Alguien te reenvía un enlace. "Claim gratis, termina en 4 horas." El panda ya ha visto esta película. El final rara vez implica dinero gratis, pero a menudo implica una wallet vacía. Este tutorial recorre las siete verificaciones que separan un airdrop real de un wallet drainer en unos diez minutos.
Según los datos globales de mercado de CoinGecko, el mercado sigue 17.409 criptomonedas activas a fecha de 28 de mayo de 2026, con una capitalización total de 2,53 billones de dólares. La mayoría de dominios de claim falsos detectados esta semana imitan proyectos del top 100. La fábrica de phishing escala con el mercado.
Requisitos previos
Antes de empezar, ten a mano:
- Una pestaña del navegador limpia en un ordenador o teléfono. No conectes ninguna wallet todavía.
- El handle oficial del proyecto en X, Discord o su dominio principal. Obténlo del post fijado del propio proyecto, no de una respuesta ni de una captura de pantalla.
- Una dirección de solo lectura o una burner wallet para las primeras comprobaciones. Mantén la wallet principal fuera hasta el paso siete.
- Diez minutos y cero FOMO. El plazo en la página de claim es casi siempre falso.
Tiempo necesario: de 10 a 12 minutos.
¿Qué es un airdrop legítimo?
Un airdrop legítimo tiene tres características que la versión fraudulenta rara vez posee. Primero, el anuncio proviene de un canal principal verificado: el dominio propio del proyecto, su propio handle de X con un historial de publicaciones creíble, idealmente una entrada en un foro de gobernanza. Segundo, la lógica de elegibilidad es pública y está basada en snapshots. Calificas porque ya hiciste algo on-chain, no a través de una página de "connect-and-sign". Tercero, el sitio de claim vive en un dominio que coincide con el conocido del proyecto, carácter por carácter. Sin "a" cirílicas intercambiadas, sin prefijos "claim-" en un dominio separado.
Los airdrops reales no requieren aprobaciones de gasto ilimitadas. No "sincronizan tu wallet". No "verifican" mediante una firma que resulta ser una autorización de transferencia.
Paso a paso: siete comprobaciones antes de conectar
Realiza estas comprobaciones en orden. Para en la primera que falle.
1. Rastrea el anuncio hasta su fuente primaria. Abre el dominio principal del proyecto manualmente. Escríbelo, no hagas clic. Busca el post del airdrop en el blog propio del proyecto o en su post fijado en X. Si la única "prueba" es un reenvío de Telegram o un anuncio pagado de Twitter, ya tienes tu respuesta.
2. Comprueba el dominio de claim carácter por carácter. Los drainers registran dominios parecidos como arbitrum-claim.io, optimism-foundation.net, bsc-airdrop.app. Los proyectos reales suelen hacer el claim en su propio dominio raíz. Compara letra por letra.
3. Comprueba la antigüedad del smart contract. Abre el smart contract del airdrop en Etherscan o BscScan. Los drainers suelen desplegarse menos de 24 horas antes de la campaña. Los proyectos reales son auditables durante días o semanas. Nuevo más ruidoso igual a arriesgado.
4. Lee la función que estás a punto de firmar. Un claim real suele ser claim(uint256, bytes32[]). Un drainer es setApprovalForAll(true), permit(...), increaseAllowance(...), o un payload opaco de "Sign-In With Ethereum" que transfiere la propiedad si se lee con atención. Si el nombre de la función es ilegible, el panda se va a casa.
5. Verifica el smart contract contra la documentación del proyecto. Los proyectos publican el smart contract del airdrop en su propio sitio. Si la dirección en la página de claim no coincide con la documentación, la página de claim no es la página de claim.
6. Usa un simulador antes de firmar. Herramientas como Wallet Guard, Pocket Universe o Blockaid (ahora integrado en MetaMask) simulan la transacción y muestran el movimiento real de activos. Si la simulación muestra activos saliendo en lugar de llegando, no firmes. Este paso por sí solo detecta aproximadamente nueve de cada diez intentos de drainer.
7. Revoca los permisos inmediatamente después del claim. Incluso los claims legítimos a veces dejan aprobaciones abiertas. Visita el Etherscan Token Approval Checker o el equivalente de BscScan justo después del claim y revoca todo lo que no uses. Nuestra guía sobre cómo revocar aprobaciones de tokens en BSC cubre el camino eficiente en gas fee.
La guía oficial de seguridad de Ethereum recoge la mayoría de estas reglas en un tono más tranquilo.
Solución de problemas frecuentes
El sitio me pide mi seed phrase. Cierra la pestaña. Ese es el único consejo necesario. Ningún airdrop real pide nunca una seed phrase. Ninguno. Jamás.
El simulador muestra cero entrada y cero salida. La transacción probablemente establece un permiso en lugar de mover un activo. Las concesiones de permisos son como funcionan la mayoría de los drains modernos. Rechaza la firma.
El smart contract es completamente nuevo pero el proyecto es real. Posible, pero verifica la dirección contra el dominio del proyecto, la documentación y la votación de gobernanza. Tres fuentes primarias. Dos de tres no son suficientes.
Ya firmé algo que no debería haber firmado. Ve al approval checker y revoca cada aprobación no esencial. Mueve los activos restantes a una wallet nueva si se concedió una aprobación de alto valor. Nuestra guía sobre hardware wallets cubre el aspecto de la higiene a largo plazo.
Preguntas frecuentes
¿Cuánto tiempo tengo para reclamar un airdrop legítimo?
Las campañas reales duran semanas o meses, no horas. Cualquier titular de "ventana de 60 minutos" es casi siempre un truco de escasez artificial.
¿Los airdrops reales piden alguna vez un pago de gas fee?
Sí. Un pequeño gas fee en ETH o BNB para ejecutar el claim es normal. Un "depósito para desbloquear" no lo es. No existe ningún airdrop legítimo de depósito-para-desbloquear.
¿Puede una hardware wallet salvarme de una firma maliciosa?
En parte. El dispositivo protege la clave, pero si apruebas una función maliciosa en él, el dispositivo firma. La pantalla del dispositivo es la última línea de defensa. Léela.
¿Son seguros los bots de airdrop y los servicios de farming?
El bot en sí rara vez es la amenaza. La página de claim con forma de drainer a la que te redirige, a menudo sí lo es. Trata cualquier enlace de un bot como un enlace de un desconocido en un bar.
¿Qué pasa si me perdí un airdrop legítimo?
Lo perdiste. El mercado sigue existiendo. El próximo también existirá. Spoiler: este ya lo veíamos venir.
Los airdrop drainers son el vector de phishing más eficiente en crypto hoy en día. Envuelven una firma maliciosa en un flujo de trabajo de aspecto legítimo. Las advertencias de las wallets siguen mejorando, pero el coste de operar un drainer sigue cayendo. La brecha entre "parece legítimo" y "es legítimo" se amplía.
Para los builders del ecosistema memecoin, el listón es lo que todo proyecto honesto supera: un smart contract público, un dominio conocido, un flujo de claim sin aprobaciones ilimitadas. El equipo de Dadacoin los trata como el mínimo, no como el techo. Para estafas adyacentes, lee cómo detectar un rug pull y cómo detectar un honeypot token en BSC. Las mismas comprobaciones, la misma aritmética, el mismo panda vigilando desde el fondo.
Aviso legal: Este artículo no es asesoramiento financiero. Haz siempre tu propia investigación (DYOR) antes de invertir.
