Información esencial para protegerte al usar dApps y aplicaciones web3.

¿Necesitas una cartera de cripto que te dé el control total de tus activos? Descarga Exodus aquí.

Cuando conectas tu cartera a una aplicación web3, normalmente se te pedirá que apruebes ciertas solicitudes o permisos. Esto ocurre porque interactúas con la aplicación mediante contratos inteligentes, y no enviando fondos directamente desde tu cartera.

Estos permisos de contrato inteligente pueden permitir que la aplicación web3 realice cambios o acciones en tu nombre, inicie transacciones o incluso gaste tus fondos, según las condiciones que apruebes.

Las acciones y condiciones exactas suelen estar descritas en la documentación pública de la aplicación web3. El diseño y el comportamiento de esos contratos inteligentes son una parte clave del funcionamiento de la aplicación.

Es importante entender que aprobar estos permisos de web3 puede implicar riesgos. Al otorgar acceso a tu cartera y a tus fondos, confías en que los contratos inteligentes funcionen como fueron diseñados y no actúen de forma maliciosa.

Revisa y aprueba permisos solo de aplicaciones web3 en las que confíes.

En este artículo, revisaremos algunos de los riesgos de usar aplicaciones web3 y plataformas de DeFi, y lo que puedes hacer para mantenerte protegido.

Con el navegador web3 y WalletConnect en Exodus Móvil, o con la Cartera Web3 de Exodus, es posible que veas una advertencia si intentas conectarte a una aplicación web3 sospechosa o aprobar una solicitud de web3 riesgosa.

Exodus también puede simular ciertas solicitudes de web3 para estimar qué podría ocurrir si las apruebas. Si Exodus detecta que no son seguras, es posible que veas una advertencia.

Al usar el navegador web3 en Exodus Móvil, también podrías ver una advertencia al visitar sitios web que Exodus ha detectado como no seguros.

Estas advertencias aparecen porque aprobar solicitudes de web3 no seguras pone tu cripto en riesgo. Por ejemplo, pueden cambiar los permisos o la propiedad de tu cuenta, o dar a la aplicación web3 acceso completo a tus fondos.

Para proteger los fondos de tu cartera, visita, conéctate y aprueba transacciones solo de aplicaciones web3 en las que confíes plenamente.

Si Exodus detecta una conexión o transacción no segura, verás una advertencia como las que se muestran en los ejemplos a continuación:

Móvil

Si Exodus Móvil detecta una transacción insegura, puedes tocar Reject para cancelar la solicitud.
​

Si se detecta una conexión insegura, verás una advertencia y no podrás conectarte a la app web3.

Cartera Web3

Si se detecta una conexión insegura, puedes hacer clic en Cancel para evitar conectarte a la app web3.

Si se detecta una conexión insegura, puedes hacer clic en Cancel para evitar conectarte a la app web3.

Los hackers con mayor determinación pueden encontrar vulnerabilidades en el código de un protocolo. A veces encuentran una forma de entrar a través de un error o a través del uso de oráculos de un protocolo. Es posible que los hackers interfieran en la mecánica del protocolo para alterar su comportamiento esperado.

Aunque las plataformas web3 o DeFi no guardan tus fondos directamente, su uso normalmente requiere interactuar con contratos inteligentes. Al aprobar estos contratos, a menudo le das permiso a la aplicación web3 para realizar ciertas acciones o usar fondos bajo condiciones específicas. Un atacante podría intentar aprovechar esto cumpliendo esas condiciones de forma maliciosa para intentar robar tus fondos.

En algunos casos, actores maliciosos o estafadores pueden crear aplicaciones web3 o plataformas DeFi para engañar a las personas o robar fondos. Estas plataformas pueden parecer legítimas, pero pueden incluir vulnerabilidades ocultas o funciones secretas que ponen en riesgo tus fondos si conectas tu cartera y apruebas sus permisos.

Es importante investigar antes de usar una aplicación web3 o una plataforma DeFi, y evitar conectarte a cualquier servicio en el que no confíes por completo. Puedes encontrar más información en esta sección: Haz tu propia investigación.

Como cualquier plataforma o software, una aplicación web3 puede contener errores, vulnerabilidades o posibles exploits si tiene fallas en su diseño o desarrollo.

