Los riesgos ocultos de los token approvals — lo que todo usuario de DeFi debe saber en 2026

1. La anatomía de la autorización: cómo funcionan realmente los token approvals

La economía descentralizada depende de que los smart contracts interactúen con los activos en poder de los usuarios. Pero la Ethereum Virtual Machine (EVM) impone una separación estricta entre las cuentas de usuario (Externally Owned Accounts, o EOAs) y las cuentas de contratos. Para que un protocolo — un exchange descentralizado, una plataforma de préstamos, un agregador de rendimiento — pueda mover tus tokens, primero debe recibir un permiso explícito mediante la función approve.

Este diseño es una característica, no un error. Garantiza que ningún contrato pueda acceder unilateralmente a tus fondos. El problema es lo que sucede después de que otorgas ese permiso — y cuán amplio es el permiso que das.

ERC-20: el problema de la aprobación “ilimitada”

En el mundo de los tokens fungibles (ERC-20), la función approve(spender, amount) te permite especificar un límite numérico de gasto. En teoría, podrías aprobar a un DEX para gastar exactamente 100 USDC en un solo swap. En la práctica, la mayoría de las aplicaciones descentralizadas solicitan por defecto aprobaciones “ilimitadas” — estableciendo el monto en 2²⁵⁶−1, el entero máximo posible. Esto se hace para minimizar los costos de gas y la fricción: en lugar de requerir una nueva transacción de aprobación para cada swap, una sola aprobación ilimitada otorga al contrato derechos permanentes para drenar todo tu saldo actual y futuro de ese token específico.

La conveniencia es real. El riesgo es que esta aprobación nunca expira. Si ese contrato es comprometido posteriormente — ya sea por un bug, un exploit de actualización o una acción de gobernanza maliciosa — cada usuario que alguna vez le otorgó una aprobación ilimitada queda expuesto.

ERC-721 y ERC-1155: acceso binario a colecciones completas

En el sector de los NFTs, el perfil de riesgo es aún más severo. La función setApprovalForAll(operator, bool) en los estándares ERC-721 y ERC-1155 no es cuantitativa — es binaria. Una vez otorgada, un “operador” (típicamente un contrato de marketplace) puede transferir cada token dentro de esa dirección de contrato específica que esté actualmente en tu wallet, así como cualquier token que adquieras posteriormente. No hay granularidad por token. Es todo o nada.

ERC-2612: la aprobación “sigilosa”

La introducción de EIP-2612 y la función permit agregó una capa peligrosa de abstracción. Este estándar permite a los usuarios firmar un mensaje off-chain que incluye los parámetros de aprobación y una fecha límite. Un tercero puede luego enviar esta firma a la blockchain, pagando el gas en nombre del usuario. Si bien esto permite un onboarding “sin gas” y una mejor experiencia de usuario, crea un vector de aprobación sigilosa: la aprobación no aparece en tus transacciones pendientes on-chain hasta el momento de la explotación. Firmas lo que parece un mensaje inofensivo, y un actor malicioso lo envía después para drenar tu wallet.

La evolución de estos estándares fue impulsada por el deseo de reducir la “fricción de UX.” La consecuencia no intencionada ha sido una sobreautorización sistémica. Para 2026, el valor acumulado de “aprobaciones latentes” — el monto total de capital que podría ser movido por contratos de terceros en todo el ecosistema EVM — se estima que es órdenes de magnitud superior al TVL líquido real de DeFi.

2. El panorama de amenazas 2025–2026: abuso de autorizaciones en números

El año 2025 y los primeros meses de 2026 fueron testigos de un cambio definitivo en las tácticas cibercriminales. En lugar de buscar bugs complejos de reentrancy o vulnerabilidades de flash loans, los atacantes pivotaron hacia la “Capa de Autorización” — las aprobaciones dormidas en millones de wallets. Las estafas de suplantación de identidad tuvieron un crecimiento interanual del 1,400%. El fraude habilitado por IA aumentó un 89%. La escala total de las pérdidas fue asombrosa.

En enero de 2026, la tendencia se intensificó. CertiK reportó que de los $370.3 millones perdidos en enero de 2026, aproximadamente $311.3 millones (84%) estaban vinculados al phishing — incluyendo un solo incidente de ingeniería social que totalizó $284 millones.

