Hot wallet comprometida: plan de recuperación en 24 horas

7 may 2026

Descubrir que tu hot wallet fue comprometida suele ser uno de los momentos más estresantes para cualquier usuario cripto. Ves cómo los fondos se mueven, pero no siempre sabes qué hacer primero ni qué todavía puedes salvar. El pánico, además, puede provocar errores secundarios: por ejemplo, conectar tu wallet a una página falsa de “recuperación de fondos” y darle al atacante una segunda oportunidad.

Esta guía te propone un plan de respuesta de 24 horas, organizado por etapas, para reducir pérdidas, analizar qué ocurrió y reconstruir un entorno de trading más seguro.

Fase 1: primeros 30 minutos — contención urgente

Tu primera reacción no debería ser “voy a transferir todo lo que queda” sin pensar. Antes necesitas entender si el ataque sigue activo.

Lo primero es desconectar esa wallet de todos los DApps. En wallets como MetaMask, entra a la sección de sitios conectados y elimina todas las conexiones. Esto ayuda a impedir que DApps ya autorizados sigan solicitando firmas o interactuando con tu wallet.

Después, ve a Revoke.cash e ingresa la dirección comprometida para revisar todas las autorizaciones activas de tokens. Pon especial atención a permisos con monto “Unlimited” o “ilimitado”, porque suelen ser una de las puertas más fáciles de explotar. Revoca una por una las autorizaciones sospechosas o desconocidas.

Ten en cuenta que revocar permisos requiere una transacción on-chain, así que necesitas algo de ETH o del token nativo de la red para pagar gas. Si la dirección ya quedó sin fondos, considera enviar solo una pequeña cantidad para gas desde una fuente segura y limpia, únicamente si estás seguro de que la operación no empeora el riesgo.

También toma capturas o registra de forma segura el saldo actual, el historial de transacciones y la lista de permisos. Esa información puede servir más tarde para entender el vector de ataque y conservar evidencia.

Fase 2: de 1 a 4 horas — mover los activos restantes

Una vez revocados los permisos de mayor riesgo, transfiere los activos restantes a una dirección completamente nueva y sin relación con la wallet comprometida.

Si tienes una hardware wallet OneKey, este es el momento de usarla. Una dirección generada en una hardware wallet que nunca ha interactuado con DApps riesgosos suele ser un destino mucho más seguro para recibir los fondos restantes.

Si no tienes hardware wallet, crea una nueva dirección desde un dispositivo limpio, idealmente un teléfono recién restablecido de fábrica. Anota la frase semilla en papel o en otro soporte físico. No tomes capturas, no la subas a la nube y no la guardes en notas digitales.

El orden recomendado es mover primero los activos de mayor valor: ETH, stablecoins principales y otros tokens líquidos relevantes. Luego puedes ocuparte de tokens pequeños o menos importantes.

Un punto clave: no generes ni ingreses la nueva frase semilla en el dispositivo comprometido. Si el atacante instaló un keylogger o malware, podrías exponer también la nueva wallet.

La investigación de Chainalysis sobre drainers muestra que muchos atacantes automatizan el vaciado de activos de alto valor pocos minutos después de obtener acceso inicial. La velocidad importa, pero no debe llevarte a operar desde un entorno inseguro.

Fase 3: de 4 a 12 horas — auditoría completa y limpieza

Cuando los activos restantes ya estén fuera, pasa a una auditoría más detallada.

Vuelve a revisar la dirección comprometida en Revoke.cash y confirma que las autorizaciones quedaron revocadas. Aunque decidas abandonar esa dirección, los permisos pendientes siguen siendo útiles para el análisis posterior y podrían afectar otras direcciones derivadas si reutilizaste la misma semilla.

Revisa todas las extensiones del navegador instaladas en el dispositivo afectado. Verifica fecha de instalación, permisos solicitados y origen. Elimina de inmediato cualquier extensión desconocida, clon sospechoso de wallet o herramienta con permisos excesivos.

