Organización de phishing de criptomonedas de nueva especie Eleven Drainer en actividad desenfrenada: actualización de alertas de seguridad de billeteras

El 9 de noviembre de 2025, la empresa de seguridad blockchain SlowMist detectó que la organización emergente de robo de carteras Eleven Drainer está expandiendo rápidamente su red de servicios de phishing (PhaaS). Esta organización clona sitios web, falsifica cuentas en redes sociales y utiliza scripts automáticos de contratos inteligentes para robar sistemáticamente los activos de los usuarios. En 2024, diversas herramientas de robo causaron pérdidas por 494 millones de dólares, un aumento del 67% en comparación con 2023. Aunque las técnicas de ataque continúan evolucionando, los expertos en seguridad enfatizan que la gran mayoría de los incidentes aún se deben a errores en el comportamiento de los usuarios, recomendando medidas básicas como verificar estrictamente las solicitudes de firma de cartera, evitar enlaces desconocidos y rechazar autorizaciones de transacciones bajo presión para prevenir riesgos.

Infraestructura de ataque y modelos de negocio

Eleven Drainer representa una evolución en el modelo de ciberdelincuencia como servicio (CaaS). La organización ofrece kits completos de phishing, incluyendo páginas de inicio de sesión altamente realistas para intercambios, plantillas falsificadas de perfiles en redes sociales y contratos inteligentes personalizados, por los cuales los estafadores pagan solo entre el 15 y el 20% de las ganancias robadas como tarifa de servicio. Esta especialización en la división del trabajo reduce significativamente la barrera para cometer delitos, permitiendo que atacantes sin habilidades técnicas complejas puedan lanzar ataques sofisticados.

Las características técnicas de los contratos robados aumentan la dificultad de detección. Los contratos inteligentes utilizados por Eleven Drainer emplean mecanismos de permisos dinámicos, solicitando inicialmente permisos de aprobación de tokens aparentemente inocuos y, posteriormente, mediante llamadas secundarias, obteniendo permisos más amplios para transferir activos. Este ataque progresivo evade la detección estática de software de seguridad tradicional. Según el informe de auditoría de CertiK, aproximadamente el 80% de los contratos de robo logran pasar con éxito las primeras inspecciones de seguridad.

Los puentes entre cadenas se convierten en un nuevo vector de ataque. La táctica más reciente del grupo consiste en dirigirse a usuarios de puentes cross-chain, falsificando páginas de fallo de puente para inducir a los usuarios a autorizar repetidamente, lo que en realidad otorga permisos para transferir todos los activos en la cartera. El 7 de noviembre, un usuario sufrió un ataque de este tipo al usar el puente LayerZero, perdiendo en una sola transacción 420,000 dólares en ETH y tokens ARB.

Impacto en la industria y estado de seguridad

El mercado de servicios de robo ha formado un ecosistema completo. Además de Eleven Drainer, organizaciones como Angel Drainer e Inferno Drainer reclutan clientes a través de canales de Telegram, ofreciendo soporte técnico las 24 horas del día. La empresa de análisis blockchain Chainalysis rastrea que estos servicios generan en promedio 30 millones de dólares en ingresos ilegales mensuales, cuyos fondos terminan en mezcladores como Tornado Cash y en puentes entre cadenas.

Los protocolos DeFi enfrentan una crisis de confianza. Después de que Balancer v2 fuera atacado por 120 millones de dólares el 4 de noviembre, varios protocolos principales suspendieron sus servicios para realizar auditorías de seguridad. Esta reacción en cadena provocó que el valor total bloqueado (TVL) en la cadena de Ethereum disminuyera un 24% en 30 días, alcanzando los 74.256 millones de dólares, su nivel más bajo desde julio. Los incidentes de seguridad y el riesgo sistémico que generan amenazan la supervivencia del ecosistema DeFi.

Las respuestas regulatorias se fortalecen progresivamente. El 8 de noviembre, la Red de Ejecución de Delitos Financieros del Departamento del Tesoro de EE. UU. (FinCEN) publicó nuevas directrices que exigen a los proveedores de servicios de activos virtuales (VASP) reportar transferencias relacionadas con herramientas de robo. Además, la Unión Europea, a través del Reglamento de Resiliencia Operativa Digital (DORA), obliga a los proveedores de servicios de criptomonedas a implementar monitoreo en tiempo real de las transacciones.

Comportamiento del usuario y estrategias de defensa

La manipulación psicológica sigue siendo un elemento central en los ataques. Eleven Drainer suele usar frases como “oferta por tiempo limitado” y “reclamo de airdrops” para crear un sentido de urgencia, induciendo a los usuarios a saltarse las verificaciones de seguridad. Según estadísticas de SlowMist, el 85% de las víctimas afirman que autorizaron transacciones maliciosas impulsadas por el miedo a perderse de algo.

Las prácticas básicas de seguridad ofrecen la mejor protección. Los expertos recomiendan activar la función de “transacción simulada” en las carteras para previsualizar los resultados, usar carteras hardware para almacenar grandes cantidades y crear cuentas separadas para diferentes usos. La función de “detección de transacciones de riesgo” en la última versión de MetaMask ha logrado bloquear con éxito el 70% de los contratos de robo conocidos.

Los mecanismos comunitarios de defensa comienzan a mostrar resultados. El software antivirus Web3 ScamSniffer, que utiliza inteligencia colectiva para identificar sitios de phishing, ha reducido su tiempo de respuesta de 24 horas a 4 horas. Además, plataformas de seguimiento de carteras como DeBank y Zerion han comenzado a integrar análisis de riesgos previos a las transacciones, proporcionando puntuaciones de seguridad para cada operación.

Soluciones tecnológicas y tendencias de desarrollo

La demanda de seguros para contratos inteligentes está en aumento. Protocolos de seguros descentralizados como Nexus Mutual e InsurAce incrementaron en un 300% sus coberturas de robo en octubre, con tasas de primas anuales del 5-8%. Aunque los costos son elevados, los inversores institucionales empiezan a considerar los seguros como un gasto operativo necesario.

La tecnología de pruebas de conocimiento cero (zero-knowledge proofs) ofrece nuevas posibilidades. Sistemas de autenticación basados en zk-SNARKs permiten a los usuarios demostrar la propiedad sin revelar información de la clave pública, eliminando en esencia la superficie de ataque de phishing. Protocolos de privacidad como Aztec y Manta Network están integrando esta tecnología en las capas de cartera, con expectativas de comercialización para 2026.

La innovación en tecnología RegTech (tecnología regulatoria) se acelera. empresas como TRM Labs y Elliptic desarrollan sistemas de reconocimiento de patrones en contratos robados, capaces de marcar direcciones maliciosas en solo 15 minutos tras su despliegue. Aunque esta velocidad no previene el primer ataque, ayuda a frenar la transferencia de fondos maliciosos de manera efectiva.

Conclusión

El auge de Eleven Drainer marca una era en la que las amenazas a la seguridad en criptomonedas se industrializan, con el modelo de ciberdelincuencia como servicio robando activos de los usuarios con una eficiencia sin precedentes. Aunque las medidas técnicas de protección continúan mejorando, la defensa más efectiva sigue siendo la vigilancia del usuario y las prácticas básicas de seguridad. Con la regulación en expansión y las soluciones tecnológicas madurando, se espera que la industria construya un ecosistema de seguridad más sólido. Durante esta transición, los inversores deben considerar los costos de seguridad en su estrategia de inversión, diversificar sus activos, adquirir seguros adecuados y mantenerse informados para participar de manera sostenible en este campo de alto riesgo y alta rentabilidad.