Address poisoning: el aumento del 15,000%

El address poisoning ha surgido como una forma particularmente insidiosa de riesgo adyacente a las aprobaciones. Los atacantes usan bots para monitorear wallets de alto volumen y luego envían una transacción de “dust” — una cantidad insignificante de tokens — desde una dirección que ha sido generada programáticamente para verse casi idéntica a la dirección de la víctima o de un contacto frecuente.

El exploit psicológico se basa en el hecho de que muchas interfaces de wallets truncan las direcciones, mostrando solo los primeros y últimos cuatro caracteres. Cuando un usuario copia una dirección de su historial de transacciones para una nueva transferencia, inadvertidamente copia la dirección similar del atacante. El 31 de enero de 2026, una sola víctima perdió 4,556 ETH (aproximadamente $12.25 millones) exactamente mediante este método. El historial de transacciones — algo en lo que los usuarios confían implícitamente — se convirtió en el vector de ataque.

3. Caso de estudio: el robo de $282 millones a una hardware wallet

El ejemplo más ilustrativo de las limitaciones de las prácticas de seguridad modernas ocurrió el 10 de enero de 2026. Un usuario de hardware wallet perdió aproximadamente $282 millones en BTC y LTC. A pesar de que los fondos estaban en cold storage — el estándar de oro de la autocustodia — el atacante logró manipular al usuario para que firmara una serie de autorizaciones.

Este incidente destruyó un mito generalizado: que las hardware wallets son una defensa absoluta contra el robo basado en aprobaciones. Como señalaron los investigadores de seguridad, el cold storage protege las claves privadas “en reposo”, pero no brinda protección para los usuarios “bajo presión” que son engañados para proporcionar firmas legítimas con fines maliciosos. El dispositivo ejecutó fielmente las instrucciones que recibió. La vulnerabilidad era el humano que lo sostenía.

4. Phishing-as-a-Service: la industrialización del robo de aprobaciones

La eficiencia del robo basado en aprobaciones en 2026 no es obra de hackers solitarios. Está impulsada por una cadena de suministro madura de software malicioso. Grupos como “Smishing Triad” aprovechan plataformas como “Lighthouse”, un proveedor en idioma chino que ofrece “phishing para principiantes” — completo con cientos de plantillas para sitios web falsos, registro automatizado de dominios y herramientas de evasión que pueden eludir filtros avanzados del navegador.

La superficie de ataque móvil

Los atacantes han pivotado hacia los dispositivos móviles como un punto único de fallo. Los paquetes de malware modernos ahora incluyen herramientas diseñadas específicamente para cosechar aprobaciones y claves:

• Memory scrapers: Programas que escanean la RAM del dispositivo en busca de claves privadas o frases de recuperación sin cifrar durante la inicialización de la wallet.
• Clipboard hijackers: Malware que monitorea el portapapeles del sistema y reemplaza una dirección de destino copiada con una dirección similar controlada por el atacante — a menudo utilizado en conjunto con address poisoning.
• Keyloggers: Malware de vigilancia tradicional adaptado para teclados móviles, enfocado en PINs y contraseñas utilizados para desbloquear hot wallets.

Una vez que se obtiene una aprobación, la red de “compradores” facilita el lavado de dinero mediante la compra de bienes de lujo o NFTs de alta liquidez que luego se revenden para ofuscar la huella digital. Toda la cadena — desde el phishing hasta el lavado — es profesional, compartimentada y disponible para alquiler.

5. Cuando los protocolos fallan: cómo las aprobaciones existentes se convierten en armas

Quizás el riesgo más contraintuitivo de los token approvals es este: incluso si tú haces todo bien, el protocolo en el que confiaste podría no hacerlo. Varios incidentes de alto perfil en 2025–2026 demostraron que las aprobaciones existentes pueden ser “armadas” a través de vulnerabilidades a nivel de protocolo — convirtiendo tu confianza pasada en responsabilidad presente.

