Ir al contenido
tron.guide

Lista de Vigilancia de Seguridad

Primeros pasos Paso 1 de 5
1 Lista de vigilancia 2 Configura tu billetera 3 Bases de TRX 4 Tu primera transacción 5 Sitios oficiales

Bien hecho. Estás en el lugar correcto — entender el panorama de amenazas antes de tu primera transacción es exactamente el orden correcto de operaciones.

TRON procesa más volumen de USDT que cualquier otra blockchain. Esa concentración de valor significa que los atacantes han desarrollado técnicas específicas para TRON que van mucho más allá de las advertencias genéricas de criptomonedas. Esta página cubre las 10 amenazas más activas, con contramedidas concretas para cada una. La lectura toma unos 10 minutos.

Índice de Amenazas

Sección titulada «Índice de Amenazas»

Ordenadas por la frecuencia con la que un usuario nuevo las encuentra.

#AmenazaGravedad
1Soporte Falso / Ingeniería SocialAlta
2Tokens de Airdrop MaliciososAlta
3Extensiones Falsas de TronLinkAlta
4Envenenamiento de DireccionesCrítica
5Aprobaciones Ilimitadas TRC-20Crítica
6Plataformas Falsas de StakingAlta
7Secuestro del PortapapelesAlta
8Estafas de Suplantación de Lista NegraMedia
9Ataques de Drenaje de EnergíaMedia–Alta
10Servicios Falsos de RecuperaciónMedia

Amenaza 1 — Soporte Falso e Ingeniería Social

Sección titulada «Amenaza 1 — Soporte Falso e Ingeniería Social»

Gravedad: Alta

Los atacantes monitorean grupos de Telegram, comunidades de Reddit y servidores de Discord relacionados con TRON en busca de usuarios que publiquen sobre problemas. Envían mensajes privados de forma proactiva, ofreciendo ayuda. La “solución” siempre requiere tu frase semilla o firmar una transacción en tu billetera.

Las variantes incluyen:

  • “Agentes de soporte” que te piden compartir tu pantalla
  • Enlace de “verificación” que son páginas de phishing
  • “Herramientas de recuperación” que son scripts para vaciar billeteras

La regla absoluta: Ningún proveedor legítimo de billeteras, equipo de protocolo, exchange, Super Representante ni representante de ningún proyecto relacionado con TRON te pedirá jamás tu frase semilla — de forma directa, indirecta o mediante un formulario. No existen excepciones.

Amenaza 2 — Tokens de Airdrop Maliciosos

Sección titulada «Amenaza 2 — Tokens de Airdrop Maliciosos»

Gravedad: Alta

Tokens TRC-10 y TRC-20 con nombres engañosos (“USDT Reward”, “TRX Airdrop 2025”) aparecen en billeteras sin que el usuario haga nada. Estos tokens no tienen valor por sí mismos. El ataque se activa cuando intentas interactuar con ellos: hacer clic en una URL incrustada en la descripción del token, o intentar intercambiarlo mediante un enlace sugerido, desencadena una interacción maliciosa con un contrato inteligente que puede solicitar una aprobación ilimitada o iniciar una transferencia.

Contramedidas:

  • Trata cualquier token que no hayas adquirido explícitamente como adversarial. No interactúes con él.
  • No visites ninguna URL que aparezca en el nombre, descripción o campo de sitio web asociado de un token.
  • En TronLink, oculta o marca como spam cualquier token no reconocido para mantenerlo fuera de tu vista de cartera activa.

Amenaza 3 — Extensiones Falsas de TronLink

Sección titulada «Amenaza 3 — Extensiones Falsas de TronLink»

Gravedad: Alta

Las tiendas de extensiones de navegador han alojado históricamente extensiones falsas de TronLink. Estas operan en dos modalidades:

  1. Recolección de credenciales: La extensión falsa presenta un flujo de importación de aspecto legítimo que captura y exfiltra tu frase semilla.
  2. Manipulación de transacciones: La extensión intercepta las solicitudes de firma de transacciones y modifica silenciosamente la dirección del destinatario o el monto de aprobación antes de mostrarte el diálogo.

Protocolo de verificación:

  1. Instala TronLink únicamente desde el listado de la Chrome Web Store publicado por el editor verificado Helix Tech Company Limited, o descárgalo directamente desde tronlink.org y carga la extensión de forma manual.
  2. Tras la instalación, navega a chrome://extensions, localiza TronLink y anota el ID de extensión (una cadena alfanumérica de 32 caracteres). Contrástalo con el ID oficial actual publicado en el README del repositorio GitHub de TronLink.
  3. Nunca ingreses una frase semilla durante la instalación si se te solicita en un flujo inusual. La secuencia estándar de importación en TronLink está documentada — si la interfaz se desvía de ella, cancela de inmediato.
  4. Tras cualquier actualización automática de la extensión, verifica que el ID de extensión no haya cambiado.

