Rewards Hub 
Cuatro agencias policiales de tres países rastrearon cripto robado en más de 30 naciones durante una semana a finales de marzo de 2026. Al concluir, lograron congelar $12 millones, identificar más de 20,000 direcciones de billeteras comprometidas y cerrar 120 sitios web fraudulentos. La operación, denominada Atlantic, fue liderada por el Servicio Secreto de EE. UU., la Agencia Nacional del Crimen del Reino Unido (NCA), la Policía Provincial de Ontario y la Comisión de Valores de Ontario. El fraude total identificado superó los $45 millones, de los cuales $33 millones siguen bajo investigación activa.
El método detrás de casi todos estos fraudes fue el phishing de aprobaciones: un ataque de ingeniería social que no roba tus claves privadas ni tu frase semilla, sino que te engaña para firmar una transacción que otorga a un tercero acceso ilimitado a tus tokens. Nunca entregas una contraseña; simplemente haces clic en "aprobar" en lo que parece una solicitud rutinaria de tu billetera, y todo el saldo queda vulnerable.
A continuación, se explica qué descubrió la Operación Atlantic, cómo funciona técnicamente el phishing de aprobaciones y los pasos específicos para prevenirlo.
¿Qué hizo realmente la Operación Atlantic?
La operación se llevó a cabo durante una semana a finales de marzo y principios de abril de 2026. El Servicio Secreto de EE. UU. anunció los resultados el 9 de abril, destacando que se trata de la primera acción coordinada multinacional enfocada específicamente en el phishing de aprobaciones a gran escala.
Los datos hablan por sí solos. Los investigadores identificaron más de 20,000 direcciones de billeteras vinculadas a víctimas de fraude en más de 30 países, incluyendo EE. UU., Reino Unido y Canadá. De estas, las autoridades contactaron directamente a más de 3,000 víctimas durante la propia operación, advirtiéndoles de la vulnerabilidad de sus billeteras y, en algunos casos, congelando fondos antes de que los estafadores pudieran transferirlos. Una víctima en el Reino Unido perdió aproximadamente £52,000 en una sola transacción de phishing de aprobaciones.
Además de congelar $12 millones, el equipo desmanteló 120 dominios web utilizados para alojar interfaces DeFi falsas, páginas de reclamo de airdrops fraudulentos y ventanas de conexión de billetera suplantadas. Según The Block, los restantes $33 millones identificados aún están siendo rastreados, por lo que la operación sigue en curso.
Chainalysis proporcionó la inteligencia blockchain básica para la operación, brindando rastreo en cadena en tiempo real, identificación de billeteras de víctimas y datos que conectaron la infraestructura fraudulenta a través de varias cadenas. La integración de una firma privada de análisis blockchain en una operación internacional de cuatro agencias muestra cuán esencial se ha vuelto la forénsica en cadena para la aplicación de la ley en cripto.
Cómo funciona el phishing de aprobaciones (versión técnica)
El phishing de aprobaciones explota una característica clave de DeFi, no un error. Cada vez que intercambias tokens en un exchange descentralizado, prestas en un protocolo como Aave o creas un NFT, primero debes aprobar que el contrato inteligente pueda gastar tus tokens en tu nombre. El estándar ERC-20 incluye una función approve() que requiere dos entradas: la dirección autorizada (el contrato que recibirá el permiso) y la cantidad (número de tokens que puede mover).
Los protocolos legítimos solicitan aprobación específica para la cantidad que vas a usar. Un intercambio de 500 USDC pide permiso para mover 500 USDC. Pero la función no establece un límite por defecto. Un contrato malicioso puede solicitar aprobación ilimitada, es decir, permiso para mover todos tus tokens de ese tipo, sin vencimiento.
Ese es el exploit: el atacante no necesita tu frase semilla, clave privada o contraseña. Solo requiere una firma en una transacción, logrando que la ventana de aprobación luzca normal.
El ataque suele tener tres pasos: el estafador crea un sitio web que imita un protocolo DeFi de confianza, una página de reclamo de airdrop o una herramienta de verificación de billetera. Al conectar tu billetera, el sitio genera una transacción de aprobación. La ventana emergente de la billetera muestra una interacción con el contrato; si confirmas sin revisar los detalles, otorgas permiso ilimitado de gasto al atacante. No es necesario que el atacante vacíe la billetera al instante: puede esperar días o semanas y ejecutar una llamada transferFrom() cuando lo desee.
