CryptoBase — Tutorial de registro y uso de Binance
ZH EN ES FR JA KO TW
Seguridad de wallets

Cómo prevenir firmas maliciosas - Guía de seguridad de firmas en billeteras

· 6 min de lectura
Guía detallada sobre tipos de firmas en billeteras cripto, cómo identificar solicitudes maliciosas y proteger tus activos del robo.

En el mundo Web3, "firmar" es una operación básica para interactuar con DApps. Iniciar sesión, reclamar airdrops y comerciar NFTs requieren firmas. Pero no todas las solicitudes de firma son seguras — las firmas maliciosas se han convertido en uno de los principales métodos de robo de criptoactivos en 2024-2025.

Tipos de firmas en billeteras

1. personal_sign: Verificación de inicio de sesión en DApp. Riesgo bajo.

2. eth_signTypedData: Autorización off-chain, firma de órdenes. Riesgo medio-alto, puede usarse para autorizaciones Permit.

3. eth_sign: Firma de datos arbitrarios. Riesgo extremadamente alto, conocido como "firma ciega."

4. eth_sendTransaction: Envío de transacciones on-chain. Riesgo variable según contenido.

¿Cómo roban activos las firmas maliciosas?

Ataque Permit: El estándar EIP-2612 permite autorizaciones off-chain. El atacante te engaña para firmar un Permit y luego transfiere tus tokens on-chain.

Ataque Seaport: Construyen solicitudes para vender todos tus NFTs a precios ridículos.

Ataque eth_sign: Te hacen firmar datos hexadecimales ilegibles que transfieren todos tus activos.

Ataque setApprovalForAll: Te engañan para aprobar todos tus NFTs a un contrato malicioso.

Interfaz de billetera cripto

¿Cómo identificar solicitudes maliciosas?

  • Verifica el tipo: Si MetaMask muestra eth_sign, rechaza inmediatamente
  • Lee el contenido: Busca palabras clave como Permit, approval, setApprovalForAll
  • Verifica el origen: Confirma que viene de la DApp legítima
  • Revisa montos y direcciones: Verifica que sean razonables
  • Usa herramientas de simulación: Pocket Universe, Fire, Blowfish

Operación móvil

Escenarios comunes de firmas maliciosas

  1. Páginas falsas de reclamo de airdrop
  2. Páginas falsas de mint de NFT
  3. Enlaces phishing en Discord/Twitter
  4. Frontends falsos de DApps conocidas
  5. Ataques de ingeniería social

Consejos de seguridad

  1. Lee cada solicitud de firma cuidadosamente
  2. Instala plugins de simulación de transacciones
  3. Mantén eth_sign desactivado en MetaMask
  4. Accede a DApps desde marcadores oficiales
  5. Usa billetera separada para experimentar
  6. Ante la duda, rechaza

Mantén activos grandes en un entorno seguro. Regístrate en Binance o descarga la App de Binance (iOS: guía de instalación).

¿Cuál es la diferencia entre firma y transacción?

La firma es off-chain sin gas. La transacción es on-chain con gas. Pero las firmas pueden usarse para ejecutar transacciones.

¿Puedo revocar una firma maliciosa?

Para firmas Permit aún no usadas, puedes emitir una nueva con autorización en 0. Pero la ventana de tiempo es muy corta.

¿Las hardware wallets previenen firmas maliciosas?

Añaden una capa extra, pero si confirmas sin leer, tampoco protegen.

¿Qué plugins detectan firmas maliciosas?

Pocket Universe, Fire, ScamSniffer, Blowfish Protect.

Artículos relacionados

Qué es el envenenamiento de direcciones – Cómo funciona este ataque y cómo protegerse 2026-03-28 Cómo almacenar claves privadas de forma segura – Plan completo de almacenamiento seguro 2026-03-28 Qué es el secuestro del portapapeles – Ataques al portapapeles en criptomonedas y cómo prevenirlos 2026-03-28 ¿Vale la pena el respaldo en acero de frases semilla? - Guía completa de compra y evaluación 2026-03-28