Blog

Guía rápida para prevenir el fraude de Account Takeover (empresas de criptomonedas)

Las cuentas de criptomonedas son el objetivo de ATO más valioso de cualquier industria. Conoce las mejores prácticas, señales de fingerprinting y herramientas que usan los equipos de cripto para detener el ATO.

Apr 17, 2026 • 13 min read

Juan Combariza Growth Marketer

Mejores prácticas para que los equipos de cripto detengan el fraude ATO - cside - portada del blog

TL;DR

Las cuentas de exchanges de criptomonedas son el objetivo de ATO de mayor valor en cualquier industria. Los fondos comprometidos pueden retirarse en minutos y las transacciones son irreversibles una vez confirmadas en la cadena. No existe mecanismo de contracargo ni autoridad central que pueda revertir la transferencia.
El ATO es costoso y va en aumento. El FBI reportó pérdidas por fraude en cripto de 11.400 millones de dólares en 2025. Incluso plataformas grandes y consolidadas como Crypto[.]com y Coinbase han sufrido ataques de account takeover exitosos en los últimos años.
Consejos de defensa: Implementa MFA que no dependa de SMS; usa llaves de hardware o aplicaciones de autenticación. Además del MFA, aprovecha el fingerprinting de dispositivos y las señales de comportamiento para detectar credential stuffing y señales tempranas de compromiso por ATO. Asegúrate de educar a los usuarios sobre los métodos de phishing más comunes y cómo verificar los canales de comunicación legítimos.
La mayoría de las plataformas de cripto combinan cuatro categorías de herramientas: proveedores de MFA (Okta, Auth0), fingerprinting de dispositivos y detección de bots (cside, DataDome), plataformas antifraude diseñadas para cripto (Sardine) y análisis forense de blockchain (Chainalysis, Elliptic).

Por qué las cuentas de criptomonedas son un objetivo prioritario de ATO

Gráfico - Por qué las cuentas de cripto son objetivo de ATO - cside

Las cuentas de exchanges de criptomonedas son el objetivo de ATO de mayor valor en cualquier industria. A diferencia del fraude con tarjetas de crédito o las transferencias bancarias, las transacciones de criptomonedas no pueden revertirse una vez confirmadas en la cadena, y es técnicamente difícil rastrear hacia dónde fluyen los fondos robados.

Los ATO en cuentas de cripto son inmediatamente monetizables:

Fondos líquidos en cripto retirados a billeteras externas sin mecanismo de contracargo
Documentos de identidad KYC (identificaciones oficiales, selfies) vendidos a redes de fraude
Claves API que permiten retiros sin necesidad de la contraseña de la cuenta

El trading global las 24 horas del día y los millones de transacciones mensuales procesadas también juegan a favor del atacante. La actividad de las cuentas es ruidosa y puede estar sujeta a picos inesperados provocados por noticias del mercado.

¿Qué es el fraude de account takeover en sitios web de criptomonedas?

Pérdidas anuales por fraude en cripto - Fuente: FBI, Informe de Crímenes en Internet 2025

El fraude de account takeover ocurre cuando un atacante obtiene acceso a la cuenta real de un usuario de cripto y la utiliza para robar fondos o datos. En cripto, esto generalmente significa que un atacante accede a una cuenta de exchange y retira activos a una billetera que controla.

Vectores de ataque que conducen al ATO en plataformas de cripto:

Credential stuffing a partir de contraseñas reutilizadas
SIM swapping, donde los atacantes portan el número de teléfono de la víctima a una SIM que controlan y luego eluden el 2FA basado en SMS. Los SIM swaps estuvieron involucrados en el 35% de los robos de cripto de alto valor en EE. UU. El Cifas del Reino Unido reportó un aumento del 1.055% en SIM swaps no autorizados entre 2023 y 2024.
Claves API robadas de configuraciones de trading comprometidas
Extensiones de navegador falsas que suplantan los inicios de sesión de MetaMask o la billetera de Coinbase
Ingeniería social a los equipos de soporte de exchanges para exfiltrar datos de clientes

El fraude ATO ha aumentado de forma continua desde 2020, y los ataques impulsados por agentes de IA que usan navegadores sigilosos están acelerando esta tendencia.

Mejores prácticas para que las empresas de sitios web de cripto detengan el fraude de account takeover

1. Implementa MFA más robusto que va más allá del SMS

Exige MFA en cuentas con saldos, claves API activas o acceso a retiros en fiat.
Activa la verificación escalonada ante inicios de sesión inusuales. Requiere reautenticación para acciones de alto riesgo: cambios en la dirección de retiro, creación de claves API y transferencias de gran valor.
Establece como predeterminadas las aplicaciones de autenticación o las llaves de hardware. Nunca el SMS como factor principal. Los ataques de SIM swap convierten el 2FA basado en SMS en una vulnerabilidad importante en las plataformas de cripto.

