$282M Robo de criptomonedas personal: Cómo se drenaron 818 BTC mediante un ataque de ingeniería social

Una de las mayores robos de criptomonedas personales en la historia ha expuesto una vulnerabilidad crítica que incluso las carteras de hardware no pueden proteger completamente: la ingeniería social. En enero de 2026, una ballena de criptomonedas perdió más de 282 millones de dólares en Bitcoin y Litecoin después de que los atacantes usaran tácticas de manipulación psicológica para engañarla y que autorizara transacciones fraudulentas. Según un análisis de ZackXBT, el incidente del 10 de enero de 2026, aproximadamente a las 11 p.m. UTC, demuestra un cambio peligroso en la forma en que los criminales atacan a los titulares individuales de criptomonedas en lugar de centrarse en la infraestructura de los intercambios.

Los 818 BTC que fueron robados representan solo una parte del botín masivo—aproximadamente 78 millones de dólares en el momento del robo. Combinados con los 77,285 LTC y las conversiones posteriores, el daño total superó los 282 millones de dólares, haciendo que este incidente fuera mucho más significativo que la mayoría de las estafas de criptomonedas reportadas públicamente. Lo que hace que este caso sea particularmente alarmante es que los fondos de la víctima estaban asegurados en una cartera de hardware, teóricamente el método de almacenamiento más seguro disponible en la industria.

Cómo el ataque explotó el comportamiento humano sobre la seguridad técnica

Los atacantes nunca necesitaron comprometer la cartera de hardware de la víctima mediante medios técnicos. En cambio, utilizaron la ingeniería social—una técnica de manipulación psicológica que sigue siendo uno de los vectores de ataque más efectivos en ciberseguridad. Al convencer a la ballena de aprobar lo que parecía ser transacciones legítimas, los criminales obtuvieron autorización voluntaria para mover los activos.

Este ataque resalta una brecha crítica en la seguridad de las criptomonedas: las carteras de hardware protegen contra malware y accesos no autorizados a software, pero no pueden evitar que los usuarios aprueben voluntariamente transacciones maliciosas. Las tácticas de manipulación psicológica utilizadas por los estafadores superaron la conciencia de seguridad de la víctima en un momento de vulnerabilidad, demostrando que la tecnología por sí sola no puede resolver el elemento humano de la seguridad.

De 818 BTC a Monero: la rápida vía de lavado

Una vez que los atacantes tomaron control de los 818 BTC y otros activos robados, iniciaron inmediatamente una operación de lavado sofisticada. La criptomoneda robada fue convertida rápidamente en Monero (XMR), una criptomoneda centrada en la privacidad que utiliza técnicas avanzadas de ofuscación para ocultar los detalles de las transacciones.

El volumen de conversiones tuvo un impacto inmediato en el mercado. El gran intercambio de Bitcoin y Litecoin por Monero elevó el precio de XMR en más del 60% en un corto período, un cambio dramático que normalmente llamaría la atención de analistas del mercado. Sin embargo, el aumento proporcionó una cobertura perfecta para la operación de lavado: el movimiento del precio parecía impulsado por el mercado en lugar de actividad sospechosa relacionada con fondos robados.

Las funciones de privacidad integradas de Monero—firmas en anillo, direcciones furtivas y el protocolo RingCT—hacen que sea prácticamente imposible para observadores externos rastrear el flujo de fondos. A diferencia de Bitcoin, donde cada transacción queda registrada permanentemente en un libro mayor transparente, las transacciones de Monero ocultan automáticamente la información del remitente, receptor y cantidad. Una vez que los 818 BTC y otros activos fueron convertidos a XMR, la pista del dinero desapareció efectivamente.

El papel de THORChain en la operación de lavado

Además de convertir activos en Monero, los atacantes emplearon THORChain, un protocolo descentralizado de puente entre cadenas, para mover Bitcoin a través de múltiples blockchains. Este enfoque de doble capa hizo que rastrear los fondos fuera exponencialmente más difícil.

