Me han robado la frase semilla o la clave privada: qué hacer ahora mismo
Manual de urgencia para wallets de autocustodia: si aún hay fondos, es una carrera; si ya está vacía, esto es lo que sí puedes hacer (y el segundo timo que debes evitar).
Antes de leer nada más, mira tu wallet y decide en qué casilla estás. Esto es lo que toca hacer en cada una:
| Tu situación | Qué hacer ahora mismo | ¿Revocar permisos sirve? |
|---|---|---|
| A · Todavía queda saldo | Es una carrera. En un dispositivo limpio creas una wallet nueva con una semilla nueva y sacas TODO a esa wallet; la moneda de gas (ETH, BNB, SOL, MATIC…) la última. Da la wallet vieja por quemada para siempre. | No |
| B · Ya está vacía | Una transferencia on-chain confirmada no se deshace. Rastrea la dirección del ladrón, guarda pruebas y denuncia (INCIBE 017 y Policía/Guardia Civil). Si el dinero acabó en un exchange, avísale: es la única vía real de recuperación. | No |
| Los dos casos | No firmes ni ingreses NADA más en la wallet vieja. No reutilices esa semilla jamás. Y no llames a ningún «servicio de recuperación»: ahí viene el segundo timo. | — |
La idea que lo resume todo: si el que tiene tu semilla es un ladrón, revocar permisos no vale para nada, porque con la semilla vuelve a aprobar y a vaciar cuando quiera. La única solución es mover todo a una semilla nueva.
1. Respira y responde una sola pregunta: ¿todavía queda algo en la wallet?
2. Escenario A — aún hay fondos: la carrera contra el bot antes de que te barra la wallet
3. Por qué revocar permisos aquí no sirve de nada (y en qué caso sí serviría)
4. Escenario B — ya te la han vaciado: no se puede deshacer, esto es lo que sí puedes hacer
5. Rastrear al ladrón y denunciar en España: INCIBE 017, la Policía Nacional y el exchange
6. Cómo llegó tu semilla a sus manos: los seis caminos (soporte falso por WhatsApp incluido)
7. El bot barredor y por qué a veces hace falta una RPC privada o Flashbots para rescatar tokens
8. El mito del hardware wallet y la regla que nunca debiste romper: la semilla jamás en digital
9. Bit2Me, Binance y por qué tu cuenta de exchange no tiene frase semilla
10. El segundo timo: los falsos «servicios de recuperación» que piden tu seed o un pago por adelantado
11. Ya a salvo: mover lo rescatado a un exchange y pasar a euros por SEPA
12. Enlaces del clúster de seguridad y envíos
Si acabas de meter tu frase semilla en un sitio que no era, o se la diste a un «soporte» que resultó falso, y notas que tu MetaMask, Trust o Phantom se mueve sola, esta guía es para ti. Primero lo urgente, después el porqué. Y una verdad incómoda de entrada: si tu semilla se ha filtrado, la wallet está quemada para siempre, y la única salida es mudarte a una semilla nueva.

1. Respira y responde una sola pregunta: ¿todavía queda algo en la wallet?
Son las tres de la mañana, tienes el móvil en la mano y el corazón a mil porque acabas de caer: metiste las doce (o veinticuatro) palabras en una web que no era, o se las dictaste a un «soporte» de Telegram tan amable como falso. Respira. El pánico hace que la gente toque botones que no debe, y aquí cada minuto cuenta pero cada error cuesta el doble.
Solo tienes que responder una pregunta para saber por dónde tirar: ¿todavía queda algo en la wallet o ya está a cero? Abre el explorador de bloques (Etherscan para Ethereum, Solscan para Solana, BscScan para BNB Chain) o mira el saldo desde una app que no tenga tu semilla cargada, y comprueba el balance real.
