Ataque de código de verificación y pánico de retiro: Cuando los SMS de fraude se unen para atacar su cuenta

PrincipianteÚltima actualización July 2, 2026
Verification Code Bombing & Withdrawal Panic: When Scam SMS Join Forces to Attack Your Account
¿Alguna vez has recibido múltiples mensajes de texto con un "código de verificación" de un "exchange", afirmando que estás cambiando tu número de teléfono u otros ajustes de seguridad, cuando nunca iniciaste ninguna acción así? Es poco probable que se trate de un simple error del sistema. En muchos casos, podría ser parte de una estafa coordinada y en varias etapas diseñada para generar pánico y empujar a los usuarios a tomar acciones inseguras.
 
Este artículo utiliza casos reales de usuarios de KuCoin para desglosar cómo los estafadores utilizan el "bombardeo de códigos de verificación" para generar pánico, seguido de estafas secundarias mediante "soporte al cliente falso" o "enlaces falsos de cancelación de retiro", robando finalmente su cuenta y activos.

📱 Estudio de caso: Una estafa cuidadosamente orquestada mediante cadena de SMS

El siguiente caso integra informes de múltiples usuarios de KuCoin. Los estafadores utilizan una serie de mensajes de texto aparentemente independientes para atraer gradualmente a las víctimas a su trampa.
 
  • Varios usuarios informaron haber recibido una serie densa de mensajes SMS con códigos de verificación que afirmaban ser de KuCoin, todos relacionados con acciones sensibles como "cambios de número de teléfono", pero ninguno de los usuarios había iniciado dichas solicitudes.
  • Creando pánico de retiro: Generar urgencia al afirmar que "alguien está retirando tus fondos", presionando a los usuarios para que hagan clic en el enlace "Cancelar".
 

🎭 Profundización en el fraude: Una obra en tres actos desde el pánico hasta la condición de víctima

Este tipo de estafa no es un solo SMS de phishing, sino una táctica interconectada de guerra psicológica.
 
Fase de estafa Método y mecanismo Reacciones comunes de las víctimas
Etapa uno: El bombardeo de códigos de verificación genera ansiedad Los estafadores utilizan scripts automatizados para enviar una avalancha de mensajes SMS de verificación de "cambios en la configuración de seguridad" a tu número de teléfono. Estos mensajes tienen un formato muy convincente, diseñado para provocarte pánico con la idea de que "alguien ya ha comprometido mi cuenta". Los usuarios se vuelven ansiosos después de recibir múltiples mensajes de código de verificación, preocupados de que su cuenta esté siendo comprometida.
Etapa dos: La advertencia de retiro falso crea urgencia Mientras estás en un estado de pánico, llega convenientemente otro SMS sobre un "retiro en progreso". Los estafadores explotan tu miedo a perder fondos, dirigiéndote a hacer clic en el enlace "Cancelar" del mensaje. Los usuarios, desesperados por detener la "retirada", hacen clic en el enlace del SMS o llaman al número de teléfono proporcionado con prisa.
Etapa tres: El sitio de phishing roba credenciales y activos Después de hacer clic en el enlace, los usuarios son redirigidos a un sitio web de phishing que se parece casi idénticamente a la página de inicio de sesión oficial de KuCoin. Después de ingresar su nombre de usuario, contraseña e incluso códigos de autenticación de dos factores, su cuenta se ve comprometida. Los usuarios que llaman al número de estafa son engañados para revelar códigos de verificación o información de seguridad. Después de ingresar toda la información de seguridad en la página de inicio de sesión falsa, los estafadores la utilizan inmediatamente para iniciar sesión en la cuenta real y transferir los activos.

🔍 Técnicas clave de identificación: Cómo detectar mensajes de texto fraudulentos de un vistazo

Aprender a distinguir entre mensajes SMS oficiales y de estafa es tu primera línea de defensa.
 
Checkpoint Características oficiales (auténticas) Características de estafa (falsa)
Número del remitente Generalmente desde un shortcode oficial fijo (por ejemplo, 88888), rara vez cambia. Puede provenir de un número móvil normal o de un shortcode que no coincida con los anuncios oficiales.
Dominio (Enlace) Siempre el dominio oficial, como www.kucoin.com. Utiliza dominios variantes altamente similares, como kucoin.so, kucoin-support.com, support-kucoin.com, kucoin-security.com.
Contenido del mensaje Solo proporciona el código de verificación; no pide a los usuarios que hagan clic en enlaces para tomar medidas (por ejemplo, "cancelar retiro"), ni proporciona un número de teléfono al que llamar. Contiene llamados a la acción urgentes ("Si no cancela inmediatamente, sus fondos serán transferidos") y proporciona enlaces o números de teléfono.
Volumen de código de verificación Envía un solo código de verificación por SMS cuando inicies activamente una acción. Envía una serie densa de códigos de verificación en un corto período de tiempo, incluso cuando el usuario no ha iniciado ninguna acción.
⚠️ Nota especial: El SMS de notificación de retiro genuino de KuCoin solo le informará que un retiro ha sido "iniciado" y no proporcionará un enlace "para cancelar". Todas las acciones de "cancelar retiro" deben completarse dentro del sitio web o la aplicación oficial.

🛡️ Estrategia de defensa principal: La calma es tu mejor arma contra estafas impulsadas por el pánico

Lo que más temen los estafadores es un usuario que pueda mantener la calma y verificar de forma racional.

