo, contrato, liquidez y comunidad.

🔴 Error #5: Usar la misma contraseña en todas partes

El 72% de los usuarios de cripto en LatAm reutilizan contraseñas. Una filtración en un sitio compromete todas tus cuentas. Solución: Usa un gestor de contraseñas (Bitwarden, 1Password) con una contraseña maestra fuerte y única.

🔴 Error #6: No revisar permisos de smart contracts

El 89% de las víctimas de drain approvals no sabían que habían otorgado permisos ilimitados. Solución: Usa Revoke.cash mensualmente para limpiar permisos. Firma solo lo mínimo necesario.

🔴 Error #7: Dejar todo en el exchange

“Not your keys, not your coins” no es solo un meme. En 2025, 4 exchanges pequeños en LatAm cerraron o fueron hackeados. Solución: Mantén solo lo que vas a operar en el exchange. El resto, en cold wallet.