Las estafas de phishing pueden dirigirse a usuarios de billeteras mediante correos electrónicos, sitios web, llamadas telefónicas, SMS, mensajes en redes sociales o falsas conversaciones de soporte. Su objetivo es crear urgencia y convencerte de revelar información sensible, instalar software malicioso, conectar tu hardware wallet a una aplicación insegura o introducir tus palabras de recuperación en un lugar que no sea tu hardware wallet.
Esta guía explica cómo reconocer estafas de phishing, cómo verificar si un mensaje o sitio web es legítimo, lo que BitBox nunca te pedirá y qué hacer si ya interactuaste con una solicitud sospechosa.
La regla más importante
Si solo recuerdas una cosa, que sea esta:
Nunca introduzcas tus palabras de recuperación en un ordenador, smartphone, sitio web, extensión del navegador, gestor de contraseñas, servicio en la nube o chatbot de IA. Cualquier persona con acceso a tus palabras de recuperación puede controlar tus fondos. El soporte de BitBox nunca te pedirá tus palabras de recuperación.
Si alguien te pide tus palabras de recuperación, el backup de tu billetera, tus 24 palabras, una captura de pantalla de tu backup o una copia escrita de tu backup, detente inmediatamente. Es una estafa.
Por qué “tu cuenta BitBox está comprometida” es una estafa
Los estafadores suelen afirmar que una “cuenta BitBox” está comprometida o debe protegerse. Esta formulación es engañosa, porque BitBox no custodia fondos de clientes y no tiene acceso a tu billetera.
BitBox no gestiona fondos de clientes como un exchange, broker o servicio financiero online. Tu billetera está controlada por tu BitBox02 y tus palabras de recuperación. BitBox no puede congelar, desbloquear, mover ni recuperar tus fondos.
El soporte de BitBox puede ayudarte a usar productos BitBox, pero no puede acceder a tu billetera y nunca te pedirá que transfieras fondos, reveles tus palabras de recuperación, instales software de acceso remoto o confirmes acciones urgentes de “seguridad” para tu billetera.
Las hardware wallets protegen las claves privadas manteniéndolas aisladas de dispositivos conectados a internet. Para más contexto, consulta el artículo del blog de BitBox Por qué debería almacenar Bitcoin en su propia billetera y el artículo sobre escenarios comunes de ataque contra hardware wallets.
Métodos comunes de phishing contra usuarios de billeteras
Alertas de seguridad falsas
Los estafadores suelen afirmar que tus fondos están en peligro, que tu billetera debe verificarse, que tu firmware no es seguro o que tu cuenta será bloqueada. El mensaje puede presionarte para actuar de inmediato mediante un enlace, archivo adjunto, llamada o chat.
Alertas falsas de pago o exchange
Algunas estafas empiezan con un correo falso que parece venir de un proveedor de pagos, broker o exchange. El correo puede contener un código de confirmación para una transacción que no solicitaste y un número de teléfono para llamar si la actividad no fue tuya.
Si llamas al número del mensaje, el estafador puede afirmar que hubo acceso no autorizado desde otro país, que tu cuenta o billetera está bajo ataque o que la contraseña de tu dispositivo puede ser eludida. Esto busca hacer que el siguiente paso parezca urgente y legítimo.
Estafa con confirmación de formulario de contacto
Hemos observado que los estafadores usan un flujo más complejo que combina contacto directo con correos automáticos legítimos de servicios oficiales.
Primero, el estafador contacta a la víctima por teléfono, correo electrónico, SMS, aplicación de mensajería u otro canal. Puede hacerse pasar por un exchange, broker, proveedor de pagos, proveedor de billetera o equipo de soporte. Crea urgencia afirmando que los fondos están en riesgo, que una cuenta está comprometida, que se intentó una transacción o que se requiere una verificación de seguridad.
Durante la conversación, el estafador intenta obtener más información sobre la víctima. Puede preguntar si la persona usa una hardware wallet y de qué marca es. Si la víctima menciona Ledger, Trezor, BitBox u otra marca, el estafador adapta la historia y afirma que debe intervenir el soporte correspondiente de esa billetera.
Después, el estafador envía un formulario de contacto real en la página oficial de soporte de ese proveedor de billetera u otro servicio e introduce la dirección de correo electrónico de la víctima. La víctima recibe entonces un correo automático legítimo desde el dominio oficial indicando que se recibió una consulta.
El correo automático de confirmación puede ser legítimo, pero la solicitud no fue creada por la víctima. El estafador usa ese correo real para generar confianza y luego continúa la estafa por el canal original o mediante una nueva llamada, SMS, correo o chat. También puede proporcionar un número de ticket, una extensión directa o el nombre de un supuesto empleado de soporte.
