Una nueva estafa de phishing dirigida a usuarios de MetaMask se está expandiendo, usando un flujo de autenticación de dos factores (2FA) muy realista para robar las frases de recuperación de monederos.
La campaña muestra un nivel creciente de sofisticación en las tácticas de ingeniería social, aunque las pérdidas reportadas por ataques de phishing a criptomonedas bajaron mucho en 2025.
SponsoredAnatomía del esquema de phishing de MetaMask
El CSO de la firma de seguridad blockchain SlowMist llamó la atención sobre la estafa en una publicación reciente en X (antes Twitter). Esta operación de phishing usa varias capas de engaños para comprometer los monederos de los usuarios.
Las víctimas reciben correos electrónicos que parecen venir del soporte de MetaMask, diciendo que es obligatorio activar la autenticación de dos factores. Los emails tienen una marca profesional, incluyendo el logo del zorro de MetaMask y sus colores oficiales.
La publicación reveló que los atacantes están usando dominios muy parecidos al oficial. En el caso documentado, el dominio falso solo se diferenciaba en una letra, lo que hace que sea difícil notar la diferencia a simple vista.
Cuando los usuarios llegan al sitio de phishing, son guiados por lo que parece ser un proceso de seguridad legítimo. Al final, se les pide que ingresen su frase semilla, diciendo que es para completar una “verificación de seguridad por 2FA”.
SponsoredEste es el punto crítico de la estafa. La frase semilla de un monedero (también llamada frase de recuperación o frase mnemotécnica) es la llave maestra del monedero. Cualquier persona que la tenga puede:
- Transferir fondos sin que el propietario original lo sepa o lo apruebe
- Recrear el monedero en otro dispositivo
- Obtener el control total de todas las claves privadas asociadas
- Firmar y ejecutar transacciones de forma independiente
Una vez que alguien consigue una frase semilla, puede acceder al monedero sin necesitar contraseñas, autenticación de dos factores ni aprobación de dispositivos. Por esto, los proveedores de monederos siempre advierten que nunca se debe compartir la frase semilla bajo ninguna circunstancia.
Aunque la autenticación de dos factores está pensada para proteger a los usuarios, los atacantes aprovechan su buena reputación para engañar. Esta táctica psicológica, junto con trucos técnicos y la sensación de urgencia, sigue siendo una amenaza fuerte.
La estafa ocurre mientras las pérdidas por phishing disminuyen en general. Los datos muestran que las pérdidas relacionadas con phishing de criptomonedas cayeron significativamente en 2025, disminuyendo cerca de 83% hasta unos 84 millones de dólares, comparados con casi 494 millones de dólares del año anterior.
“Las pérdidas por phishing siguieron muy de cerca la actividad del mercado. El tercer trimestre tuvo tanto el rally más fuerte de ETH como las pérdidas más altas por phishing (31 millones de dólares). Cuando el mercado está activo, también sube la actividad de los usuarios, y un % cae en estafas: el phishing funciona como una función de probabilidad de la actividad del usuario”, dice el informe de Scam Sniffer.
Como la actividad en el mercado muestra señales de recuperación a comienzos de 2026, incluyendo rallies de memecoins e indicios de mayor participación del público minorista, los atacantes también están reapareciendo. Por eso, es fundamental mantener la alerta sobre las estafas de phishing y manejar las credenciales de monedero con mucho cuidado.