Aperture Finance y Swapnet: $16.67 millones

El 26 de enero de 2026, Aperture Finance y Swapnet sufrieron pérdidas combinadas de aproximadamente $16.67 millones. Estos no fueron ataques de phishing tradicionales. Los atacantes explotaron una vulnerabilidad en los smart contracts que permitía “llamadas externas arbitrarias.” Al manipular la lógica del contrato, activaron operaciones transferFrom() usando las aprobaciones legítimas que los usuarios habían otorgado previamente a estos protocolos.

Este incidente cristaliza un riesgo oculto crítico: una aprobación no es solo un permiso para que un contrato realice una tarea específica — es un puente permanente. Si la lógica de ese contrato es comprometida posteriormente o se descubre que contiene una “puerta trasera,” cada usuario que alguna vez interactuó con él está en riesgo, sin importar cuánto tiempo hace que realizó su transacción.

TrueBit: $26.6 millones desde un contrato legacy

El 8 de enero de 2026, una vulnerabilidad matemática en la lógica de precios del contrato de minting legacy de TrueBit permitió a un atacante acuñar grandes cantidades de tokens TRU a un costo casi nulo. El atacante luego usó estos tokens para extraer ETH de las reservas del protocolo. La pérdida totalizó aproximadamente $26.6 millones.

MakinaFi: $4.1 millones mediante manipulación de precios

El 20 de enero de 2026, los atacantes manipularon los precios de los pools para inflar el valor de los LP tokens, permitiendo un arbitraje rentable que drenó $4.1 millones del protocolo.

6. Restaking y seguridad compartida: una nueva capa de riesgo de aprobaciones

El panorama DeFi de 2026 está dominado por la “Revolución del Restaking.” Protocolos como EigenLayer, Symbiotic y Karak han introducido un modelo donde la seguridad de staking de Ethereum se “alquila” para asegurar otros servicios (Actively Validated Services, o AVSs). Si bien esto aumenta el rendimiento para los stakers, crea una capa completamente nueva de riesgo de autorización y slashing.

EigenLayer: la delegación como una aprobación “todo o nada”

La participación en EigenLayer implica ya sea “Native Restaking” (redirigir las credenciales de retiro del validador) o “Liquid Restaking” (depositar LSTs en smart contracts). La preocupación principal es la naturaleza binaria de la delegación:

• Delegación al operador: Los restakers delegan su saldo a un Operador que ejecuta software para los AVSs. Esta es una operación de todo o nada — no puedes delegar parcialmente ni dividir el saldo de un solo EigenPod entre múltiples Operadores.
• Amplificación del slashing: Un restaker hereda las condiciones de slashing de cada AVS en el que su Operador se inscribe. Si un Operador se comporta mal o es comprometido, los fondos del restaker pueden ser slasheados (quemados o redistribuidos).

Para 2025, el TVL de EigenLayer era de aproximadamente $14,200 millones, representando el 63% del mercado de restaking. Tal concentración crea riesgo sistémico: si las claves de un Operador importante son comprometidas, el evento de slashing resultante podría desencadenar un shock de liquidez masivo en todo el ecosistema de Ethereum.

Incluso en el “Native ETH Restaking” — donde el ETH permanece en contratos de Beacon Chain en lugar de ser transferido a smart contracts específicos de EigenLayer — el “EigenPod Owner” posee permisos de alto riesgo que pueden ser mal utilizados si la wallet del propietario y sus aprobaciones asociadas son comprometidas.

7. Soluciones arquitectónicas: el roadmap de Ethereum 2026

La Ethereum Foundation ha respondido a la crisis de aprobaciones institucionalizando un roadmap que prioriza la experiencia del usuario y la seguridad nativa. Las prioridades del protocolo para 2026 se organizan en tres pilares: Escalar, Mejorar la UX y Fortalecer la L1.

EIP-7702: el puente temporal a smart contracts

Introducido por Vitalik Buterin en 2024 y desplegado en la actualización Pectra, EIP-7702 permite que una EOA estándar actúe temporalmente como un smart contract durante la duración de una sola transacción. El mecanismo central es el tipo de transacción SetCode: una EOA crea una “lista de autorización” que delega su poder de ejecución a un smart contract específico.

El beneficio clave para la seguridad de las aprobaciones es el transaction batching. Un usuario puede agrupar una aprobación de token y un swap en una sola acción atómica. Debido a que la aprobación se otorga y se consume en el mismo bloque, la ventana de tiempo para que un atacante explote esa aprobación es efectivamente cero.