A través de THORChain, el Bitcoin robado fue puenteado a las redes de Ethereum, Ripple y Litecoin. Cada paso de conversión añadió otra capa de ofuscación. Según el análisis de ZackXBT, los atacantes realizaron las siguientes conversiones:

• 818 BTC (aproximadamente 78 millones de dólares) puenteados a redes alternativas
• Convertidos en 19,631 ETH (unos 64.5 millones de dólares)
• Intercambiados por 3.15 millones de XRP (aproximadamente 6.5 millones de dólares)
• Cambiados a 77,285 LTC (alrededor de 5.8 millones de dólares)

Lo que hace que THORChain sea particularmente atractivo para los criminales es su naturaleza sin permisos—no requiere verificación KYC (Conoce a tu cliente). El protocolo prioriza la descentralización y accesibilidad, lo que inadvertidamente lo convierte en una herramienta preferida para mover activos robados sin verificaciones de identidad ni supervisión regulatoria. A diferencia de los intercambios centralizados que mantienen registros de transacciones y cumplen con requisitos regulatorios, THORChain permite a los criminales operar con casi total anonimato.

Hallazgos de la investigación: tres direcciones de billetera contienen la evidencia

ZackXBT identificó tres direcciones principales de billetera relacionadas con el robo, que en conjunto recibieron 1,459 BTC y 2.05 millones de LTC—confirmando la magnitud de este crimen. Las direcciones identificadas incluían dos billeteras de Bitcoin y una de Litecoin vinculadas directamente a los fondos robados.

Los investigadores observaron que una parte significativa del Bitcoin aún permanece en billeteras que se cree están controladas por los atacantes. Esto sugiere que podrían estar empleando una estrategia deliberada de retención, esperando que la atención pública disminuya antes de mover los fondos nuevamente. La paciencia en la estrategia indica que son operadores sofisticados, familiarizados con los patrones de las fuerzas del orden y los plazos de investigación.

El hecho de que cantidades sustanciales sigan en direcciones identificables, en lugar de ya haber sido convertidas a Monero o movidas a través de capas adicionales, sugiere que los atacantes podrían estar haciendo una pausa temporal en las operaciones para evitar llamar la atención de las firmas de seguridad blockchain y organismos regulatorios.

Esto supera incidentes anteriores de robo de criptomonedas

Por 282 millones de dólares, este robo personal de billetera supera con creces los 243 millones de dólares en estafas de criptomonedas que ZackXBT investigó en 2024. Este incidente ahora se ubica entre los mayores casos documentados de robo de criptomonedas a nivel individual en la historia. La diferencia es crucial: a diferencia de los hackeos a grandes intercambios que comprometen plataformas centralizadas y afectan a miles de usuarios simultáneamente, este ataque fue dirigido a una sola persona. Esto representa una tendencia preocupante donde actores de amenazas sofisticados se enfocan cada vez más en individuos de alto patrimonio en lugar de intentar penetrar la seguridad de las empresas.

El cambio de ataques centrados en intercambios a ataques dirigidos a individuos sugiere que los criminales han descubierto que la ingeniería social personal ofrece mejores relaciones riesgo-recompensa. Una víctima individual, incluso una sofisticada, suele ser más vulnerable que un equipo de seguridad de un intercambio con múltiples capas de protección institucional.

Cómo defenderse contra la ingeniería social: medidas de seguridad prácticas

La lección más importante de este robo de 282 millones de dólares es que la ingeniería social explota la psicología humana, no vulnerabilidades del software. Aunque los 818 BTC y otros activos robados estaban almacenados en el método más seguro disponible, la vigilancia de la víctima se redujo mediante tácticas de manipulación.

Prácticas de protección esenciales incluyen:

• Nunca actuar bajo urgencia o presión de tiempo en transacciones de criptomonedas—las solicitudes legítimas siempre pueden esperar
• Verificar todas las solicitudes de transacción a través de canales independientes antes de aprobar
• Ignorar toda comunicación no solicitada, por muy creíble que parezca
• Revisar cuidadosamente todos los detalles de cualquier transacción antes de firmar, incluyendo direcciones de destino y cantidades
• Usar múltiples billeteras separadas para diferentes propósitos (almacenamiento en frío para inversiones a largo plazo, billeteras de prueba para nuevas interacciones)
• Nunca divulgar públicamente direcciones de billetera, saldos o detalles de la cartera de criptomonedas
• Si algo parece inusual en una solicitud de transacción, pausar y verificar su legitimidad de forma independiente

La realidad es que incluso las carteras de hardware no pueden proteger a los usuarios de aprobar transacciones fraudulentas por su propia voluntad. La seguridad depende en última instancia de la conciencia y disciplina del usuario para reconocer y resistir las tácticas de ingeniería social.