Un matiz que a mucha gente le salva el disgusto
Si tu cuenta afectada es de un exchange (Binance, Bit2Me, Coinbase…) y no de una wallet propia, esto no va contigo del todo: esas cuentas no tienen frase semilla, las claves las custodia la plataforma. Lo explico entero más abajo, pero si nunca apuntaste doce palabras al abrir la cuenta, entonces lo tuyo probablemente sea un acceso no autorizado a un exchange, y la solución es contactar con su soporte y cambiar credenciales, no todo este protocolo.
Esta guía es para wallets de autocustodia: MetaMask, Trust Wallet, Phantom, o un hardware wallet (Ledger, Trezor) cuya semilla se ha filtrado.
2. Escenario A — aún hay fondos: la carrera contra el bot antes de que te barra la wallet
Estás en el caso bueno dentro de lo malo: el ladrón todavía no ha llegado, o le queda algo por llevarse. A partir de aquí compites contra un programa automático que vigila las wallets robadas y barre lo que entre. No improvises: sigue el orden.
Paso a paso, sin saltarte ninguno
- Coge otro dispositivo, limpio. Si sospechas malware en el móvil o el ordenador donde pasó todo, no lo uses. Otro teléfono, la tableta de casa, un portátil que no toques a diario. La semilla nueva no puede nacer en un equipo posiblemente infectado.
- Crea una wallet totalmente nueva y deja que genere una semilla nueva. Apúntala en papel, nunca en el móvil. Esa es tu caja fuerte a partir de ahora.
- Prioriza qué sacar primero. Lo de más valor y más líquido: stablecoins (USDT, USDC), luego el resto de tokens, y por último NFTs si los hay.
- La moneda de gas, la ÚLTIMA. El ETH, BNB, SOL o MATIC que pagan las comisiones se quedan para el final. Necesitas ese gas para poder mover los tokens; si lo sacas antes, te quedas sin combustible para el rescate.
- Manda todo a tu wallet nueva. No a un exchange todavía (los depósitos a veces tardan y quieres velocidad). Primero a tu semilla nueva, que está bajo tu control inmediato.
Cuando la wallet vieja quede a cero, olvídala del todo. No la uses «para calderilla», no recibas ahí un reembolso, no la enlaces a ninguna dApp. Está quemada de por vida porque el ladrón tiene la llave maestra.
3. Por qué revocar permisos aquí no sirve de nada (y en qué caso sí serviría)
Aquí es donde media internet da el consejo equivocado. «Que te vacían la wallet, corre a revocar permisos.» Suena lógico, y en un caso concreto es exactamente lo que hay que hacer. Pero en el tuyo, si la que se ha filtrado es la semilla o la clave privada, revocar no arregla absolutamente nada.
La diferencia está en qué tiene el atacante en la mano:
| Qué firmaste / qué se filtró | Qué controla el atacante | Solución correcta |
|---|---|---|
| Una aprobación maliciosa (approve, Permit2, setApprovalForAll) | Solo el permiso para gastar un token concreto de tu wallet | Revocar esa aprobación corta el grifo y sigues con la misma wallet |
| La frase semilla o la clave privada | La wallet entera, para siempre: puede volver a aprobar y vaciar desde cualquier dirección | Solo sirve mover todo a una semilla nueva; revocar es inútil |
Piénsalo así: una aprobación es como haberle dado a alguien una copia de la llave del buzón. Le quitas la copia (revocas) y ya está. Pero si le has dado la llave de tu casa y encima el plano, cambiar la cerradura del buzón no impide que entre por la puerta, haga otra copia y vuelva. Con la semilla el ladrón puede firmar nuevas aprobaciones él mismo cuando le dé la gana. Por eso mudarte de casa (semilla nueva) es lo único que funciona.
Si tu caso en realidad es el otro (firmaste una aprobación turbia pero nunca diste tus palabras), entonces sí, la guía que necesitas es esta: cómo revocar aprobaciones de tokens.