Si existen estos problemas, podrían comprometer la seguridad de las personas usuarias, poner en riesgo sus fondos o hacer que la plataforma se comporte de forma inesperada.

Solo utiliza aplicaciones web3 y plataformas DeFi en las que confíes por completo para mantenerte seguro.

La pérdida impermanente es la pérdida que puedes experimentar cuando aportas activos a un fondo de liquidez, como en el yield farming, si el precio de uno o ambos activos cambia después de depositarlos. Veamos un ejemplo.

Los fondos de liquidez suelen requerir que aportes un valor equivalente de dos activos. Supongamos que 1 SOL vale 100 dólares y aportas 1 SOL y 100 USDC.

Imagina que el precio de SOL sube a 400 dólares. Las personas que hacen trading comprarán el SOL más barato de tu fondo depositando USDC. A medida que siguen comprando, cambia la proporción de los tokens en el fondo y el precio de SOL dentro del fondo va subiendo hasta alinearse con el nuevo precio de mercado.

El fondo se rebalancea de 1 SOL y 100 USDC (200 dólares al momento del depósito) a 0.5 SOL y 200 USDC (400 dólares en total), reflejando el nuevo precio de SOL en 400 dólares. Aunque parezca que ganaste 200 dólares, si hubieras mantenido tus 1 SOL y 100 USDC originales, ahora valdrían 500 dólares.

Esta diferencia de 100 dólares es lo que se conoce como pérdida impermanente y puede ocurrir cuando aportas activos a un fondo de liquidez y el precio de esos activos sube o baja.

La pérdida solo ocurre si retiras tus activos del fondo de liquidez. Por ejemplo, si el precio de SOL baja de nuevo a 100 dólares, podrías retirar otra vez 1 SOL y 100 USDC.

Las personas que aportan liquidez suelen recibir una parte de las tarifas del intercambio que recauda el exchange descentralizado, o DEX. Algunas sienten que las recompensas potenciales valen la pena, incluso con el riesgo de pérdida impermanente.

También es común aportar pares de stablecoins, como USDC y USDT. Como las stablecoins buscan mantener un precio estable, la posibilidad de pérdida impermanente puede ser menor en comparación con activos más volátiles.

Los riesgos inherentes al protocolo significan que, incluso cuando una plataforma funciona exactamente como fue diseñada, su estructura y mecánica pueden exponer a las personas usuarias a ciertos riesgos. Esto puede generar resultados desfavorables, como la pérdida de fondos, debido a cómo está construido el protocolo, incluso sin errores ni actividad maliciosa.

Cuando interactúas con un contrato inteligente de DeFi, le das permiso para mover tus activos cuando se cumplan ciertas condiciones. Puedes aprender más sobre cómo funciona esto aquí: ¿Qué significa que DeFi no tiene custodia?

Por ejemplo, imagina que tomas un préstamo sobrecolateralizado en un protocolo de préstamos. Depositas 1 ETH valorado en 2,000 dólares. Como puedes pedir prestado hasta el 50 por ciento de tu colateral, pides prestados 1,000 dólares en Dai.

Ahora supongamos que el precio de ETH baja solo un dólar y no puedes aportar más ETH como colateral. El protocolo podría liquidar tu ETH porque tu colateral ya no es suficiente para el monto que pediste prestado.

Tu colateral también podría ser liquidado si no devuelves lo que pediste prestado dentro del tiempo establecido.

Estos son riesgos inherentes al protocolo. Aunque estos protocolos DeFi funcionen como se espera y puedan ser herramientas financieras útiles, también presentan riesgos si se usan sin la debida precaución o sin entender completamente cómo operan.

Investiga siempre los protocolos que utilizas y asegúrate de entender qué condiciones pueden generar un resultado desfavorable.

Antes de usar cualquier app web3 o plataforma DeFi, siempre haz tu propia investigación.

Tomarte un tiempo adicional para investigar y familiarizarte con cómo funciona una plataforma, incluyendo sus características y posibles riesgos, puede ayudarte mucho a mantener tu seguridad.

Conéctate solo a apps web3 y plataformas DeFi en las que confíes plenamente, y siempre verifica que hayas accedido a ellas desde la URL correcta para evitar estafas o plataformas falsas.

Nunca te conectes a una app web3 en la que no confíes completamente.

Para más información sobre cómo investigar una app web3 que te interese, consulta las secciones a continuación.

