Abogado Especialista en Recuperación de Wallets Hackeadas
Si han vaciado tu wallet de MetaMask, Trust Wallet, Ledger u otra cartera cripto, el rastreo debe comenzar cuanto antes. Analizamos TXIDs, wallets, permisos, contratos maliciosos y movimientos blockchain para preparar una actuación penal y técnica urgente.
5 pasos que debes dar en los próximos 10 minutos
Si acabas de ver tu wallet vacía, el primer impulso suele ser entrar en pánico, intentar mover lo que queda o buscar soluciones rápidas en internet. Sin embargo, en un robo de criptomonedas, cada acción posterior puede empeorar la situación. Lo prioritario es conservar prueba, evitar nuevos movimientos y obtener cuanto antes los datos técnicos necesarios para iniciar el rastreo.
Estos son los pasos básicos que debes seguir si han vaciado tu MetaMask, Trust Wallet, Ledger, Coinbase Wallet u otra wallet cripto:
- Aísla la wallet: no envíes más fondos para “probar” si funciona, pagar gas o intentar recuperar una transacción. Si existe un sweeper bot o permisos maliciosos activos, podrías perder también esos nuevos fondos.
- Captura el hash de transacción o TXID: localiza la operación de salida en Etherscan, Solscan, BscScan, PolygonScan u otro explorador blockchain y copia el identificador de la transacción.
- Revisa y revoca permisos: si sospechas que el robo procede de un contrato malicioso, revisa autorizaciones concedidas y valora usar herramientas de revocación de permisos como Revoke.cash, siempre con cautela y desde enlaces oficiales.
- No borres nada: conserva historial de navegación, correos recientes, enlaces visitados, capturas, mensajes, extensiones instaladas, webs conectadas y cualquier archivo o aviso relacionado con la wallet.
- Contacta con un equipo jurídico-técnico: el rastreo debe iniciarse antes de que los fondos se dispersen, pasen por múltiples wallets, se conviertan en otros tokens o lleguen a servicios de intercambio difíciles de identificar.
Si todavía quedan fondos en la wallet afectada, no actúes de forma impulsiva. Puede ser necesario estudiar si hay permisos activos, scripts automáticos o una dirección de drenaje preparada para vaciar cualquier nuevo depósito.
Análisis del vector de ataque
No todos los robos de criptomonedas se producen de la misma forma. Identificar el vector de ataque es esencial para saber qué prueba conservar, qué diligencias solicitar y qué estrategia penal o técnica puede tener sentido.
| Tipo de robo | Causa habitual | Actuación recomendada |
|---|---|---|
| Compromiso de seed phrase | Guardar la frase semilla en el móvil, en una fotografía, en la nube, en un correo o introducirla en una web falsa. | Denuncia penal, rastreo de salida de fondos, revisión de dispositivos y conservación de prueba digital. |
| Smart contract malicioso | Firmar una operación de “approve”, conectar la wallet a una web fraudulenta o autorizar permisos excesivos sobre tokens. | Revocación de permisos, análisis del contrato, identificación de la dirección de drenaje y rastreo de fondos. |
| Phishing de extensiones o apps | Descargar una versión falsa de MetaMask, Trust Wallet u otra extensión, o instalar una app clonada desde una fuente no oficial. | Preservar dispositivo, historial, enlaces, correos y capturas; analizar la infraestructura utilizada para la suplantación. |
| Falso soporte técnico | Contactar con un supuesto agente de soporte que solicita frase semilla, permisos, códigos o conexión remota. | Conservar chats, números, perfiles, enlaces y datos de contacto; reconstruir la manipulación y los pagos realizados. |
| Sweeper bot | Script automático que detecta nuevos fondos y los transfiere inmediatamente a una dirección controlada por el atacante. | Aislar la wallet, evitar nuevos depósitos y analizar la dirección de drenaje y los movimientos posteriores. |
Auditoría del contrato y rastreo de la dirección de drenaje
En Argos no tratamos una wallet vaciada como una simple denuncia por “desaparición de dinero”. Revisamos la mecánica técnica del robo, los permisos concedidos, los contratos implicados, la dirección que recibió los fondos y los movimientos posteriores para construir una explicación que pueda tener utilidad procesal.
Identificación de la salida
Localizamos la operación inicial de drenaje, TXID, red, token, importe, dirección de origen y dirección de destino.
Análisis de permisos
Revisamos si existieron autorizaciones, approvals, firmas maliciosas, conexión a dApps falsas o interacción con contratos sospechosos.
Rastreo de fondos
Seguimos el recorrido de los activos hacia wallets intermedias, exchanges centralizados, puentes, swaps o direcciones relacionadas.
Prueba para denuncia
Convertimos la información técnica en una exposición clara para denuncia o querella penal con solicitud de diligencias concretas.
Respuesta técnica y penal
Monitorización crítica de activos desde nuestra sede en Valencia
El robo de una wallet requiere una respuesta rápida y ordenada. Los fondos pueden moverse en minutos, dividirse entre varias direcciones, pasar por swaps, llegar a exchanges o mezclarse con otras operaciones. Por eso es fundamental iniciar cuanto antes la reconstrucción técnica y preparar una actuación jurídica que no llegue tarde.
Urgencia
Las primeras horas importan
Cuanto antes se identifiquen TXIDs, wallets y movimientos posteriores, más opciones existen de detectar exchanges, direcciones relacionadas o puntos de salida.