Una variante reciente, el phishing por firma permit, es aún más difícil de detectar. En vez de usar una transacción on-chain, la víctima firma un mensaje off-chain que autoriza la transferencia. Al ser una firma y no una transacción, no aparece en tu historial. El atacante la presenta después y los tokens desaparecen sin rastro visible de que aprobaste nada.
¿Por qué el phishing de aprobaciones es el principal fraude cripto?
Los números lo explican. Según el Crypto Crime Report 2026 de Chainalysis, las pérdidas por phishing de aprobaciones superaron los $1,000 millones entre 2024 y 2025. Investigadores en seguridad cripto reportaron que ataques de phishing drenaron unos $300 millones solo en enero de 2026, siendo la mayoría fraudes por aprobaciones.
Fuente: Chainalysis
La razón es económica. Los exploits tradicionales en cripto (errores en contratos inteligentes, ataques de flash loan, vulnerabilidades en puentes) requieren gran habilidad técnica y meses de trabajo para hallar una vulnerabilidad. El phishing de aprobaciones solo requiere un sitio web convincente y conocimientos básicos de Solidity. El atacante crea una interfaz falsa, la promociona con anuncios, airdrops falsos o servidores de Discord comprometidos y recolecta aprobaciones a escala. Cada aprobación es una bomba de tiempo que la víctima tal vez no detecte hasta que su saldo llegue a cero semanas después.
Y las aprobaciones no expiran. Si interactuaste con un protocolo DeFi dudoso en 2023 y otorgaste aprobación ilimitada, ese permiso sigue activo hasta que lo revoques manualmente. Las aprobaciones antiguas son un tesoro para atacantes que compran o piratean bases de datos de billeteras con permisos existentes.
Tipo de ataque | Qué necesita el atacante | Acción de la víctima | ¿Reversible? |
Robo de clave privada | Tu frase semilla o clave privada | Ninguna tras el compromiso inicial | No |
Phishing de aprobaciones | Una aprobación firmada | Clic en "aprobar" en una ventana falsa | Sí, si se revoca antes del vaciado |
Phishing por firma permit | Una firma fuera de la cadena | Firmar un mensaje (sin transacción visible) | Sí, si se revoca antes del vaciado |
Exploit de contrato inteligente | Un bug en el código de un protocolo | Ninguna (afecta a los usuarios del protocolo) | Depende de la respuesta del protocolo |
Cómo revisar y revocar aprobaciones de tokens ahora mismo
La ventaja del phishing de aprobaciones frente al robo de claves privadas es que puede revertirse si se actúa antes de que el atacante vacíe la billetera. Si revocas el permiso a tiempo, la aprobación deja de ser útil para el atacante.
Empieza visitando Revoke.cash y conecta tu billetera. La herramienta revisa todas las aprobaciones de tokens que has concedido en Ethereum, Polygon, BSC, Arbitrum y otras cadenas EVM, mostrando qué contratos tienen acceso y con qué límites.
Busca aprobaciones a contratos desconocidos, aprobaciones con límite ilimitado y permisos de fechas en las que pudiste haber interactuado con sitios poco familiares. Cualquier aprobación que no hayas dado intencionadamente a un protocolo de confianza debería revocarse de inmediato.
Haz clic en "revocar" junto a cada entrada sospechosa; esto genera una transacción on-chain que pone el límite en cero y cobra una pequeña comisión de gas. Una vez revocada, ese contrato no podrá mover tus tokens.
Convierte esto en una práctica mensual, ya que las aprobaciones se acumulan silenciosamente. Una billetera activa en DeFi durante dos años podría tener decenas de permisos activos, y cualquiera de ellos puede ser un riesgo si el contrato correspondiente es comprometido o fue fraudulento desde el inicio.
Para billeteras con fondos significativos, la defensa más sólida es usar una billetera de hardware como almacenamiento en frío, no conectada directamente a protocolos DeFi. Mantén una billetera caliente separada, con fondos mínimos, para tus interacciones DeFi y trata cada ventana de aprobación con el mismo recelo que una solicitud bancaria sospechosa.
