Cada vez que utilizas un token (criptomoneda) en una aplicación descentralizada (DApp), por lo general, primero debes otorgar una "Autorización" (Approve) al contrato inteligente de esa DApp, permitiéndole operar y mover un token específico dentro de tu billetera. Esta autorización permanece activa indefinidamente, incluso si ya has dejado de utilizar esa DApp. Si un día el contrato inteligente de esa DApp es víctima de un ataque de piratas informáticos (hackers), o el equipo de desarrolladores del proyecto decide llevar a cabo una estafa (Rug Pull), los atacantes podrían aprovechar la autorización que otorgaste en el pasado para transferir los tokens directamente desde tu billetera, ¡y podrías no darte cuenta en absoluto! Esta es la razón primordial por la que revocar (Revoke) regularmente las autorizaciones de las DApps que ya no utilizas es uno de los hábitos más cruciales para mantener la seguridad de tu billetera Web3. Es exactamente igual que revisar con regularidad si tu tarjeta de crédito tiene suscripciones o cobros automáticos desconocidos asociados a ella. Muchos usuarios continúan otorgando autorizaciones a diversos contratos mientras operan en plataformas DeFi, olvidándose de ellos una vez que terminan, lo que va acumulando una inmensa cantidad de riesgos de seguridad ocultos con el paso del tiempo. Antes de iniciar cualquier operación, debes asegurarte de haber completado el registro de tu cuenta en el sitio web oficial de Binance y de haber creado tu billetera Web3. También deberás instalar la última versión de la APP oficial de Binance en tu teléfono móvil para poder gestionar las autorizaciones en la cadena de bloques (on-chain). Si eres un usuario de teléfonos Apple y necesitas reinstalar la aplicación, puedes consultar nuestra guía de instalación de iOS. A continuación, detallaremos de manera profunda los principios de las autorizaciones y los métodos para revocarlas.
Comprendiendo el mecanismo de autorización (Approve) de las DApps
¿Qué es exactamente la Autorización de Token (Token Approval)?
Cuando utilizas USDT por primera vez para intercambiarlo (Swap) por otro token en un exchange descentralizado (DEX, como PancakeSwap), el contrato inteligente de PancakeSwap no tiene la capacidad de mover directamente los USDT que se encuentran en tu billetera. Primero debes ejecutar una transacción de "autorización", diciéndole al contrato inteligente de USDT: "Permito que la dirección del contrato de PancakeSwap utilice los USDT de mi billetera". Esta autorización quedará registrada en la cadena de bloques. Posteriormente, cuando confirmes el intercambio, PancakeSwap podrá deducir automáticamente los USDT de tu billetera para completar el Swap.
El límite (cantidad) de la Autorización
Al momento de autorizar, especificas un límite máximo para dicha autorización. Existen dos escenarios comunes:
- Autorización por la cantidad exacta: Autorizas únicamente la cantidad que necesitas para la transacción actual. Si deseas intercambiar 100 USDT, autorizas exactamente 100 USDT. La próxima vez que desees realizar otro intercambio, deberás volver a autorizar, incurriendo nuevamente en el pago de comisiones de red (Gas), pero este método es mucho más seguro.
- Autorización Ilimitada (Unlimited Approval): Autorizas una cantidad astronómica (generalmente el número más grande que la computadora puede procesar, 2^256-1), otorgando a la DApp un derecho de uso virtualmente ilimitado. Esto te ahorra tener que volver a autorizar y pagar Gas en transacciones futuras, pero los riesgos son drásticamente más altos.
La mayoría de las DApps solicitan por defecto una autorización ilimitada con el objetivo de mejorar la experiencia del usuario (reduciendo la cantidad de pasos operativos). Sin embargo, desde una perspectiva de seguridad, una autorización ilimitada significa que, si el contrato se ve comprometido, el atacante puede transferir todos tus tokens sin ninguna restricción de cantidad.
Duración de la Autorización
Una vez que se otorga la autorización de un token, esta existirá de manera permanente en la cadena de bloques y no caducará nunca. A menos que tú mismo revoques esta autorización de forma activa, seguirá siendo válida para siempre. Por este motivo, el contrato de una DApp que usaste hace medio año aún conserva la capacidad de manipular tus tokens a día de hoy.