El código y la documentación de una app web3 deben ser transparentes y estar disponibles públicamente.
​

Un buen punto de partida para investigar una app web3 es su documentación. Leer los documentos te ayudará a entender cómo funciona y qué características ofrece. Dado que una app web3 requiere tu confianza, es fundamental que cuente con documentación clara y completa.

Después de leer la documentación de una app web3, deberías poder responderte estas preguntas:

Si no puedes responder estas preguntas después de leer la documentación de la app, deberías investigar más antes de decidir usarla.

Hay varias herramientas y sitios web que auditan diferentes dApps para comprobar si hay fallos de seguridad, desarrolladores de confianza o problemas que pueda tener una dApp. Aquí hay una lista de diferentes herramientas de auditoría que pueden ser útiles al investigar una dApp:

Cuando hagas tu propia investigación, es buena idea verificar si la identidad del equipo es pública y si las personas que lo integran son reales.

Que las personas desarrolladoras sean conocidas públicamente suele ser una buena señal, ya que significa que pueden rendir cuentas si ocurre algo malintencionado con la aplicación web3.

Otro lugar en el que puedes fijarte cuando investigues una dApp son las páginas de su comunidad.

Comprueba si una dApp tiene una cuenta de Twitter o una página de Discord donde puedes preguntar a los miembros de la comunidad cuál ha sido su experiencia con el uso de la dApp.

Sin embargo, si encuentras que las páginas de redes sociales de una dApp están llenas de publicaciones de spam o de actividad no relacionada con el cripto, podría ser una señal de que la comunidad está inactiva o no está moderada, lo cual indica que la dApp puede no ser confiable.

Una vez que hayas investigado una app web3 a la que deseas conectar tu cartera, aún así debes actuar con cautela.

Es recomendable invertir solo fondos que estés dispuesto y preparado para perder. Aunque una app web3 pueda parecer sólida y confiable, una actualización en su código o la aparición de un nuevo exploit podría comprometer tus fondos.

También es útil ser escéptico con los protocolos DeFi que prometen rendimientos excesivamente altos. Si un APY elevado suena demasiado bueno para ser verdad, probablemente lo sea. Los números grandes por sí solos no garantizan una buena inversión, especialmente si no puedes identificar de dónde proviene el dinero.

Cuando termines de usar una dApp o aplicación Web3, es una buena práctica de seguridad desconectar tu cartera. Si deseas usar la aplicación Web3 nuevamente, siempre puedes volver a conectarte.

Al desconectarte, aseguras que la aplicación Web3 no pueda ver los detalles de tu cartera, como tus saldos de tokens y direcciones públicas.

Si necesitas ayuda para desconectar tu cartera Exodus de las aplicaciones Web3, puedes consultar nuestras guías a continuación:

Sin embargo, desconectarte de una aplicación Web3 no revocará los permisos de contratos inteligentes ni las asignaciones de tokens.

Al conectar tu cartera Exodus con una dApp o aplicación Web3, no se te debería pedir que ingreses tu clave secreta de recuperación de 12 palabras ni ninguna de tus claves privadas para conectarte a la aplicación Web3.

Si te piden compartir esta información, es una estafa que intenta robar tus fondos.

¡Nunca ingreses tu clave secreta de 12 palabras ni tus claves privadas en una aplicación Web3!

Los contratos inteligentes y las asignaciones de tokens permiten que las apps web3 realicen acciones en tu nombre, como mover tokens o NFTs.

Siempre elimina los permisos en los que no confíes. También es una buena práctica de seguridad revocar los permisos que ya no utilizas.

Si una app web3 es comprometida o explotada, y no has revocado sus permisos de contrato inteligente y de tokens, tus fondos podrían estar en riesgo.

Existen varias formas de revocar permisos. En la mayoría de los casos, la forma más fácil es a través de sitios web especializados que te permiten ver y revocar permisos otorgados a apps web3.

Aquí tienes algunas herramientas (por red) a las que puedes conectarte para ver y revocar permisos de apps web3:

En el siguiente ejemplo, veremos cómo revocar permisos en web3 apps conectándote a Revoke.cash con Exodus Móvil y la Cartera web3.

Revoke.cash es compatible con Ethereum y varias redes EVM. En este ejemplo, mostraremos cómo revocar permisos en Ethereum, pero los pasos son similares en otras redes EVM.