2. Protege el restablecimiento de contraseña y la recuperación de cuenta con el mismo rigor que el inicio de sesión

Limita la tasa de solicitudes de restablecimiento. Una ráfaga de intentos de restablecimiento de contraseña dirigidos a múltiples cuentas es una señal de credential stuffing.
Implementa un período de retención de retiros después de cualquier acción de recuperación de cuenta. Si se acaba de restablecer una contraseña o se cambió un método de 2FA, congela las transferencias salientes durante 24 a 72 horas. Para los usuarios que necesiten realizar una transacción urgente antes de que termine el período de congelamiento, pídeles que contacten al soporte por teléfono para reverificar su identidad y llevar a cabo la transacción bajo supervisión.

3. Monitorea señales de fraude ATO con detección basada en riesgo

Evalúa señales de dispositivo y navegador: El fingerprinting del dispositivo, la configuración del navegador y la resolución de pantalla crean una línea base para cada usuario. Las desviaciones señalan un posible compromiso.
Analiza señales de red: El uso de VPN, la detección de proxies, la reputación de IP y las discrepancias de geolocalización añaden contexto.
Combínalas con la actividad de la cuenta: Una cuenta que inicia sesión e inmediatamente cambia la lista blanca de retiros o crea una nueva clave API es muy diferente de la actividad normal de trading.

Nota: Los usuarios de cripto usan VPNs de forma legítima a tasas mucho más altas que otras industrias. Combina la detección de VPN con el fingerprinting de dispositivos y el comportamiento. No trates el uso de VPN por sí solo como una señal de riesgo.

4. Detecta el credential stuffing y el abuso automatizado de inicio de sesión de forma temprana

El credential stuffing impulsado por bots y las pruebas de cuentas son una constante en las plataformas de cripto. Ahora que los clientes legítimos utilizan agentes de "acción de usuario" (crecimiento de 15x en 2025) con herramientas LLM, estos ataques son más difíciles de detectar, ya que los agentes de IA evaden los CAPTCHAs y las defensas estándar contra bots.

Los proxies residenciales hacen que la reputación de IP sea menos confiable, ya que los atacantes rotan a través de IPs limpias.
Combina TLS fingerprinting, consistencia de dispositivos, señales de velocidad y honeypots para protección contra el abuso de bots impulsado por agentes de IA.
Los exchanges de cripto manejan un tráfico legítimo masivo de bots (trading algorítmico, market making, arbitraje). Por eso, las señales de comportamiento avanzadas (navegación de sesión, velocidad de escritura, manipulación del navegador) permiten distinguir el credential stuffing de la automatización legítima.

5. Crea playbooks de respuesta ante sospechas de ATO

Desafío: Presenta autenticación escalonada para darle al titular real de la cuenta una vía de regreso.
Notificación: Alerta al cliente a través de todos los canales disponibles (correo electrónico, push, SMS) aunque no esté conectado.
Bloqueo: Congela los retiros, el uso de claves API, los cambios en la lista blanca y las salidas de fiat en las cuentas marcadas. En cripto, bloquear los retiros es la acción de mayor prioridad debido a la irreversibilidad.
Investigación: Revisa qué cambió durante la sesión (nuevas direcciones de retiro, claves API creadas, métodos de 2FA modificados).

Irónicamente, suplantar los canales de soporte y pedir a los usuarios que se reautentiquen es uno de los métodos de ataque más comunes utilizados por actores maliciosos en el ATO de cripto. Por eso necesitas una forma para que los clientes verifiquen que tus alertas de ATO son legítimas. Crypto[.]com usa un portal de confianza.

6. Revisa los patrones históricos y ajusta los umbrales según el ciclo del mercado

Los mercados alcistas, los lanzamientos importantes de tokens y los halvings generan picos de trading que cambian el comportamiento de referencia.

Ajusta las reglas antes de los eventos anticipados. Recalibra después de cada período de alto volumen.

7. Asegúrate de que tu propio sitio web no esté robando credenciales de usuarios

Las inyecciones de código pueden secuestrar formularios de inicio de sesión, interfaces de trading y flujos de conexión de billeteras. Solo los ataques estilo Magecart comprometieron más de 23 millones de transacciones en 2025.

Monitorea continuamente tus scripts de terceros y propios: Las bibliotecas de gráficos, los embeds de TradingView, los widgets de verificación KYC y los SDKs de billeteras introducen código que no controlas. Cualquiera de ellos puede verse comprometido y convertirse en un punto de entrada para el skimming.
Usa una plataforma de seguridad web como cside: cside Client-side Security monitorea la exfiltración de datos e inyecciones de código dirigidas a páginas de inicio de sesión o interfaces de trading que facilitan el phishing y el robo de credenciales.

