En las últimas horas, el ecosistema de los activos digitales ha sido testigo de uno de los golpes más coordinados y tecnológicamente avanzados contra el cibercrimen organizado, realizado bajo el nombre clave de “Operación Atlantic”.
Esta operación llevada a cabo por una coalición internacional liderada por el Servicio Secreto de los Estados Unidos (USSS), la National Crime Agency (NCA) del Reino Unido y autoridades de Ontario, Canadá, lograron desarticular una red de fraude que operaba a escala masiva.
El balance al final revelado en el comunicado del USSS ha sido contundente con unos 12 millones de dólares en criptomonedas congelados, la identificación de otros 33 millones de dólares vinculados a actividades ilícitas y el desmantelamiento de una infraestructura de más de 120 dominios fraudulentos que soportaban las operaciones.
Sin embargo, detrás de las cifras de vértigo, la Operación Atlantic revela una verdad incómoda para el sector de las criptomonedas, que la sofisticación de las estafas de “Pig Butchering” (matanza de cerdos) y el approval phishing ha alcanzado un nivel de ingeniería social que borra las fronteras entre lo digital y lo físico.
A diferencia de las investigaciones policiales tradicionales que pueden extenderse durante años en el anonimato de los archivos, la Operación Atlantic se ejecutó bajo un modelo de “sprint operacional” cruzando datos de denuncias y pagos realizados con Wallets, movimiento entre cadenas y destino final de dichos fondos.
De esta forma, durante una semana intensiva, analistas de inteligencia, agentes federales y expertos del sector privado —destacando la participación de TRM Labs— se concentraron en el cuartel general de la NCA en Londres para dar un golpe maestro a estos actores del fraude.
El objetivo era simplemente utilizar la trazabilidad inherente de la blockchain para “cazar” el dinero en tiempo real, que de acuerdo a datos proporcionados por los participantes, los criminales actuales son capaces de mover los fondos robados a través de complejos puentes y exchanges en menos de 48 horas.
Debido a esta corta ventana de tiempo, se exige que la justicia y los organismos policiales sea tan rápida como el código. Es por ello, que gracias al uso de modelos avanzados de Inteligencia Artificial y herramientas de análisis de Big Data, el equipo pudo procesar miles de direcciones de billeteras en cuestión de horas, generando paquetes de pruebas listos para ser presentados ante jueces en tres jurisdicciones distintas.
Este esfuerzo conjunto y el uso de estos modelos avanzados de IA permitió identificar a más de 20.000 víctimas en 30 países, un volumen de datos que habría sido inmanejable para cualquier agencia actuando en solitario.
El núcleo del fraude combatido en la Operación Atlantic es el llamado “approval phishing”, una modalidad de fraude en línea que lleva a que los delincuentes manipulen a las víctimas para que firmen una transacción de “aprobación” bajo cualquier excusa de un contrato inteligente, encargado de vaciar su Wallet.
El phishing de aprobación se diferencia notablemente del phishing tradicional, porque los atacantes no buscan robar llaves privadas o las frases semillas de los usuarios, sino que en esta modalidad, calificada por los analistas en ciberseguridad de ser mucho más sibilina, simplemente efectúa el vaciado de un Wallet en cuestión de segundos de forma automática.
Básicamente, al firmar la aprobación del Smart Contract el usuario no está entregando su contraseña, sino que está otorgando un permiso técnico para que el atacante gaste o transfiera sus activos (usualmente stablecoins) en su nombre.
Es, esencialmente, entregarle las llaves del coche al ladrón pensando que solo le estás permitiendo ajustar el espejo retrovisor o aparcarlo en la esquina, pero en realidad una vez que el permiso está firmado, la Wallet queda vaciada en segundos sin necesidad de una segunda interacción por parte de la víctima.
Lo más alarmante detectado en esta operación es el uso de ataques híbridos, lo que llevó a las autoridades a alerta sobre el envío de correos físicos y paquetes postales que imitan de forma casi perfecta la estética de fabricantes de hardware wallets como Ledger o Trezor.
Estas comunicaciones instan a los usuarios a escanear códigos QR o visitar sitios web para “actualizar su seguridad”, cuando en realidad los están guiando hacia el matadero digital donde le vaciarán sus fondos automáticamente.
Un dato revelador extraído de los informes de TRM Labs que respaldaron la operación es la migración masiva de los criminales hacia las stablecoins, ya que en 2025, el flujo de fondos fraudulentos hacia activos anclados al dólar representó el 84% de las entradas ilícitas, un aumento significativo respecto al 70% del año anterior.
La razón de este cambio es que los grupos de Pig Butchering ya no quieren lidiar con la volatilidad del Bitcoin mientras lavan sus activos, por lo que buscan la estabilidad del dólar digital para mantener el valor de sus botines mientras atraviesan los procesos de “limpieza” a través de servicios de mezcla o plataformas de intercambio sin protocolos de conocimiento del cliente (KYC).
Esta tendencia ha obligado a las agencias de ley a colaborar estrechamente con emisores de stablecoins para congelar fondos directamente en el contrato inteligente, una herramienta que resultó vital en los 12 millones recuperados esta semana.
La Operación Atlantic no solo golpeó la infraestructura técnica, sino que arrojó luz sobre la crueldad del Pig Butchering, porque estas estafas de inversión a largo plazo implican meses de manipulación psicológica.
Y es que, según las autoridades policiales los perpetradores a menudo utilizan perfiles falsos en redes sociales o aplicaciones de citas para entablar relaciones de confianza con las víctimas, a fin de envolverlas y llevarlas a caer en el phishing de aprobación.
“El éxito de esta operación radica en que logramos intervenir antes de que el ‘cerdo’ fuera sacrificado”, comentó una fuente cercana a la investigación, refiriéndose a la jerga criminal donde se “engorda” a la víctima con promesas de ganancias antes de vaciar sus cuentas.
La identificación de 20.000 víctimas permitió a las autoridades enviar notificaciones preventivas a más de 3.000 personas que aún tenían permisos de aprobación activos en sitios fraudulentos, salvándolas de una pérdida inminente.
El cierre de los 120 dominios fraudulentos y el congelamiento de fondos de la Operación Atlantic marcan un hito, pero los expertos advierten que la batalla está lejos de terminar, debido al bajo costo de crear nuevos dominios.
Además, esto sumado a la creciente disponibilidad de herramientas de IA generativa para crear estafas más creíbles significa que, por cada cabeza cortada, la hidra del cibercrimen podría generar dos más.
Sin embargo, esta operación deja una enseñanza porque la era de la policía trabajando de forma aislada ha terminado. De ahora en adelante, el futuro de la seguridad en la Web3 depende de la “disrupción público-privada” global, con la unión de autoridades policiales de varias jurisdicciones.
La combinación del poder legal de instituciones como el USSS con la capacidad tecnológica de firmas de análisis blockchain es la única forma de garantizar que el ecosistema cripto sea un lugar seguro para la innovación y no un refugio para el fraude global.
El inversor promedio, debe estar observando que la trazabilidad de la blockchain es una aliada de la justicia, pero más allá de ello, la primera línea de defensa sigue siendo la precaución ante lo inesperado, ya sea un enlace sospechoso en una pantalla o un paquete misterioso en el buzón de casa.