Cómo verificar las autorizaciones existentes
Verificar dentro de la Binance Web3 Wallet
La propia Binance Web3 Wallet a menudo incluye una función integrada para la gestión de autorizaciones. Dirígete a la página de "Seguridad" o "Configuración" dentro de la Web3 Wallet y busca opciones que digan "Gestión de Autorizaciones (Approval Management)" o "Token Approvals". Aquí podrás ver de manera directa y centralizada a qué DApps has otorgado autorizaciones en cada cadena.
Verificar utilizando herramientas de terceros
Si la aplicación de Binance no cuenta con una función de gestión de autorizaciones integrada, puedes acceder y usar herramientas de terceros a través del navegador de DApps (DApp Browser) de la Binance Web3 Wallet:
- Revoke.cash: Compatible con múltiples cadenas EVM, posee una interfaz de usuario limpia e intuitiva.
- DeBank: Además de la gestión de autorizaciones, proporciona un seguimiento completo de tus activos en DeFi.
- Etherscan Token Approval Checker: La herramienta oficial de verificación de autorizaciones del explorador de bloques de Ethereum.
- BSCScan Token Approval Checker: La herramienta equivalente para la cadena BSC (Binance Smart Chain).
Tomando Revoke.cash como ejemplo: Accede a revoke.cash utilizando el navegador de DApps; conecta tu Web3 Wallet, y el sitio web escaneará y enumerará todos los registros de autorización asociados a tu dirección en la red que hayas seleccionado.
Qué información buscar en la lista de autorizaciones
Al revisar las autorizaciones, verás la siguiente información:
- Token Autorizado (Asset): Qué criptomoneda has autorizado (por ejemplo, USDT, WBNB).
- Dirección del Contrato Autorizado (Authorized Spender): A qué contrato inteligente le has otorgado el permiso.
- Monto de la Autorización (Allowance): El límite máximo de la autorización (si ves una cifra gigantesca o la palabra "Unlimited", se trata de una autorización ilimitada).
- Fecha de Autorización: Cuándo otorgaste dicho permiso.
Pasos para revocar (Revoke) una autorización
Revocar a través de Revoke.cash
- Abre revoke.cash desde el navegador de DApps de la Binance Web3 Wallet.
- Conecta tu Web3 Wallet.
- Selecciona la red que deseas revisar (como BSC, Ethereum, etc.).
- Espera a que se complete el escaneo, tras lo cual la página mostrará todas tus autorizaciones.
- Localiza la autorización que deseas cancelar y haz clic en el botón "Revoke" junto a ella.
- La billetera desplegará una ventana emergente de confirmación de transacción; confirma la operación y paga la tarifa de Gas correspondiente.
- Una vez que la transacción sea confirmada en la blockchain, la autorización quedará revocada.
Revocar a través de los exploradores de bloques
Tomando a BSCScan como ejemplo:
- Accede a bscscan.com.
- Conecta tu billetera o introduce la dirección de tu billetera.
- Dirígete a la página de "Token Approvals".
- Encuentra la autorización que deseas cancelar y haz clic en "Revoke".
- Confirma la transacción en tu billetera y abona la comisión de Gas.
El coste (Gas Fee) de revocar autorizaciones
Revocar una autorización es, en sí misma, una transacción on-chain, por lo que requiere el pago de una tarifa de Gas. Revocar una autorización en la red BSC suele costar menos de $0.1, pero en Ethereum, podría costar varios dólares. Si tienes muchas autorizaciones que cancelar, el costo puede acumularse rápidamente. Se recomienda priorizar la revocación de autorizaciones de alto riesgo (montos grandes, DApps desconocidas) y procesar las de bajo riesgo cuando las tarifas de Gas estén más económicas.
Qué autorizaciones debes priorizar para su revocación
Prioridad Alta: Revocación Inmediata
- Direcciones de contratos desconocidos: Si no recuerdas haber otorgado una autorización a cierto contrato, o si la dirección del contrato parece sospechosa (scam), revócala de inmediato.
- Proyectos que ya han efectuado un Rug Pull o han sido hackeados: Si descubres que un proyecto al que autorizaste anteriormente ha experimentado problemas de seguridad o ha cesado sus operaciones, cancela el permiso al instante.
- Autorizaciones ilimitadas a proyectos pequeños: Las autorizaciones ilimitadas concedidas a proyectos pequeños o poco conocidos conllevan un riesgo sumamente alto y se aconseja encarecidamente revocarlas.
- Autorizaciones a DApps que no has usado en mucho tiempo: Elimina cualquier autorización de DApps que no hayas utilizado durante más de 3 meses.