Las mejores herramientas de prevención de account takeover para empresas de sitios web de cripto

Ninguna herramienta cubre todos los ángulos de la prevención de ATO. La mayoría de las plataformas de cripto utilizan una combinación de soluciones en cuatro categorías:

MFA / verificación de identidad: Para cripto, las llaves de hardware (YubiKey) y las aplicaciones de autenticación (Google Authenticator, Authy) deben ser el estándar, no el SMS. Okta Adaptive MFA y Auth0 son opciones empresariales sólidas.
Fingerprinting / detección de bots: Analiza señales de dispositivo, navegador y comportamiento detrás de cada sesión para detectar abuso automatizado y señales tempranas de ATO. Fundamental para cripto porque la detección debe separar los bots de trading legítimos de la automatización maliciosa. cside y DataDome son opciones sólidas en este ámbito.
Suites antifraude: Plataformas que puntúan el riesgo en el inicio de sesión, la transacción y la actividad posterior al inicio de sesión. Sardine está diseñado específicamente para cripto y fintech.
Análisis forense de blockchain / monitoreo de transacciones: Exclusivo de cripto, estas herramientas monitorean la actividad on-chain en busca de patrones de retiro sospechosos, movimiento de fondos hacia servicios de mezcla o transferencias a direcciones sancionadas. Chainalysis y Elliptic son populares en este espacio.

Por qué el account takeover importa para los sitios web de cripto

El ATO en cripto tiene una gravedad financiera mayor que en casi cualquier otra industria porque no existe mecanismo de reversión:

Pérdidas por fraude: Los atacantes vacían los fondos en cripto hacia billeteras externas. Sin contracargo, sin congelamiento, sin recuperación. Una sola cuenta comprometida puede perder seis cifras en minutos. El FBI reportó 11.400 millones de dólares en pérdidas por fraude en cripto en 2025 (un máximo histórico).
Exposición de datos KYC: Las cuentas comprometidas filtran identificaciones oficiales, selfies y documentos de comprobante de domicilio. Estos datos se venden para fraude de identidad y generan responsabilidad regulatoria bajo el GDPR, la CCPA y los marcos KYC/AML.
Multas regulatorias: Las plataformas de cripto enfrentan una aplicación normativa cada vez más estricta. FinCEN, MiCA y BitLicense exigen controles de seguridad en las cuentas.
Confianza del cliente y viabilidad de la plataforma: En cripto, el daño a la confianza es existencial. Los usuarios que pierden fondos por ATO pueden migrar a la autocustodia en una billetera de hardware sin volver jamás a la plataforma. El 42% de las víctimas de ATO cancelan su cuenta en la plataforma donde ocurrió el incidente.
Costos de soporte y operaciones: Solicitudes de recuperación de cuenta, revisiones manuales de retiros, gestión de disputas y coordinación con las fuerzas del orden. Los picos de ATO pueden saturar a equipos de soporte ya de por sí ajustados.

Ejemplos reales de ataques ATO en sitios web de cripto

Ola de ingeniería social en Coinbase (2024–2025): En 2024–2025, Coinbase reveló que agentes de soporte en el extranjero fueron sobornados para exfiltrar datos de clientes (nombres, identificaciones oficiales, saldos de cuentas), que los atacantes utilizaron para campañas de ingeniería social dirigidas. Más de 69.000 clientes se vieron afectados. Los ataques le costaron a los usuarios un estimado de más de 300 millones de dólares.

Elusión del 2FA en Crypto . com (enero de 2022): En enero de 2022, atacantes eludieron la autenticación de dos factores en 483 cuentas de Crypto.com y retiraron 34 millones de dólares (15 millones en ETH y 19 millones en BTC). La empresa reembolsó a todos los usuarios afectados y migró a una infraestructura de MFA completamente nueva.

Ejemplo de un ataque ATO en cripto paso a paso:

Un trader reutiliza su combinación de correo electrónico y contraseña en un exchange de nivel medio. Ese par de credenciales aparece en un volcado de datos de una brecha. Un atacante compra el volcado y ejecuta intentos de inicio de sesión automatizados contra la API del exchange. Un inicio de sesión tiene éxito. El atacante revisa la cuenta: está verificada con KYC y tiene un límite de retiro diario de 50.000 dólares. En cuestión de minutos, cambia la lista blanca de retiros, añade su propia dirección de billetera e inicia una transferencia.