¿Qué significa Operación Atlantic para el futuro de la regulación cripto?
Operación Atlantic sirve de modelo, no de acción aislada. La estructura de cuatro agencias (federal de EE. UU., nacional del Reino Unido, provincial canadiense y regulador de valores) trabajando junto a Chainalysis como socio privado representa un nuevo paradigma, donde firmas de análisis blockchain funcionan como unidades de inteligencia para la policía.
El contacto directo con 3,000 víctimas es un detalle relevante. Las investigaciones tradicionales de fraude financiero identifican víctimas a posteriori, a veces años después. La transparencia del registro público en blockchain permite detectar billeteras comprometidas en tiempo real y advertir a los usuarios antes de que se pierdan los fondos restantes. Esta ventaja solo existe en cripto y la policía empieza a aprovecharla.
Sin embargo, congelar $12 millones sobre $45 millones identificados significa que cerca del 73% de los fondos robados sigue en movimiento. Además, $45 millones son solo una fracción del daño global por phishing de aprobaciones. La operación demostró la viabilidad del modelo, pero escalarlo a la magnitud del problema es el siguiente reto. Es probable que veamos más Operaciones Atlantic en 2026 y 2027, con mayor participación de Europol, INTERPOL y reguladores financieros asiáticos.
Preguntas frecuentes
¿Qué es el phishing de aprobaciones en cripto?
El phishing de aprobaciones consiste en que un estafador te engaña para firmar una transacción que le otorga permiso para gastar tus tokens. No roba tu clave privada ni frase semilla, sino que explota la función estándar de aprobación ERC-20 que todos los protocolos DeFi utilizan, convirtiendo una interacción común de la billetera en una puerta abierta al robo.
¿Puedo recuperar mis fondos si fui víctima de phishing de aprobaciones?
Si la aprobación aún no se usó, revocarla de inmediato protege tus tokens restantes. Si los fondos ya fueron retirados, la recuperación dependerá de acciones policiales como la Operación Atlantic, que congeló $12 millones para potencial devolución. Las probabilidades mejoran si denuncias ante las autoridades locales y al IC3 (Centro de Quejas de Crímenes por Internet del FBI) rápidamente.
¿Cómo saber si mi billetera fue comprometida mediante phishing de aprobaciones?
Conecta tu billetera en Revoke.cash y revisa cada aprobación activa. Cualquier permiso ilimitado concedido a un contrato desconocido es una señal de alerta. También revisa por aprobaciones de fechas cercanas a posibles clics en enlaces sospechosos, interacciones con sitios no familiares o reclamos de airdrops inesperados.
¿Tener cripto en un exchange protege contra el phishing de aprobaciones?
Sí, porque el phishing de aprobaciones solo afecta a billeteras autocustodiadas donde firmas transacciones directamente. Los activos en exchanges regulados como Phemex no están expuestos a estos ataques, ya que la custodia la gestiona el exchange y no se interactúa con contratos inteligentes externos usando tus fondos. Sin embargo, esto implica confiar en la infraestructura de seguridad del exchange en vez de la propia.
Conclusión
La Operación Atlantic demuestra que el phishing de aprobaciones es actualmente el principal vector de fraude cripto que la policía está priorizando a nivel internacional. La acción congeló $12 millones e identificó $45 millones en daños, pero los $300 millones de pérdidas solo en enero de 2026 revelan la brecha entre la capacidad policial y la escala de los atacantes. La lección práctica es sencilla: cada aprobación activa en tu billetera es un permiso abierto que dura para siempre hasta que lo revoques. Si usas DeFi y nunca has revisado tus aprobaciones, podrías estar asumiendo riesgos sin saberlo. Revisar y revocar en Revoke.cash toma cinco minutos. Es una acción de seguridad esencial para cualquier usuario de billeteras autocustodiadas hoy en día.
Este artículo es solo para fines informativos y no constituye asesoría financiera o de inversión. Operar con criptomonedas implica riesgos significativos. Investiga por tu cuenta antes de tomar decisiones de trading.