Análisis técnico
No todo vaciado de wallet es igual
Puede tratarse de seed phrase comprometida, contrato malicioso, phishing, falso soporte, app clonada, malware o un sweeper bot activo.
Valencia
Atención jurídica local
Desde Valencia podemos revisar documentación, preparar denuncia o querella, y orientar la actuación hacia los juzgados y diligencias necesarias.
Prueba digital
Preservar antes de actuar
Antes de borrar extensiones, resetear dispositivos o eliminar conversaciones, conviene conservar lo necesario para acreditar cómo se produjo el acceso.
Puedes ampliar información sobre nuestro sistema de rastreo blockchain y prueba digital o solicitar una revisión urgente del caso.
El proceso legal de bloqueo
La recuperación de una wallet hackeada no depende únicamente del rastreo técnico. El análisis blockchain debe conectarse con una estrategia penal: identificar dónde han ido los fondos, qué entidades pueden tener información, qué datos deben conservarse y si existen bases para pedir medidas urgentes.
Congelación de activos
Cuando los fondos llegan a un exchange centralizado con procedimientos de identificación de cliente, puede valorarse solicitar judicialmente la conservación de información, identificación de cuentas, bloqueo de fondos o medidas cautelares. La viabilidad depende de la rapidez, del rastro técnico y de la respuesta de la entidad.
Identificación del atacante
En función del caso, pueden solicitarse datos vinculados a cuentas, accesos, direcciones IP, dispositivos, correos, dominios, plataformas, exchanges o servicios utilizados para ejecutar el robo. No siempre será posible identificar al responsable, pero una denuncia bien construida aumenta las posibilidades de investigación efectiva.
Ejecución en la Ciudad de la Justicia
Como equipo con base en Valencia, Argos puede preparar actuaciones penales vinculadas a robos de criptomonedas, presentando la documentación de forma ordenada y orientando la estrategia hacia diligencias útiles. En este tipo de casos, la claridad técnica del escrito es tan importante como la urgencia de la actuación.
- Identificación de exchanges centralizados o puntos de salida hacia moneda fiat.
- Solicitud de conservación de datos y registros vinculados a cuentas sospechosas.
- Preparación de denuncia o querella con explicación técnica comprensible.
- Valoración de medidas cautelares cuando existan datos suficientes y urgencia real.
Preguntas frecuentes sobre estafas con criptomonedas
Estas son algunas de las dudas más habituales de quienes han perdido dinero en brokers falsos, plataformas fraudulentas, wallets hackeadas, phishing cripto o supuestas inversiones con criptomonedas.
¿Puedo recuperar mis fondos si ya han pasado por un mezclador como Tornado Cash?
Depende del caso. Si los fondos han pasado por un mezclador, el rastreo puede complicarse mucho, pero no siempre significa que todo esté perdido. Hay que analizar la secuencia completa: wallet de origen, TXIDs, importe, red utilizada, direcciones intermedias, posibles salidas hacia exchanges y cualquier dato adicional. El mezclador puede dificultar la trazabilidad, pero la investigación puede apoyarse también en otros elementos como comunicaciones, dispositivos, permisos, dominios o puntos de salida.
¿Qué es un sweeper bot?
Un sweeper bot es un script automatizado que vigila una wallet comprometida y mueve cualquier nuevo fondo que entre en ella. Por eso, si una wallet ha sido comprometida, enviar más dinero para pagar gas o intentar recuperar activos puede provocar nuevas pérdidas inmediatas. Antes de mover fondos, conviene analizar si la wallet sigue siendo segura.
¿Qué hago si han vaciado mi MetaMask?
No envíes nuevos fondos, no borres historial y localiza cuanto antes el TXID de la operación de salida. Guarda capturas, enlaces, correos, webs visitadas, extensiones instaladas y cualquier dato relacionado con la conexión de la wallet. Después conviene revisar permisos, contratos interactuados y movimientos posteriores de los fondos.
¿Qué hago si compartí mi frase semilla?
Si compartiste tu frase semilla, debes considerar la wallet comprometida. No conviene seguir utilizándola para almacenar fondos. Es importante conservar la prueba de cómo y dónde se compartió, guardar comunicaciones, enlaces y capturas, y analizar los movimientos de salida para valorar una actuación penal y técnica.
¿Puedo revocar permisos después del robo?
Sí, en determinados casos puede tener sentido revocar permisos, especialmente si el robo se produjo por autorizaciones concedidas a un contrato malicioso. No obstante, la revocación no recupera automáticamente los fondos ya sustraídos. Sirve para reducir riesgos futuros sobre activos que todavía puedan estar expuestos.
¿Qué pruebas necesito si han robado mi wallet?
Conviene conservar TXIDs, direcciones wallet, capturas del saldo antes y después, historial de operaciones, correos, webs visitadas, extensiones instaladas, mensajes de soporte, enlaces, contratos interactuados, permisos concedidos, justificantes de compra de criptomonedas y cualquier información sobre cuándo detectaste el vaciado.
Inicia el rastreo de emergencia de tu wallet hackeada
Si han vaciado tu MetaMask, Trust Wallet, Ledger u otra wallet cripto, no sigas moviendo fondos sin asesoramiento. Podemos revisar TXIDs, direcciones wallet, permisos, contratos, exchanges y documentación para valorar una actuación penal y técnica urgente.
El análisis inicial permite revisar wallets, TXIDs, permisos, contratos, pagos, exchanges y posibles vías de actuación. El tratamiento de la información se realiza conforme a la política de privacidad, el RGPD y el secreto profesional.