El papel del fingerprinting en la detección de account takeover

Las credenciales se roban a través de brechas. El MFA se elude mediante SIM swaps y proxies de phishing. El fingerprinting de navegador opera en una capa diferente que lee señales de dispositivo, navegador y sesión que los atacantes no controlan y no pueden evadir.

Recopila señales que indican ATO: Fingerprint del navegador, identificadores de hardware, propiedades de pantalla, metadatos de red. Los patrones anómalos (zonas horarias que no coinciden, resoluciones de pantalla inesperadas, marcadores de navegador headless) señalan un posible compromiso de forma temprana.
Detecta a los atacantes de ATO de forma proactiva: Un dispositivo que recorre cientos de combinaciones de credenciales. Un navegador que declara un entorno pero se ejecuta en otro. Solicitudes de inicio de sesión a velocidad inhumana desde proxies rotativos. El fingerprinting detecta las firmas de credential stuffing que se escapan de los CAPTCHAs y los limitadores de tasa.

Por qué cside es la mejor opción de fingerprinting para empresas de sitios web de cripto

Imagen del panel de actividad de sesión de fingerprint de cside

cside combina el fingerprinting de navegador con el monitoreo de integridad de JavaScript, ofreciendo a las empresas de cripto tanto detección de ATO como protección contra web skimming en una sola plataforma.

Detección de bots de IA maliciosos: Detecta navegadores headless y agentes impulsados por IA que eluden las defensas tradicionales contra bots para llevar a cabo credential stuffing. Importante para las plataformas de cripto donde los bots de trading legítimos generan ruido que enmascara la automatización maliciosa.
Protege las páginas que los atacantes más atacan: Asegura los formularios de inicio de sesión, las interfaces de trading y los portales de verificación KYC contra ataques del lado del cliente relacionados con skimming y secuestro de sesión. cside es una solución líder para el monitoreo de scripts según PCI DSS 4.0.1.
Monitoreo de scripts de terceros: Vigila cada script servido a los usuarios (bibliotecas de gráficos, embeds, widgets KYC, SDKs de conexión de billeteras, etiquetas de analítica) para identificar cuándo alguno de ellos comienza a robar credenciales o tokens de sesión.
Integración orientada al desarrollador: Señales de fingerprint en bruto vía API para reglas de fraude personalizadas, además de agrupaciones de señales curadas listas para usar de inmediato. Los equipos de fraude en cripto suelen necesitar flexibilidad para adaptar las herramientas antifraude a los elementos únicos de su plataforma.

Para comenzar, regístrate o agenda una demo.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Empieza con MFA que no dependa de SMS, como llaves de hardware o aplicaciones de autenticación. Refuerza los flujos de recuperación de cuenta, no solo el inicio de sesión, porque un restablecimiento de contraseña seguido de un retiro inmediato es un patrón común de ATO en cripto. A partir de ahí, añade capas de fingerprinting de dispositivo y señales de comportamiento para detectar indicios de inicios de sesión sospechosos de forma temprana.

Las señales más fuertes son a nivel de dispositivo: un inicio de sesión desde un fingerprint no reconocido, un entorno de navegador que no coincide con el user agent declarado, o el mismo dispositivo accediendo a múltiples cuentas en una ventana de tiempo corta. Ten cuidado con las alertas de VPN; los usuarios de cripto usan VPNs de forma legítima a tasas mucho más altas que otras industrias. Combina estas señales con la actividad de la cuenta. Una cuenta que inmediatamente cambia la lista blanca de retiros o crea una nueva clave API es una señal de alerta.

cside ofrece una API de fingerprinting que devuelve señales de dispositivo, navegador y red que puedes integrar directamente en tu propio sistema de puntuación de riesgo. Para plataformas de cripto, esto es especialmente útil para construir reglas personalizadas que tengan en cuenta los patrones de tu base de usuarios. cside también monitorea inyecciones de scripts relacionadas con phishing y robo de credenciales que las APIs de fingerprinting independientes pasan por alto por completo.

En enero de 2022, atacantes eludieron el 2FA en 483 cuentas de Crypto.com y retiraron 34 millones de dólares.

Las cuentas de criptomonedas son el objetivo de ATO de mayor valor en cualquier industria, porque los fondos comprometidos pueden retirarse en minutos y las transacciones son irreversibles una vez confirmadas en la cadena. Los documentos KYC, como pasaportes, se venden por separado en la dark web por entre 500 y 800 dólares.

Los ataques de SIM swap existen precisamente para explotar la autenticación basada en SMS. Un atacante porta el número de teléfono de la víctima a una SIM que controla y luego intercepta todos los códigos de verificación y restablecimientos de contraseña enviados por mensaje de texto.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.