4. Escenario B — ya te la han vaciado: no se puede deshacer, esto es lo que sí puedes hacer
Si al mirar el explorador ya está todo a cero, tengo que ser honesto contigo: una transferencia on-chain confirmada no se puede deshacer. No existe un botón de «cancelar», ni un banco central de las cripto que revierta el movimiento, ni un truco para «deshackear» lo que ya salió. Cualquiera que te prometa lo contrario te está preparando el segundo golpe.
Dicho esto, sentarte a llorar tampoco es la opción. Esto es lo que sí está en tu mano y que además importa por si el dinero reaparece:
- Captura todo antes de que cambie. Pantallazos del explorador con los hashes de las transacciones del robo, la dirección del ladrón, fecha y hora, y las cantidades. Esto es tu expediente.
- Anota la dirección del drenador (la que recibió tus fondos). La vas a rastrear y la vas a dar en la denuncia.
- Si el dinero tocó un exchange, muévete rápido. Cuando el rastro termina en una dirección de depósito de una plataforma con verificación de identidad, ahí hay una persona detrás. Es la única vía realista de bloqueo, y depende de la velocidad.
- Asume el corte y protégete hacia delante. Cambia contraseñas, revisa qué otras wallets tenías con esa misma semilla (si compartían semilla, todas están comprometidas) y monta de cero con una semilla limpia.
5. Rastrear al ladrón y denunciar en España: INCIBE 017, la Policía Nacional y el exchange
Rastrear no es de peritos informáticos con gafas de película: pega la dirección del ladrón en el explorador y sigue el hilo. Verás a dónde movió los fondos. Muchas veces el rastro pasa por un mezclador o salta de cadena, y ahí se pierde. Pero si en algún punto entra en una dirección de depósito de un exchange con KYC, esa pista vale oro, porque esa cuenta tiene un dueño identificado.
Cómo denunciar en España
España tiene canales concretos, y conviene usarlos todos:
| Canal | Para qué sirve |
|---|---|
| INCIBE · 017 (línea de ayuda en ciberseguridad) | Orientación gratuita y confidencial sobre qué hacer y cómo reunir pruebas. También por WhatsApp al 900 116 117. |
| Policía Nacional / Guardia Civil | Interponer denuncia formal por estafa/robo. Lleva tu expediente (hashes, direcciones, capturas). Sin denuncia no hay caso. |
| El exchange implicado | Si el rastro acaba en su plataforma, su equipo de cumplimiento puede congelar la cuenta destino a petición de la policía. Escríbeles con el número de denuncia. |
Si vives en Latinoamérica, busca la unidad de delitos informáticos de tu policía (en Brasil, la Delegacia de Crimes Cibernéticos y el Boletim de Ocorrência; en México, la Guardia Nacional / Policía Cibernética) y, para casos con conexión internacional, el IC3 del FBI recoge denuncias globales.
6. Cómo llegó tu semilla a sus manos: los seis caminos (soporte falso por WhatsApp incluido)
Entender cómo llegó tu semilla a manos ajenas no cambia el presente, pero evita que te vuelva a pasar con la wallet nueva. En la práctica casi todo cae en seis caminos:
| Camino | Cómo cae la gente |
|---|---|
| Web de phishing | Un enlace clonado de MetaMask o Trust te pide «importar» la wallet y escribes las palabras en un formulario falso. |
| Soporte falso por WhatsApp/Telegram | Alguien se hace pasar por el equipo oficial, te «ayuda» con un problema y acaba pidiéndote la frase para «verificar». Ningún soporte real la pide jamás. |
| Malware y secuestro del portapapeles | Un programa (a veces disfrazado de bot de trading o «unlocker») roba archivos o cambia la dirección que copias por la del atacante, con los mismos caracteres al principio y al final. |
| Foto o captura de la semilla en la nube | Fotografiaste las palabras «para no perderlas» y la copia de seguridad automática del móvil las subió a la nube, donde se filtraron. |
| App de wallet o airdrop falsa | Instalas una app de una tienda no oficial o reclamas un airdrop que resulta ser una wallet trampa que recoge tu semilla. |
| Firmar una transacción maliciosa | Conectaste la wallet a una dApp fraudulenta y firmaste un permiso (setApprovalForAll, Permit2) que le dio control sobre tus activos. |
Los dos primeros caminos (web falsa y firma maliciosa) se solapan con las estafas cripto más habituales, que conviene repasar para reconocerlas antes de picar.