También repasa los DApps visitados durante los últimos 30 días y compáralos con bases de datos conocidas de phishing. Muchas pérdidas vienen de frontends falsos de DEX, airdrops o páginas que imitan servicios legítimos.

A nivel del sistema operativo, revisa:

tareas programadas extrañas;
programas desconocidos en inicio automático;
comportamiento anormal del portapapeles;
cambios sospechosos en el navegador o DNS;
archivos descargados recientemente desde fuentes no verificadas.

El secuestro del portapapeles es especialmente común: el malware detecta cuando copias una dirección cripto y la reemplaza por una dirección del atacante.

Fase 4: de 12 a 24 horas — identificar el ataque y reconstruir tu sistema

Después de la auditoría deberías poder aproximarte al origen del compromiso. Los vectores más comunes son:

Phishing: hiciste clic en un DEX falso, una página de airdrop o un enlace que imitaba un servicio legítimo, y terminaste revelando tu semilla o firmando una autorización maliciosa.
Autorización maliciosa: al interactuar con un DApp, firmaste una transacción que otorgaba permisos ocultos o excesivos sobre tus tokens.
Filtración de la frase semilla: la semilla estuvo guardada en formato digital, como captura, nota en la nube, correo o archivo local.
Secuestro del portapapeles: el dispositivo tenía malware que reemplazaba direcciones al copiar y pegar.
Extensión maliciosa: instalaste una wallet falsa o una herramienta que subía claves privadas o datos sensibles sin avisar.

Una vez identificado el vector probable, restablece por completo el dispositivo afectado. No te limites a pasar un antivirus: algunos malware avanzados pueden evadir detección. Lo más prudente es un restablecimiento de fábrica o reinstalación limpia del sistema.

Para la nueva configuración, prioriza dos pilares: hardware signing y mejores controles de permisos. Una hardware wallet mantiene la clave privada aislada del navegador y del sistema operativo. Además, estándares como EIP-4337 pueden habilitar controles más granulares y recuperación social en ciertos entornos, mientras que EIP-712 mejora la legibilidad de las firmas para reducir el riesgo de “firmar a ciegas”.

Línea de tiempo de recuperación en 24 horas

Tiempo	Prioridad	Acción principal
0-30 minutos	Contener el daño	Desconectar DApps, revisar permisos, revocar autorizaciones sospechosas y registrar evidencia
1-4 horas	Proteger fondos restantes	Mover activos a una wallet nueva y limpia, preferiblemente una hardware wallet OneKey
4-12 horas	Auditar	Revisar permisos, extensiones, historial de DApps, sistema operativo y portapapeles
12-24 horas	Reconstruir	Identificar el vector de ataque, resetear dispositivos y crear una arquitectura de seguridad nueva

Cómo evitar que vuelva a pasar

Una hot wallet comprometida rara vez es un accidente aislado. Muchas veces es el resultado de hábitos de seguridad débiles acumulados durante meses.

Para reducir el riesgo de una reincidencia:

Mantén tus activos principales en almacenamiento frío con hardware wallet. La hot wallet debería tener solo el monto mínimo necesario para operar.
Revisa tus autorizaciones de tokens al menos una vez al mes en Revoke.cash y limpia permisos de proyectos que ya no usas.
Desconfía de cualquier sitio, app o supuesto “soporte” que te pida la frase semilla. Una wallet legítima nunca necesita tu semilla para “verificar”, “actualizar” o “recuperar” tu cuenta.
Antes de firmar, lee lo que estás aprobando. Si la firma no es clara o el sitio genera presión artificial, detente.
Verifica direcciones de retiro y depósito carácter por carácter, especialmente los primeros y últimos cinco caracteres.
Separa tus wallets por uso: una para fondos principales, otra para trading activo y otra para probar DApps de mayor riesgo.

La documentación de OWASP sobre phishing muestra que los atacantes suelen imitar interfaces oficiales y crear urgencia para que el usuario actúe sin revisar. En cripto, esa presión puede costarte el control de tus activos.

Reconstruye una base más segura con OneKey

Después de una wallet hackeada, lo más razonable no es volver al mismo setup. Es cambiar a una base de seguridad más fuerte.