Sin embargo, EIP-7702 introduce sus propios riesgos. Los analistas de seguridad han señalado las “vulnerabilidades de contratos delegados” y las “colisiones de almacenamiento” como nuevas superficies de ataque que surgen cuando las EOAs comienzan a “tomar prestado” código de contratos externos. Para un análisis más profundo de estos riesgos, consulta nuestro Informe de seguridad crypto 2025–2026.

EIP-8141 y la actualización Hegota: el fin de la era de la “wallet simple”

La actualización Hegota, programada para el segundo semestre de 2026, se centra en EIP-8141 — una propuesta “ómnibus” que busca unificar las EOAs y las cuentas de smart contracts en un solo marco. Si se implementa exitosamente, esto marca el comienzo de la era de las “Smart Accounts.” EIP-8141 introduce varias características que mitigan directamente los riesgos de aprobaciones:

• Frame transactions: Esta arquitectura separa la aprobación de la firma de la ejecución. Un usuario firma un “frame” que especifica exactamente qué puede suceder dentro de una transacción, evitando que un contrato realice llamadas adicionales no autorizadas.
• Flexibilidad de gas y transacciones patrocinadas: Los usuarios pueden pagar comisiones de gas en tokens ERC-20 o hacer que la propia dApp patrocine el gas. Esto elimina la “barrera del gas” que impide a los usuarios revocar aprobaciones antiguas porque no tienen ETH en su wallet.
• Rieles de seguridad programables: Las smart accounts soportarán requisitos de firma múltiple incorporados, límites de retiro (por ejemplo, “no más de 5 ETH por cada 24 horas”) y mecanismos de recuperación social como parte del protocolo central.

8. El stack de seguridad 2026: herramientas de revocación y firewalls on-chain

A medida que crece la complejidad de los ataques, las herramientas utilizadas para gestionar aprobaciones han evolucionado de simples sitios web de “revocación” a dashboards de seguridad integrales y firewalls on-chain. Revoke.cash sigue siendo una piedra angular del kit de herramientas defensivas, pero ahora es parte de un ecosistema más amplio de más de 56 herramientas de seguridad blockchain.

El avance más significativo ha sido la integración de “Active ASPM” (Application Security Posture Management) en los flujos de trabajo institucionales. Plataformas como OX Security conectan los problemas de contenedores con el código fuente, asegurando que las claves privilegiadas utilizadas por los administradores de bridges no queden expuestas en los pipelines de CI/CD.

9. Respuesta regulatoria: MiCA, ENS y el fin de las “aprobaciones ilimitadas” por diseño

Para los usuarios europeos, los “riesgos ocultos de los token approvals” están siendo abordados mediante una combinación de mandatos de la UE (MiCA) y marcos de seguridad nacionales.

Implementación de MiCA: la fecha límite de junio de 2026

El Reglamento de Mercados de Criptoactivos (MiCA) ha cambiado fundamentalmente los requisitos operativos para los proveedores de servicios. España es el único Estado miembro de la UE que ha extendido su período de “derechos adquiridos” a 18 meses, lo que significa que los VASPs registrados en el Banco de España pueden operar hasta el 30 de junio de 2026 sin una licencia MiCA completa.

A medida que se acerca esta fecha límite, la CNMV está aplicando cada vez más protecciones estándar de MiCA que abordan directamente los riesgos de aprobaciones:

• Segregación de activos: Los proveedores de servicios tienen estrictamente prohibido usar los activos de los clientes para su propia cuenta — una respuesta directa al modelo de “aprobación ilimitada” donde las plataformas anteriormente tenían la capacidad técnica de mover los fondos de los usuarios a voluntad.
• Responsabilidad por hackeos: Bajo MiCA, los CASPs son responsables de la pérdida de criptoactivos resultante de ciberataques o fallas operativas, a menos que puedan demostrar que el incidente estuvo fuera de su control. Esto obliga a los proveedores a implementar herramientas rigurosas de monitoreo de aprobaciones.
• Trazabilidad (TFR): El Reglamento de Transferencia de Fondos requiere que los CASPs recopilen y verifiquen información sobre originadores y beneficiarios, incluyendo transferencias que involucren wallets no custodiales.