Amenaza 4 — Envenenamiento de Direcciones

Sección titulada «Amenaza 4 — Envenenamiento de Direcciones»

Gravedad: Crítica

Los atacantes monitorean el mempool de TRON en tiempo real. Cuando realizas una transferencia saliente, ellos envían inmediatamente una transacción de USDT por $0.00 (o de valor mínimo) desde una dirección cuyos primeros 4–6 y últimos 4–6 caracteres son idénticos a los de tu destinatario previsto. El objetivo: tu historial de billetera ahora muestra una dirección que parece correcta a primera vista. La copias en tu próxima transferencia.

Contramedidas:

  1. Nunca copies una dirección de destinatario desde tu historial de transacciones. Siempre pégala desde una fuente verificada e independiente (un contacto guardado, una página de retiro de exchange o un escaneo de código QR).
  2. Verifica los 34 caracteres completos de una dirección TRON en Base58 — no solo los primeros y últimos segmentos.
  3. Usa la libreta de direcciones en TronLink o Ledger Live con contactos claramente etiquetados. Agrega contactos una sola vez, desde una fuente verificada, y luego selecciónalos desde la libreta.
  4. Para transferencias de alto valor, envía primero un monto de prueba pequeño y verifica su recepción antes de completar la transferencia completa.

Amenaza 5 — Aprobaciones Ilimitadas TRC-20

Sección titulada «Amenaza 5 — Aprobaciones Ilimitadas TRC-20»

Gravedad: Crítica

Cada interacción de token TRC-20 con una DApp (intercambio en DEX, depósito en préstamos) requiere una llamada approve(), que otorga al contrato permiso para gastar tokens en tu nombre. Muchas DApps solicitan una asignación ilimitada (type(uint256).max). Un contrato malicioso o comprometido posteriormente puede vaciar tu billetera en cualquier momento futuro usando esa aprobación.

Cómo identificar una aprobación problemática:

El diálogo de confirmación de la billetera mostrará el contrato gastador y el monto. Si el monto aparece como Unlimited o un valor que aproxima 115792089... (máximo de uint256), es una aprobación ilimitada.

Contramedidas:

  1. Audita todas las aprobaciones existentes en tu dirección usando la sección “Approvals” de TRONSCAN (tronscan.org → tu dirección → pestaña Approvals).
  2. Revoca cada aprobación de protocolos que ya no uses activamente.
  3. Para nuevas interacciones, verifica si la DApp te permite ingresar un monto de aprobación específico en lugar de ilimitado. JustLend y SunSwap lo permiten.
  4. Considera usar una “billetera de interacción” separada, financiada únicamente con lo que planeas usar en una sola sesión.

Amenaza 6 — Plataformas Falsas de Staking y Congelamiento

Sección titulada «Amenaza 6 — Plataformas Falsas de Staking y Congelamiento»

Gravedad: Alta

Sitios que suplantan la interfaz nativa de staking de TRON te piden conectar tu billetera y “stakear” TRX. La transacción que firmas no es un congelamiento nativo — es una llamada maliciosa a un contrato inteligente diseñada para vaciar fondos o conceder aprobaciones ilimitadas.

Cómo distinguir una transacción legítima de congelamiento en TRON:

Un staking nativo legítimo (congelamiento) en TRON usa el FreezeBalanceV2Contract a nivel de protocolo. No interactúa con ningún contrato inteligente de terceros. El tipo de transacción que aparece en el diálogo de firma de tu billetera debe decir exactamente FreezeBalanceV2Contract, no TriggerSmartContract.

Si la billetera te pide firmar una transacción de tipo TriggerSmartContract para “stakear” TRX, detente de inmediato.

Amenaza 7 — Secuestro del Portapapeles

Sección titulada «Amenaza 7 — Secuestro del Portapapeles»

Gravedad: Alta

El malware se instala silenciosamente — frecuentemente incluido con software de billetera, extensiones de navegador o herramientas de crypto descargadas de fuentes no oficiales — y monitorea tu portapapeles. Cuando detecta el formato de una dirección TRON (una cadena Base58 de 34 caracteres que comienza con T), la reemplaza silenciosamente por la dirección del atacante. Pegas lo que crees que es el destinatario correcto, pero el malware ya lo sustituyó.

A diferencia del envenenamiento de direcciones (que manipula tu historial de transacciones), los secuestradores de portapapeles operan a nivel del sistema operativo y son invisibles durante la acción de pegar.

Contramedidas:

  1. Descarga software de billetera, extensiones de navegador y herramientas de crypto únicamente de fuentes verificadas — nunca desde enlaces en Telegram, comentarios de YouTube o mensajes directos de Discord.
  2. Después de pegar cualquier dirección, compara los primeros 6 y los últimos 6 caracteres con la dirección de origen. Luego compara la cadena completa de 34 caracteres.
  3. En transferencias de alto valor, escanea el código QR del destinatario directamente en lugar de depender del portapapeles.
  4. Mantén tu sistema operativo y software de seguridad actualizados. Usa un software de seguridad de endpoint reconocido en cualquier dispositivo que uses para crypto.

