Esta invasión domiciliaria relacionada con criptomonedas por $4,3 millones muestra cómo una sola filtración de datos puede poner en riesgo la billetera —y la seguridad— de cualquiera

El modus operandi era lo suficientemente simple como para funcionar una vez: disfrazarse de repartidores, golpear la puerta, forzar la entrada a punta de pistola y extraer las claves privadas bajo amenaza.

En junio de 2024, tres hombres ejecutaron ese plan en una residencia del Reino Unido y se llevaron más de 4.3 millones de dólares en criptomonedas.

Cinco meses después, el Tribunal de la Corona de Sheffield sentenció a Faris Ali y a dos cómplices, luego de que la Policía Metropolitana recuperara casi la totalidad del botín.

El caso, documentado por el investigador de blockchain ZachXBT, ahora sirve como referencia para una pregunta que la industria ha evitado: ¿cómo se ve la seguridad operativa cuando tu patrimonio vive en una extensión de navegador y tu dirección es de acceso público?

El robo se desarrolló en la estrecha ventana entre una filtración de datos y la toma de conciencia de la víctima.

Registros de chat obtenidos por ZachXBT muestran a los perpetradores discutiendo su enfoque horas antes del ataque, compartiendo fotografías del edificio de la víctima, confirmando que estaban posicionados fuera de la puerta y coordinando su historia de cobertura.

Una imagen capturó a los tres vestidos con uniformes de repartidor. Minutos después, golpearon la puerta. La víctima, esperando un paquete, abrió la puerta.

Lo que siguió fue una transferencia forzada a dos direcciones de Ethereum, ejecutada bajo coacción y con un arma de fuego presente. La mayor parte de las criptomonedas robadas permanecieron inactivas en esas billeteras hasta que la policía intervino.

ZachXBT reconstruyó la operación mediante análisis on-chain y conversaciones filtradas de Telegram.

Los registros de chat revelaron la planificación operativa y antecedentes penales previos: semanas antes del robo, Faris Ali había publicado una foto de su documentación de fianza a amigos en Telegram, revelando su nombre legal completo.

Tras el robo, una parte desconocida registró el dominio ENS farisali.eth y envió un mensaje on-chain, una acusación pública incrustada en el ledger de Ethereum.

ZachXBT compartió sus hallazgos con la víctima, quien los transmitió a las autoridades. El 10 de octubre de 2024, ZachXBT publicó la investigación completa, y el 18 de noviembre, el Tribunal de la Corona de Sheffield dictó sentencia.

El caso encaja en un patrón más amplio señalado por ZachXBT: un aumento de las invasiones domiciliarias dirigidas a poseedores de criptomonedas en Europa Occidental en los últimos meses, a tasas superiores a otras regiones.

Los vectores varían: SIM swaps que filtran frases de recuperación, ataques de phishing que exponen saldos de billeteras y técnicas de ingeniería social que vinculan tenencias con ubicaciones físicas, pero el desenlace es consistente.

Una vez que un atacante confirma que un objetivo posee un valor significativo y puede localizar su residencia, el cálculo se inclina hacia la coerción física.

Qué explota la táctica del “repartidor”

El disfraz de repartidor funciona porque explota la confianza en la infraestructura logística. Abrir la puerta a un mensajero es un comportamiento rutinario, no una falla de seguridad.

Los perpetradores entendieron que la parte más desafiante de una invasión domiciliaria es lograr la entrada sin activar una alarma o provocar la huida.

Un uniforme y un paquete proporcionan una razón plausible para acercarse y esperar en el umbral. Para cuando se abre la puerta, el factor sorpresa ya está en juego.

Esa táctica no escala bien porque requiere presencia física, deja rastros forenses y se desmorona si la víctima se niega a abrir la puerta, pero sortea todas las capas de seguridad digital.

Las billeteras multi-firma, dispositivos de hardware y almacenamiento en frío no significan nada cuando un atacante puede obligarte a firmar transacciones en tiempo real.

El eslabón débil no es la criptografía, sino la persona que posee las llaves y vive en una dirección fija que puede descubrirse mediante una filtración de datos o una búsqueda en registros públicos.