ENS y NIS2: la seguridad nacional se encuentra con la autorización digital

El Esquema Nacional de Seguridad (ENS), actualizado por el Real Decreto 311/2022, ahora se aplica directamente a las empresas del sector privado que participan en las cadenas de suministro de la administración pública. Las empresas deben tratar la seguridad como un “proceso integral”, incluyendo la gestión basada en riesgos de todas las autorizaciones y credenciales digitales.

El borrador de transposición de NIS2 a la legislación española hace que los órganos de dirección (consejos de administración) sean solidariamente responsables de las infracciones de ciberseguridad. Las multas por infracciones “muy graves” pueden alcanzar los €2,000,000. Esta presión regulatoria está impulsando un cambio en cómo los desarrolladores de dApps diseñan sus interfaces — la era de establecer aprobaciones ilimitadas por defecto está llegando a su fin en los mercados regulados.

10. Mejores prácticas institucionales para la gestión de tesorería

Para las organizaciones que gestionan tesorerías de activos digitales en 2026, la estrategia ha ido más allá de los simples multisigs. Las estrategias de activos digitales de élite ahora miden el “Time-to-Isolate” — los minutos que se tarda en congelar activos a través de bridges cross-chain complejos — en lugar de solo el volumen total.

• Filtrar transacciones antes de la aprobación: Trasladar el monitoreo a las etapas de “cotización” y “aprobación” en lugar de solo post-liquidación. Esto permite a las instituciones bloquear flujos fraudulentos antes de que se alcance la finalidad on-chain.
• Tasa de captura conductual: Usar heurísticas impulsadas por IA para señalar rutas rápidas e intrincadas a través de DEX routers y múltiples bridges — un indicador de alto riesgo de lavado de dinero.
• Endpoint como infraestructura: Tratar los dispositivos ejecutivos con autoridad de firma no como “IT de oficina” sino como infraestructura crítica de tesorería. Los endpoints ejecutivos comprometidos fueron responsables de varios drenajes masivos de tesorería a principios de 2026, incluyendo el incidente de $40 millones de Step Finance.

11. Tu lista de verificación de seguridad de token approvals para 2026

Ya seas un usuario individual de DeFi o gestiones una tesorería institucional, estos son los pasos concretos para reducir tu exposición a aprobaciones en 2026:

12. El futuro del consentimiento digital

A medida que avanzamos hacia la segunda mitad de 2026, los “riesgos ocultos de los token approvals” se han convertido en un pilar central de la conversación global sobre ciberseguridad. La era de las aprobaciones ilimitadas, permanentes e invisibles está siendo llevada a su fin por tres fuerzas convergentes:

1. El cambio arquitectónico hacia la abstracción de cuentas nativa en Ethereum (EIP-8141), que reemplaza los permisos abiertos con frame transactions y rieles de seguridad programables.
2. El mandato regulatorio de MiCA, que impone responsabilidad por pérdidas relacionadas con aprobaciones y prohíbe el modelo de “acceso ilimitado” para los proveedores de servicios.
3. La profesionalización de la industria de seguridad, con firewalls on-chain, simuladores de transacciones y redes de monitoreo convirtiéndose en infraestructura estándar en lugar de complementos opcionales.

Los datos de 2025 y 2026 son inequívocos: las amenazas más peligrosas ya no están en el código, sino en la interfaz humana. Si bien EIP-7702 y el transaction batching reducirán la ventana de exposición, y herramientas como Harpie proporcionarán un “firewall on-chain,” la responsabilidad final sigue siendo del usuario y la institución.

En palabras de los investigadores de seguridad, la frase de recuperación y la firma de aprobación siguen siendo “puntos únicos de fallo disfrazados de autocustodia.”

Para que el ecosistema prospere, el roadmap de 2026 debe ejecutarse con un enfoque en el diseño de seguridad centrado en el humano — minimizando la fricción operativa mientras se maximiza la adopción de controles. Ya sea a través de iniciativas regulatorias regionales o actualizaciones globales del protocolo, el objetivo es el mismo: transformar los activos digitales de una herramienta de “último recurso” en una infraestructura financiera central y resiliente donde la autorización sea tan segura como la criptografía que la soporta.