Estrategia Uno: Establecer una regla de "Nunca hagas clic en enlaces por SMS"

  • Regla fundamental: Nunca haga clic en ningún enlace proporcionado en mensajes de texto, sin importar cuán urgente o convincente parezca.
  • Práctica correcta: Si tienes alguna duda, escribe manualmente la URL oficial (como www.kucoin.com) en tu navegador o abre la aplicación oficial para verificar. Nunca confíes en los enlaces de mensajes de SMS.

Estrategia dos: Los códigos de verificación son "ingresar únicamente, nunca compartir, nunca actuar a través de enlaces"

  • Regla fundamental: Los códigos de verificación son para verificación cuando inicies activamente una acción en una plataforma oficial, no para "cancelar" o "detener" ningún evento.
  • Prácticas correctas:
    • Si recibes un código de verificación sin haber iniciado ninguna acción, no lo ingreses ni lo compartas en ningún lugar. Podría indicar que alguien está intentando activar un inicio de sesión, restablecimiento de contraseña, cambio en la configuración de seguridad u otra acción sensible.
    • Nunca compartas tu código de verificación con nadie, incluidos aquellos que afirmen ser soporte al cliente.
    • Nunca ingrese su código de verificación en ningún sitio web o aplicación no oficial.

Estrategia tres: Habilita todas las funciones de seguridad avanzadas

  • Código antiphishing: Active la función "código antiphishing" de KuCoin. Cada correo electrónico oficial contendrá a partir de entonces su código único, ayudándole a distinguir comunicaciones auténticas de falsas.
  • Lista blanca de direcciones de retirada: Una vez habilitada, las retiradas solo pueden enviarse a direcciones preestablecidas, lo que puede reducir significativamente el riesgo de que los fondos se envíen a direcciones desconocidas incluso si su cuenta se ve comprometida.
  • Clave de seguridad de hardware o Google Authenticator: Active la autenticación de dos factores para evitar depender de códigos de verificación por SMS (debido a riesgos de intercambio de SIM).

Estrategia cuatro: Procedimiento estándar al encontrarse con situaciones sospechosas

  1. Mantén la calma, no actúes apresuradamente: los estafadores aprovechan tu pánico. La calma es tu mayor ventaja.
  2. Verifica a través de canales oficiales: Abre la aplicación oficial de KuCoin o escribe manualmente la URL oficial para revisar el estado de tu cuenta y los anuncios más recientes.
  3. Verifica el dominio: Si ya hiciste clic en un enlace, revisa inmediatamente la barra de direcciones del navegador para confirmar que es el dominio oficial.
  4. Cambiar contraseña y revocar autorizaciones: Si sospecha que su información ha sido comprometida, cambie inmediatamente su contraseña, revoque las autorizaciones de API y póngase en contacto con el soporte al cliente oficial.

🚨 Si has hecho clic en el enlace o comprometiste información

Situación Pasos de respuesta de emergencia
Hizo clic en el enlace malicioso pero no ingresó ninguna información 1. Cierre la página web inmediatamente y no realice ninguna acción.
2. Borra la caché y las cookies del navegador.
3. Cambie la contraseña de su cuenta de KuCoin y revoque todas las autorizaciones de API.
4. Habilita la autenticación de dos factores (si aún no está habilitada).
Ingresó el nombre de usuario/contraseña o el código de verificación en el sitio de phishing 1. Inicia sesión inmediatamente en el sitio web oficial de KuCoin (escribe manualmente la URL) y cambia tu contraseña.
2. Revoca inmediatamente todas las autorizaciones de API.
3. Verifique y congele la lista blanca de direcciones de retirada para asegurar que no se hayan añadido direcciones desconocidas.
4. Contacta al soporte oficial de KuCoin para informar sobre una posible compromisión de tu cuenta.
5. Transfiere activos a un monedero seguro o activa el congelamiento de la cuenta (si la plataforma ofrece esta función).
Los activos ya han sido transferidos 1. Conserva toda la evidencia: Toma una captura de pantalla del SMS de estafa, el hash de la transacción (TxID) y la dirección del estafador.
2. Presente una denuncia policial inmediatamente: Lleve todas las pruebas a las autoridades locales.
3. Contacta al equipo oficial de KuCoin: Notifica al equipo de seguridad con la información relevante para ayudar en la investigación.

💎 Conclusión: El pánico es el catalizador de las estafas; la calma es el escudo de la seguridad

El éxito de este tipo de estafa por SMS nunca ha dependido de la sofisticación técnica de los estafadores, sino de su manipulación precisa de sus emociones. Cuando una avalancha de mensajes SMS de códigos de verificación y advertencias de retiro llega simultáneamente, cualquiera podría sentirse en pánico.
 
Recuerda este principio fundamental:
 
Una crisis real nunca te pedirá que la resuelvas a través de un enlace por SMS. Una plataforma real nunca usará el pánico para impulsar tus acciones.
Antes de hacer clic en cualquier enlace, respira profundamente y pregúntate tres preguntas:
  1. ¿Inicié yo esta acción?
  2. ¿Es este dominio del enlace el dominio oficial?
  3. Si esto fuera real, ¿qué mostraría en la aplicación/sitio web oficial?
Desarrolla el hábito de "verificar primero, actuar después", y podrás identificar fácilmente esta estafa impulsada por el pánico.

Disclaimer: The information on this page may come from third parties and does not necessarily reflect KuCoin’s views. It is provided for general reference only and should not be interpreted as financial or investment advice.

Virtual asset investments may involve risk. Please carefully assess the product risks and your own risk tolerance. For more information, please refer to our Terms of Use and Risk Disclosure.