OneKey ofrece hardware wallets con almacenamiento de claves privadas físicamente aislado y soporte para gestión multichain. Para traders que quieren seguir operando derivados de forma más segura, OneKey Perps puede integrarse como un flujo práctico para continuar con trading de contratos perpetuos sin KYC, manteniendo una mejor separación entre custodia, firmas y actividad de mercado.

Puedes revisar el sitio oficial de OneKey para conocer sus productos y diseño de seguridad. Su código abierto también está disponible para auditoría pública en GitHub. Si conectas una hardware wallet a frontends DeFi o DEX, consulta la documentación de WalletConnect para entender cómo equilibrar seguridad y conveniencia sin exponer tu frase semilla.

CTA claro: descarga o prueba OneKey desde sus canales oficiales, configura una nueva wallet en un dispositivo limpio y usa OneKey Perps solo con fondos que estés dispuesto a poner en riesgo dentro de tu estrategia de trading.

FAQ

Q1: ¿Qué debo hacer primero si descubro que mi wallet fue robada?

No empieces transfiriendo a ciegas. Primero desconecta la wallet de todos los DApps y revisa las autorizaciones en Revoke.cash. Revoca permisos sospechosos para impedir que contratos ya autorizados sigan moviendo tokens. Si ves fondos saliendo activamente, considera mover lo restante, pero solo desde un dispositivo limpio.

Q2: ¿Puedo recuperar las criptomonedas robadas?

En la mayoría de los casos, no. Las transacciones blockchain son irreversibles. En casos muy específicos, si los fondos llegan a un exchange centralizado regulado y el monto es relevante, podrías intentar reportarlo para solicitar congelamiento, pero la probabilidad de éxito suele ser baja. El objetivo más realista es limitar pérdidas, proteger lo que queda y evitar otro incidente.

Q3: ¿Qué es un ataque de secuestro del portapapeles?

Es un malware que monitorea lo que copias. Cuando detecta una dirección cripto, la reemplaza por una dirección del atacante. Para comprobarlo, copia una dirección y pégala en un editor de texto; si no coincide exactamente, hay una señal grave de compromiso. Como prevención, opera solo desde dispositivos confiables y verifica siempre los primeros y últimos caracteres de cada dirección.

Q4: Si mi frase semilla se filtró, ¿sirve crear una nueva dirección desde esa misma semilla?

No. Si el atacante tiene la frase semilla, puede derivar todas las direcciones asociadas. Necesitas crear una semilla completamente nueva, generada en un dispositivo limpio o, mejor aún, en una hardware wallet.

Q5: ¿Hyperliquid o dYdX pueden congelar mis fondos robados?

Hyperliquid y dYdX son plataformas descentralizadas y no cuentan con un mecanismo centralizado general para congelar activos. Si los fondos se movieron mediante contratos inteligentes, la plataforma normalmente no puede revertirlo. Por eso la defensa preventiva —hardware wallet, control de permisos y protección contra phishing— es más importante que intentar reparar el daño después.

Conclusión: usa la crisis para construir un sistema mejor

Que una hot wallet sea comprometida duele, pero también puede ser el punto de inflexión para adoptar una seguridad más profesional. Sigue la línea de tiempo de 24 horas para contener el daño, auditar el incidente y reconstruir tu entorno.

Luego, considera pasar tus fondos principales a una hardware wallet OneKey y usar OneKey Perps con una gestión de riesgo prudente para tu actividad de trading. La meta no es eliminar todo riesgo —eso no existe—, sino dejar de darle al atacante oportunidades fáciles.

Aviso de riesgo

Este contenido es solo educativo y no constituye asesoría legal, financiera ni de seguridad. Operar con criptomonedas y derivados implica riesgos elevados, incluida la pérdida total de fondos. Ninguna medida de seguridad ofrece protección del 100%. Si sufriste una pérdida, considera reportarla a las autoridades correspondientes y conserva todos los registros on-chain como evidencia. Toma tus decisiones solo después de entender los riesgos.