Amenaza 8 — Estafas de Suplantación de Lista Negra

Sección titulada «Amenaza 8 — Estafas de Suplantación de Lista Negra»

Gravedad: Media

El contrato de USDT de Tether en TRON incluye un mecanismo de lista negra on-chain. Tether puede incluir en lista negra direcciones involucradas en violaciones de sanciones o fraude. Los estafadores aprovechan el conocimiento de este mecanismo para contactar a usuarios afirmando que su dirección está “bajo revisión” o “marcada”, ofreciendo intervenir a cambio de una comisión en TRX.

Los hechos:

  • Solo Tether Operations Limited puede modificar el contrato de lista negra de USDT.
  • No existe ningún servicio de terceros, ningún comité ni ningún “agente de cumplimiento” que pueda eliminar una dirección de la lista negra a cambio de un pago.
  • Si tu dirección está en lista negra, el único camino es el contacto directo con el equipo legal y de cumplimiento oficial de Tether.

Amenaza 9 — Ataques de Drenaje de Energía

Sección titulada «Amenaza 9 — Ataques de Drenaje de Energía»

Gravedad: Media–Alta

Un contrato inteligente malicioso puede diseñarse para consumir toda tu Energía disponible en una sola llamada de transacción. Tras un drenaje de energía, las transacciones legítimas posteriores (como enviar USDT) recurren a quemar TRX para cubrir comisiones. Si tu saldo de TRX es bajo, las transacciones fallan por completo.

Este ataque suele ser la primera fase de un vaciado más amplio — dejándote temporalmente sin capacidad de mover fondos mientras el atacante ejecuta la segunda fase.

Contramedidas:

  • Mantén un saldo de TRX de al menos 5–20 TRX para cubrir escenarios de respaldo por quema de comisiones.
  • Antes de interactuar con cualquier contrato inteligente, verifica si ha sido auditado y comprueba que su código fuente esté publicado en TRONSCAN.
  • Nunca interactúes con contratos vinculados desde mensajes no solicitados, airdrops de tokens o mensajes directos en redes sociales.

Amenaza 10 — Servicios Falsos de Recuperación

Sección titulada «Amenaza 10 — Servicios Falsos de Recuperación»

Gravedad: Media

Los usuarios que han perdido el acceso a su billetera — por una contraseña olvidada, frase semilla perdida o fallo del dispositivo — se convierten en blancos de servicios falsos de recuperación. Estos aparecen como resultados patrocinados en buscadores, anuncios en redes sociales, comentarios de YouTube y bots de Telegram, afirmando usar “forense de blockchain” o “técnicas de contratos inteligentes” para recuperar billeteras perdidas.

Ninguna recuperación de este tipo es posible sin la frase semilla o clave privada original. El modelo criptográfico de la blockchain hace matemáticamente inviable acceder a una billetera sin estas credenciales. Cualquier persona que ofrezca recuperación de billetera a cambio de un pago está ejecutando una estafa.

Las variantes incluyen:

  • Solicitar un pago por adelantado y luego pedir más cuando la “recuperación” se estanca
  • Pedirte que ingreses tu frase semilla en una “herramienta de recuperación”
  • Dirigirte a un sitio de phishing para “verificar tu billetera”

La regla: Sin tu frase semilla o clave privada, ninguna parte puede recuperar una billetera. Si las has perdido ambas, los fondos en esa billetera son permanentemente inaccesibles.

Referencia Rápida: Señales de Alerta en TRON

Sección titulada «Referencia Rápida: Señales de Alerta en TRON»

Solicitud de Frase Semilla

Cualquier solicitud de tu frase de recuperación de 12 o 24 palabras, de cualquier persona o interfaz, es un ataque. Termina la interacción y no vuelvas a contactar.

Urgencia Artificial

“Tu cuenta será congelada en 10 minutos.” La presión de tiempo fabricada evita la evaluación racional. Para, verifica de forma independiente y luego actúa.

TriggerSmartContract para Operaciones Nativas

Las operaciones nativas de TRON (congelar, votar, ancho de banda) usan tipos de contrato a nivel de protocolo. Cualquier DApp que te pida ejecutar TriggerSmartContract para estas acciones es sospechosa.

Oportunidad No Solicitada

Ningún proyecto legítimo del ecosistema TRON ni equipo de protocolo te contactará proactivamente por mensaje directo con una oportunidad de inversión, staking o recuperación.

Los Tres Dominios que Debes Memorizar

Sección titulada «Los Tres Dominios que Debes Memorizar»

Guárdalos en favoritos ahora. Para el directorio verificado completo de todas las DApps del ecosistema, herramientas para desarrolladores y canales sociales, consulta Sitios Oficiales y Canales.

ServicioDominioQué es
TRON Networktron.networkSitio principal del protocolo
TRON DAOtrondao.orgGobernanza y noticias del ecosistema
Explorador de bloquestronscan.orgVerificación de transacciones y contratos
Paso 1 de 5 — a continuaciónConfigura tu billetera
Continuar