Los pagos cripto no tienen contracargo ni una línea de soporte que pueda revertir un error, así que la seguridad va por delante: lo haces bien antes de pulsar enviar, o no lo haces bien en absoluto. La buena noticia es que los riesgos están bien entendidos y las defensas son hábitos simples.
Custodia: quién tiene las claves
Toda decisión de seguridad empieza por la custodia. Si un proveedor tiene tus claves, tu riesgo es su seguridad y su solvencia; si tú tienes tus claves, tu riesgo son tus propias copias de seguridad y tu disciplina. Ninguna es automáticamente más segura — mueven el riesgo a un lugar distinto.
Ajusta la custodia al importe y al propósito. Los saldos operativos pequeños están bien en una cartera custodiada de buena reputación por comodidad; las tenencias mayores pertenecen a la autocustodia, idealmente con una cartera de hardware, y la frase de recuperación guardada sin conexión donde ninguna cámara o nube la haya visto jamás.
Estafas de facturas y páginas de pago
Un ataque común cambia la dirección de pago en una página o en un mensaje que la víctima está a punto de pagar. Crees que pagas una factura legítima, pero la dirección es del atacante. Como el pago es definitivo, el dinero desaparece en cuanto se confirma.
Defiéndete verificando el destino por un segundo canal para cualquier cosa importante: confirma la dirección directamente con el receptor, usa facturas firmadas o alojadas por la pasarela en lugar de una dirección pegada en un chat, y sospecha de cualquier mensaje de última hora con 'datos de pago actualizados'.
Higiene de direcciones
Nunca reescribas una dirección y no confíes ciegamente en tu portapapeles — el malware que secuestra el portapapeles reemplaza en silencio una dirección cripto copiada por la del atacante. Pega siempre, luego comprueba los primeros y últimos caracteres contra la fuente, y prefiere escanear un código QR de la factura genuina.
Cuidado con el envenenamiento de direcciones, donde un atacante te envía una transacción diminuta desde una dirección que se parece a una que usas, con la esperanza de que luego la copies de tu historial. Copia direcciones solo de la fuente real, nunca de tu lista de transacciones.
- Pega, no reescribas; verifica los primeros y últimos caracteres.
- Prefiere los códigos QR y las facturas alojadas por la pasarela a las direcciones pegadas.
- Guarda un pequeño saldo de moneda nativa para que un pago no se apresure por el gas.
- Envía primero una transferencia de prueba diminuta para un pago grande o el primero.
Confirma la red, no solo la dirección
Una dirección correcta en la red equivocada puede dejar varados los fondos. Antes de enviar, confirma que la moneda y la cadena coinciden con lo que espera el receptor — enviar un token ERC-20 a una dirección de aspecto correcto en la cadena equivocada es una pérdida frecuente y dolorosa.
Las pasarelas reducen este riesgo mostrando la moneda, la red y el importe exactos, y generando una dirección nueva por factura. Usar un checkout adecuado en lugar de una dirección desnuda es en sí mismo un control de seguridad.
Reembolsos y disputas, gestionados con seguridad
Como no hay contracargos, los reembolsos son transferencias manuales que inicias tú — lo que significa que una solicitud de reembolso es también una superficie de ingeniería social. Verifica el pago original por su hash de transacción antes de reembolsar, y envía solo a una dirección confirmada con el cliente genuino.
Para los comercios, escribe estos pasos en una política para que el personal no improvise bajo presión. La mayoría de las pérdidas en pagos cripto no son hackeos exóticos — son errores y manipulaciones corrientes que una lista de verificación habría atrapado.
Preguntas frecuentes
¿Se puede revertir un pago cripto si cometo un error?
No. Los pagos en cadena son definitivos y no tienen contracargo. Por eso la verificación antes de enviar — dirección correcta, red correcta, importe correcto — es todo el modelo de seguridad.
¿Qué es el secuestro de portapapeles y cómo lo evito?
Malware que reemplaza en silencio una dirección cripto copiada por la del atacante. Evítalo pegando y luego comprobando los primeros y últimos caracteres contra la fuente, prefiriendo códigos QR y manteniendo tu dispositivo limpio.
¿Debo usar una cartera custodiada o de autocustodia?
Ajústalo al importe. Una cartera custodiada de buena reputación es cómoda para saldos operativos pequeños; las tenencias mayores pertenecen a la autocustodia con una cartera de hardware y una frase de recuperación sin conexión.
¿Cómo reembolso un pago cripto con seguridad?
Verifica el pago original por su hash de transacción, confirma la dirección de reembolso directamente con el cliente genuino y envía desde una cartera con fondos. Nunca reembolses a una dirección proporcionada solo en un mensaje posterior que no puedas verificar.