7. El bot barredor y por qué a veces hace falta una RPC privada o Flashbots para rescatar tokens
Vuelvo al Escenario A, porque aquí está la parte técnica que separa un rescate exitoso de uno fallido. Cuando una wallet queda expuesta, los ladrones no vigilan a mano: montan un bot barredor (sweeper) que observa esa dirección las 24 horas. En cuanto entra cualquier moneda de gas, el bot la barre en el mismo bloque, adelantándose a ti. Por eso a mucha gente le falla el rescate manual: mandan ETH para pagar la comisión de sacar sus tokens y el bot se lo lleva antes de que puedan firmar.
Cuándo hace falta artillería: RPC privada o Flashbots
El problema típico es un token atrapado: vale dinero, pero para moverlo hay que pagar gas, y en cuanto metes gas te lo roban. La salida es no pasar por el «mempool» público donde el bot mira. Ahí entran las herramientas tipo Flashbots o un rescate con RPC privada: una transacción patrocinadora paga el gas y, en el mismo bloque, otra saca el token, como un paquete que el bot no puede interceptar.
Para pequeñas cantidades, muchas veces la respuesta honesta es que no compensa: el gas y las comisiones se comen lo rescatado. Duele, pero es mejor saberlo que gastar más persiguiéndolo.
8. El mito del hardware wallet y la regla que nunca debiste romper: la semilla jamás en digital
«Pero si yo tengo un Ledger, se supone que soy inhackeable.» Es la frase que más veces he oído justo después de un robo. Un hardware wallet protege de maravilla mientras la semilla viva dentro del aparato y las transacciones se firmen ahí. El aparato no salva de un error humano concreto: haber tecleado la semilla en una pantalla.
Si en algún momento escribiste las palabras en una web, en una app, en una nota del móvil o se las dijiste a alguien, ese Ledger o Trezor ya no protege nada. La semilla salió del hardware, y quien la tenga puede reconstruir la wallet en su propio dispositivo sin tocar el tuyo. El cacharro sigue funcionando, pero la caja fuerte ya tiene copia de la combinación.
Si vas a estrenar hardware wallet con lo que rescates, cómpralo del fabricante o de un distribuidor oficial, y genera tú la semilla en el propio dispositivo. Una semilla que venga «ya apuntada» en el paquete es una trampa. Para montar la wallet nueva con cabeza, esta guía de monederos de criptomonedas te viene bien.
9. Bit2Me, Binance y por qué tu cuenta de exchange no tiene frase semilla
Conviene aclarar esto porque salva de sustos innecesarios. En España mucha gente entra a las cripto por Bit2Me (plataforma local, con pasarela a euros por SEPA) o por Binance, y da por hecho que su cuenta ahí «tiene una semilla». No la tiene.
Cuando compras en un exchange, la plataforma custodia las claves por ti. Tú entras con usuario, contraseña y 2FA, como en el banco. No hay doce palabras que puedas filtrar porque nunca las tuviste. Por eso «me han vaciado la cuenta de Bit2Me» y «me han filtrado la semilla de mi MetaMask» son dos incidentes distintos:
- Cuenta de exchange comprometida → cambia la contraseña, activa/renueva el 2FA, contacta con su soporte y, si hay robo, denuncia. La plataforma puede congelar y a veces ayudar. No hay semilla de por medio.
- Semilla de wallet propia filtrada → todo este manual. Nadie puede congelar tu wallet ni revertir el envío, porque la controlas tú (y ahora también el ladrón).