Un correo de confirmación real desde un dominio oficial de BitBox o de un proveedor de billetera no demuestra que una llamada, SMS, correo o chat sea legítimo. Si no creaste la solicitud de soporte tú mismo, trata cualquier contacto posterior como sospechoso.
Llamadas y mensajes fraudulentos
BitBox no te contactará primero por teléfono, SMS, Telegram, WhatsApp, Discord, redes sociales o mensajes directos en foros para hablar sobre la seguridad de tu billetera. Trata cualquier contacto de soporte inesperado como sospechoso, especialmente si crea urgencia o te pide mantener la conversación en privado.
Sitios web y descargas falsas
Los sitios web falsos pueden copiar el diseño de un proveedor de billetera real, usar un dominio parecido u ofrecer una descarga maliciosa de una app. Una app o página falsa puede pedirte restaurar, sincronizar, verificar o desbloquear tu billetera.
En un patrón observado, la víctima fue dirigida a una página falsa con marca BitBox para una supuesta “comprobación de seguridad”. La página primero pedía el modelo de BitBox y la dirección de correo electrónico, luego afirmaba que la billetera estaba comprometida y solicitaba las 24 palabras de recuperación para generar un nuevo backup. Un sitio web nunca puede comprobar ni reemplazar tus palabras de recuperación de forma segura.
Descarga la BitBoxApp únicamente desde la página oficial de descarga de BitBoxApp. Si quieres una comprobación adicional antes de abrir un archivo descargado, puedes verificar la firma de BitBoxApp o verificar la suma de comprobación de BitBoxApp.
Estafa de escalación con exchange o broker
Después de saber dónde compró cripto la víctima, los estafadores pueden continuar el ataque haciéndose pasar por soporte de un exchange o broker. Pueden afirmar que la cuenta del exchange debe protegerse e indicar a la víctima que convierta sus activos a Bitcoin y los envíe a la billetera.
Esto puede ser especialmente peligroso si el estafador ya obtuvo las palabras de recuperación de la billetera. Los fondos enviados a la billetera pueden ser movidos por el estafador poco después de llegar.
Archivos adjuntos sospechosos
No abras archivos adjuntos inesperados que afirmen contener informes de seguridad, estados de cuenta, herramientas de billetera, archivos de actualización o instrucciones de recuperación. El soporte de BitBox no enviará software de billetera no solicitado ni te pedirá instalar herramientas de acceso remoto.
Señales claras de alerta
Antes de hacer clic, responder, instalar o aprobar algo, revisa estas señales:
- Presión, urgencia, amenazas o afirmaciones de que tus fondos ya están siendo robados.
- Contacto inesperado, especialmente por teléfono, SMS, mensajería o redes sociales.
- Un número de teléfono en un correo que te pide llamar si no solicitaste una transacción.
- Afirmaciones sobre accesos desde el extranjero, dispositivos bloqueados, contraseñas eludidas o bloqueos urgentes de cuenta.
- Un correo automático real de confirmación para una solicitud de soporte que tú no creaste.
- Una supuesta transferencia a soporte con código de ticket, extensión directa o empleado nombrado que no contactaste desde el sitio oficial.
- Solicitudes de palabras de recuperación, backups de billetera, PINs, contraseñas, capturas de pantalla o acceso remoto.
- Instrucciones para “verificar”, “sincronizar”, “asegurar”, “restaurar”, “migrar”, “cubrir” o “comprobar” tu billetera mediante un sitio web.
- Promesas de que un sitio web puede generar nuevas palabras de recuperación para tu billetera existente.
- Instrucciones para convertir activos en un exchange y transferirlos como parte de un “bloqueo de seguridad” o “recuperación de cuenta”.
- Enlaces que no llevan claramente a un dominio oficial de BitBox.
- Archivos adjuntos o descargas que no solicitaste.
Si tienes dudas, no uses enlaces, números de teléfono ni datos de contacto incluidos en el mensaje sospechoso. Abre una nueva pestaña del navegador y escribe manualmente la dirección oficial. Para más contexto sobre tácticas comunes en correos fraudulentos, consulta el artículo del blog de BitBox Mantente seguro: comprende e identifica correos electrónicos fraudulentos.
Lo que BitBox nunca hará
Saber lo que BitBox nunca hará ayuda a detectar estafas:
- BitBox nunca te pedirá tus palabras de recuperación.
- BitBox nunca te pedirá tu PIN, contraseñas, passphrase o códigos de autenticación de dos factores.
- BitBox nunca te pedirá transferir fondos a una billetera “segura”.