La investigación de ZachXBT rastreó el ataque hasta una “filtración de datos cripto”, una fuga que dio a los perpetradores acceso a información que vinculaba tenencias de billeteras con una ubicación física.

La fuente exacta permanece sin especificar, pero la línea de tiempo forense sugiere que los atacantes sabían tanto la dirección de la víctima como sus tenencias aproximadas antes de llegar.

El costo de la opsec y qué cambia

Si este caso se convierte en modelo, los poseedores de grandes patrimonios en cripto deberán repensar sus prácticas de custodia y divulgación.

La lección inmediata es defensiva: compartimentar las tenencias, eliminar información personal de bases de datos públicas, evitar discutir saldos de billeteras en redes sociales y tratar cualquier visita no solicitada como una posible amenaza.

Pero esas medidas imponen un costo a la conveniencia, la transparencia y la capacidad de participar en el discurso público sobre cripto sin convertirse en un blanco.

La pregunta a largo plazo es si el mercado de seguros intervendrá. Los proveedores tradicionales de custodia ofrecen cobertura de responsabilidad y garantías de seguridad física, pero la autocustodia no, lo que es una de sus pocas desventajas.

Si las invasiones domiciliarias se convierten en un vector de ataque predecible, se espera una mayor demanda de productos que tercericen la custodia a entidades aseguradas o brinden servicios de seguridad privada para individuos con activos por encima de cierto umbral.

Ninguna de las soluciones es barata, y ambas sacrifican la soberanía que la autocustodia pretende garantizar.

Las filtraciones de datos son el riesgo de origen. Los exchanges centralizados, empresas de análisis blockchain, plataformas de declaración de impuestos y servicios Web3 que requieren KYC almacenan registros que vinculan identidades con tenencias.

Cuando esas bases de datos se filtran, y sucede con regularidad, crean una lista de compras para criminales que pueden cruzar saldos de billeteras con registros de direcciones públicas.

La recomendación de ZachXBT de “monitorear tu información personal cuando se expone en línea” es un consejo sensato, pero asume que las víctimas tienen las herramientas y la vigilancia para rastrear filtraciones en tiempo real. La mayoría no las tiene.

La otra limitación es la capacidad de aplicación de la ley. La investigación de ZachXBT fue fundamental en este caso, pero él es un actor privado que trabaja pro bono.

Las agencias policiales en la mayoría de las jurisdicciones carecen de la capacidad forense on-chain para rastrear cripto robado sin ayuda externa. La Policía Metropolitana tuvo éxito aquí en parte porque el trabajo investigativo les fue entregado completamente desarrollado.

Lo que está en juego

La pregunta más amplia que plantea este caso es si la autocustodia puede seguir siendo la recomendación por defecto para quienes poseen valores significativos.

La industria cripto ha pasado una década argumentando que los individuos deben controlar sus propias llaves y que la soberanía sobre los activos justifica la carga operativa.

Ese argumento se sostiene cuando el modelo de amenaza es la insolvencia de un exchange o la incautación gubernamental. Se debilita cuando el modelo de amenaza es un hombre con uniforme de repartidor, un arma de fuego y una lista de direcciones extraídas de una base de datos filtrada.

Si los poseedores de grandes patrimonios concluyen que la autocustodia los expone a un riesgo físico inaceptable, trasladarán los activos a plataformas institucionales aseguradas, y la industria habrá cambiado descentralización por seguridad.

Si permanecen en autocustodia pero invierten fuertemente en privacidad e infraestructura de seguridad, el cripto se convierte en una subcultura para paranoicos y personas con muchos recursos.

Las sentencias del Tribunal de la Corona de Sheffield cierran un capítulo. Los atacantes están bajo custodia, la víctima recuperó sus fondos y ZachXBT tiene otro caso de estudio para su archivo de crímenes cripto.

Pero la vulnerabilidad sistémica persiste: mientras se puedan extraer grandes sumas a punta de pistola en menos de una hora, y mientras las filtraciones de datos sigan vinculando saldos de billeteras con direcciones domiciliarias, ningún endurecimiento criptográfico protegerá a los humanos que poseen las llaves.

La publicación This $4.3M crypto home invasion shows how a single data leak can put anyone’s wallet — and safety — at risk apareció primero en CryptoSlate.