Si tu lío en realidad es un depósito que no aparece o salió por la red equivocada, eso tiene arreglo y no es un robo: mira depósito que no se acredita y enviar cripto por la red equivocada.
10. El segundo timo: los falsos «servicios de recuperación» que piden tu seed o un pago por adelantado
Este apartado quizá sea el más importante de todos, porque es donde la gente ya golpeada recibe el segundo puñetazo. A las pocas horas del robo, casi con relojería, aparecen mensajes de «expertos en recuperación de criptomonedas», «hackers éticos» o «unidades de fraude» que juran devolverte lo perdido.
Son, sin excepción, un segundo timo. Dos señales lo delatan siempre:
• Te piden la frase semilla o la clave privada «para trabajar en la recuperación». Con eso vacían lo que te quede.
• Te piden un pago por adelantado, una «tasa», un «depósito de garantía» o «gastos de gas». Pagas y desaparecen.
• Te contactan ellos a ti (por Telegram, WhatsApp, comentarios) prometiendo resultados «garantizados». Nadie serio garantiza recuperar cripto robada.
Tanto el FBI como organismos europeos han avisado de esta segunda ola: perfiles que se hacen pasar por firmas de recuperación e incluso por agentes públicos. En España, INCIBE y la OSI publican alertas recurrentes sobre estos falsos «servicios de recuperación» que operan en español.
La regla es simple: nadie legítimo te pedirá nunca tu semilla, y nadie legítimo te cobrará por adelantado con la recuperación garantizada. La única gente con la que hablas de esto es INCIBE (017), la policía y, en su caso, el exchange por vías oficiales. Todo lo demás, bloquear y reportar.
11. Ya a salvo: mover lo rescatado a un exchange y pasar a euros por SEPA
Si estabas en el Escenario A y lograste sacar los fondos a tu wallet nueva, respira de verdad: ya están bajo tu control. Ahora decides si los dejas en autocustodia bien protegida o los pasas a euros.
El camino para cobrar en España
- Desde tu wallet nueva (semilla limpia, dispositivo limpio) envías los activos a un exchange donde tengas cuenta verificada.
- En el exchange los conviertes a euros.
- Retiras a tu banco por SEPA. Bit2Me es la opción local española más directa para pasar a euros; Binance también permite operar en euros con métodos habituales.
Manda primero una cantidad pequeña de prueba, verifica que llega bien y luego el resto. Y si dudas de la red o el activo al enviar, repasa antes enviar por la red equivocada para no sumar otro susto.
Binance
Bybit
OKX
Divulgación de afiliados: algunos enlaces son de socios. Podemos ganar una comisión sin coste adicional para ti. Esto no es asesoramiento de inversión.
Si prefieres no cobrar y quedarte en cripto, guárdalo en la wallet nueva con la disciplina de siempre: semilla en papel, hardware wallet si el importe lo justifica, y nada de conectar a dApps que no conozcas. Para elegir plataforma con criterio, aquí tienes los mejores exchanges.
12. Enlaces del clúster de seguridad y envíos
Este artículo forma parte del clúster de seguridad de wallets y envíos. Si has llegado hasta aquí en modo urgencia, guarda estos enlaces para después, con la cabeza más fría:
- Cómo revocar aprobaciones de tokens — para el otro caso: firmaste un permiso pero tu semilla sigue a salvo.
- Monederos de criptomonedas — montar bien la wallet nueva y guardar la semilla como toca.
- Estafas cripto — reconocer phishing, soporte falso y airdrops trampa antes de picar.
- Depósito que no se acredita — si el dinero no aparece pero no es un robo.
- Enviar por la red equivocada — cuando el fallo es de red y no de seguridad.
- Por qué mi retiro sigue pendiente — retiros que no salen del exchange.
- Cómo empezar con criptomonedas — bases para reconstruir con seguridad.