- BitBox nunca te pedirá verificar, sincronizar o restaurar tu billetera en un sitio web.
- BitBox nunca te proporcionará una herramienta en el navegador para comprobar si tus palabras de recuperación son seguras.
- BitBox nunca generará palabras de recuperación de reemplazo para tu billetera existente mediante un sitio web.
- BitBox nunca te dirá que conviertas activos en un exchange y los muevas como parte de un caso de soporte.
- BitBox nunca te enviará software de billetera o herramientas de acceso remoto no solicitadas.
- BitBox nunca te contactará primero por teléfono, SMS, Telegram, WhatsApp, Discord, redes sociales o mensaje directo en un foro.
Dominios oficiales de BitBox
Comprobar el dominio no es la única protección contra phishing, pero es un primer paso importante. Usa estos dominios para verificar si un sitio web, correo o contacto de soporte es legítimo.
BitBox controla los siguientes dominios:
| Dominio | Uso |
|---|---|
bitbox.swiss |
Sitio principal y descargas |
shop.bitbox.swiss |
Tienda online |
support.bitbox.swiss |
Knowledge Base |
blog.bitbox.swiss |
Blog oficial |
contact.bitbox.swiss |
Formulario de contacto de soporte |
shiftcrypto.support |
Sistema de soporte |
shiftcrypto.io |
Redirección |
digitalbitbox.com |
Redirección |
shiftcrypto.org |
Redirección |
shiftcryptosecurity.ch |
Redirección |
shiftcryptosecurity.com |
Redirección |
shiftdevices.com |
Redirección |
Si un sitio parece de BitBox pero usa otro dominio, trátalo como sospechoso. Revisa también la dirección completa, no solo el texto visible de un enlace.
Por qué puedes ser objetivo
Recibir un mensaje o llamada de phishing no significa que tu BitBox02, BitBoxApp, billetera o fondos estén comprometidos. La mayoría de campañas de phishing son oportunistas y se dirigen a grandes cantidades de personas. Que te contacten no indica necesariamente que tu BitBox02, BitBoxApp o billetera se haya visto comprometida.
Los estafadores suelen combinar datos de muchas fuentes, incluidos datos de contacto públicos, redes sociales, filtraciones de terceros no relacionadas, listas de marketing filtradas, llamadas aleatorias y abuso de formularios de contacto. Para una explicación más amplia sobre tácticas de correos fraudulentos, consulta el artículo del blog de BitBox Mantente seguro: comprende e identifica correos electrónicos fraudulentos.
BitBox también ha comunicado de forma transparente incidentes de datos anteriores que pueden ayudar a explicar por qué algunas personas reciben phishing dirigido:
- Filtración de datos de ActiveCampaign: En julio de 2022, BitBox se vio afectada por una filtración de datos en ActiveCampaign, un servicio externo usado para correos de marketing. Los datos expuestos incluían direcciones de correo electrónico, principalmente de suscriptores del newsletter, algunos contactos comerciales y datos relacionados limitados. Lee la publicación del blog de BitBox sobre la filtración de ActiveCampaign.
- Filtración de Twitter/X: Una filtración separada de Twitter/X expuso direcciones de correo electrónico asociadas con cuentas de Twitter. No fue una brecha de sistemas de BitBox, pero este tipo de filtraciones externas puede ayudar a los estafadores a conectar una dirección de correo con actividad o intereses públicos relacionados con cripto. Lee el comunicado de BitBox sobre la filtración de Twitter/X.
Desde entonces, BitBox redujo la cantidad de datos de contacto almacenados y elimina la información de contacto de soporte después de un periodo definido. Lee más en por qué BitBox elimina tus datos de contacto y cómo trata tu información.
Qué hacer si encuentras un intento de phishing
Si solo recibiste un mensaje o llamada
- No hagas clic en enlaces ni abras archivos adjuntos.
- No respondas con información personal.
- Bloquea al remitente o a la persona que llama.
- Si quieres verificar la situación, contacta con el soporte de BitBox mediante el formulario oficial de contacto de soporte.
Si recibiste un correo de confirmación inesperado
- No asumas que el contacto posterior es legítimo solo porque el correo automático vino de un dominio oficial.
- No uses datos de contacto, enlaces o referencias de caso proporcionados por la persona que te contacta por separado.
- Si no enviaste la solicitud tú mismo, contacta al servicio oficial desde su sitio web y pregunta si la solicitud debe cerrarse.
- Si la confirmación vino de BitBox, contacta con el soporte de BitBox mediante el formulario oficial de contacto de soporte e indica que no creaste la consulta.
Si hiciste clic en un enlace pero no introdujiste información
- Cierra la página.
- No descargues ni instales nada desde esa página.
- Borra el historial del navegador si quieres evitar abrirla de nuevo por accidente.
- Abre manualmente el sitio oficial de BitBox en una nueva pestaña si necesitas continuar.
Si conectaste tu BitBox02 a un sitio web o aplicación sospechosa
- Desconecta tu BitBox02.
- Cierra el sitio web o la aplicación sospechosa.
- No apruebes en tu BitBox02 ninguna acción que no entiendas.
- Revisa tu billetera únicamente con la BitBoxApp oficial.
Si introdujiste tus palabras de recuperación
Si introdujiste tus palabras de recuperación en un sitio web, app, ordenador, teléfono, chat, formulario o cualquier otro servicio online, asume que la billetera está comprometida.
Si se exponen las palabras de recuperación, cualquier persona con acceso a ellas puede controlar la billetera. Mueve los fondos a una nueva billetera segura de inmediato si todavía puedes acceder a ellos.
Usa un dispositivo separado y de confianza, y crea un nuevo backup de billetera. Si no sabes qué hacer a continuación, contacta con el soporte de BitBox mediante el formulario oficial de contacto de soporte, pero no envíes palabras de recuperación, capturas de pantalla de palabras de recuperación ni claves privadas.
Cómo verificar un sitio web o descarga de BitBox
Si no sabes si un sitio web, correo o descarga de BitBox es genuino, usa los siguientes métodos de verificación antes de realizar cualquier acción.
Si un mensaje te pide abrir un sitio web, instalar software o comprobar tu billetera, verifica la fuente antes de continuar.
- Usa dominios oficiales de BitBox para comprobar si un sitio web, correo o contacto de soporte es legítimo.
- Descarga la BitBoxApp únicamente desde la página oficial de descarga de BitBox.
- Cuando sea posible, verifica la firma de BitBoxApp para confirmar que el archivo descargado fue firmado por Shift Crypto.
- Cuando sea posible, verifica la suma de comprobación del archivo de BitBoxApp (SHA-256) para confirmar que el archivo descargado coincide con el archivo publicado por BitBox.
Preguntas frecuentes
¿Debo llamar al número de teléfono de un correo inesperado de transacción o seguridad?
No. No llames a números de teléfono incluidos en correos inesperados de transacción, inicio de sesión o seguridad. Abre manualmente el sitio web oficial y usa las opciones de contacto publicadas allí.
¿Puede el soporte de BitBox verificar si un mensaje, correo o sitio web es legítimo?
Sí. Si no sabes si un mensaje, sitio web, correo o solicitud de soporte es legítimo, contacta con el soporte de BitBox mediante el formulario oficial de contacto de soporte de BitBox antes de realizar cualquier acción.
El soporte de BitBox puede ayudarte a determinar si una comunicación es genuina y si un sitio web pertenece a BitBox.
¿Un correo automático real de confirmación demuestra que el contacto posterior es legítimo?
No. Un estafador puede abusar de un formulario de contacto introduciendo tu dirección de correo después de haberte contactado. La confirmación automática puede ser real, pero una llamada, SMS, correo o chat posterior puede seguir siendo una estafa.
¿Cómo consiguieron los estafadores mi correo electrónico o número de teléfono?
Recibir un mensaje de phishing no significa que tu BitBox02 o billetera estén comprometidas. Los estafadores pueden usar datos públicos, filtraciones de terceros no relacionadas, listas de marketing filtradas, llamadas aleatorias, información de redes sociales o abuso de formularios de contacto.
¿Ha habido incidentes de datos relacionados con BitBox en el pasado?
Sí. BitBox se vio afectada por la filtración de datos de ActiveCampaign en julio de 2022, que expuso direcciones de correo electrónico y datos relacionados limitados de un proveedor externo de correos de marketing. Por separado, la filtración de Twitter/X expuso direcciones de correo electrónico asociadas con cuentas de Twitter; esto no fue una brecha de BitBox, pero aun así puede ayudar a los estafadores a crear listas de objetivos. La infraestructura y los productos de BitBox no se vieron comprometidos en ninguno de los dos casos. Desde entonces, BitBox redujo los datos de contacto almacenados y elimina la información de contacto de soporte después de un periodo definido.
¿Cómo puedo reportar un sitio web, mensaje o llamada de phishing?
Puedes reportar intentos de phishing al soporte de BitBox mediante el formulario oficial de contacto de soporte. Incluye la dirección del remitente, número de teléfono, enlace del sitio web, capturas de pantalla y una breve descripción, pero nunca incluyas palabras de recuperación, claves privadas ni contraseñas.