Prioridad Media: Revocar cuando sea conveniente
- Autorizaciones ilimitadas a DApps principales: Los proyectos de primer nivel como Uniswap o PancakeSwap son comparativamente seguros, pero se recomienda revocar las autorizaciones ilimitadas si no los usas con regularidad.
- Proyectos conocidos que has dejado de usar: Por ejemplo, un protocolo DeFi reconocido que solías emplear pero que has abandonado recientemente.
Prioridad Baja: Pueden conservarse
- DApps que usas con frecuencia: Si operas a diario en PancakeSwap, conservar la autorización te ahorrará las tarifas de Gas necesarias para reautorizar cada vez.
- Autorizaciones de cantidad exacta: Si el monto autorizado es extremadamente pequeño (por ejemplo, 100 USDT), la pérdida se limitará a esa cantidad incluso si surgiera algún inconveniente.
Prácticas preventivas de seguridad
Elige siempre la cantidad exacta al autorizar
Cuando otorgues permisos a una DApp, muchas billeteras te permiten personalizar la cantidad a autorizar. En lugar de presionar el botón de confirmación de "autorización ilimitada" de manera irreflexiva, acostúmbrate a ingresar manualmente la cantidad exacta que precisas utilizar en ese momento. Aunque tendrás que volver a autorizar en la siguiente transacción, el nivel de seguridad se incrementará de forma colosal.
Utiliza una billetera exclusiva para interacciones con DApps
Si sueles probar e interactuar frecuentemente con diversas DApps, te recomendamos encarecidamente crear una dirección de billetera dedicada de forma exclusiva a interactuar con ellas, depositando en esta billetera únicamente una cantidad reducida de fondos. Tus activos de mayor cuantía deben permanecer guardados en otra dirección "bóveda" separada, la cual nunca realizará autorizaciones hacia el exterior. De este modo, si la autorización de la billetera de interacción llegase a ser vulnerada, tus pérdidas estarían severamente limitadas.
Mantente siempre al tanto de las noticias de seguridad
Los incidentes de seguridad relacionados con las criptomonedas son moneda corriente. Sigue fuentes y canales de noticias de seguridad de comprobada fiabilidad (como SlowMist, PeckShield, etc.). Si ocurre algún problema de seguridad con un proyecto al que le has otorgado autorizaciones, procede a revocarlas de inmediato.
Desarrolla el hábito de limpieza periódica
Aconsejamos realizar una auditoría (revisión) de tus autorizaciones cada dos semanas o, al menos, una vez al mes. Al igual que un chequeo médico rutinario, limpiar periódicamente los permisos que ya no necesitas reduce de manera efectiva los riesgos a largo plazo. Puedes configurar un recordatorio en el calendario de tu teléfono para no olvidarlo.
Tácticas de fraude (Scams) comunes relacionadas con las autorizaciones
Phishing a través de autorizaciones fraudulentas
Los estafadores construyen DApps que, a simple vista, parecen ser sitios web legítimos, e incitan a los usuarios a conectar sus billeteras y otorgar autorizaciones para sus tokens. Una vez que apruebas la transacción, inmediatamente usarán el contrato para transferir y vaciar todos tus tokens. Prevención: Nunca utilices DApps de origen sospechoso ni hagas clic en enlaces de procedencia dudosa.
La estafa de los "Airdrops Falsos"
Ocasionalmente, encontrarás en tu billetera tokens desconocidos bajo el pretexto de ser un "Airdrop" (lanzamiento aéreo de monedas). Si intentas vender dichos tokens, serás redirigido a un DEX (exchange descentralizado) fraudulento donde se te exigirá otorgar autorización sobre tus tokens principales (como USDT). Una vez autorizados, tus activos reales serán sustraídos. Prevención: Simplemente ignora cualquier token desconocido que aparezca de repente en tu billetera.
Fraude por actualización del contrato
Ciertos contratos maliciosos actúan de forma normal al principio, pero luego de que les otorgas la autorización, los desarrolladores actualizan la lógica del código del contrato, transformando las funciones legítimas en un mecanismo diseñado para robar tus monedas. Este tipo de ataques es sumamente avanzado y muy difícil de detectar para un usuario común. Prevención: Interactúa única y exclusivamente con proyectos reconocidos y que hayan sido auditados; evita tajantemente el uso de contratos no verificados.
Conclusión
La gestión de las autorizaciones (Approve) de las DApps constituye un pilar crítico en la seguridad integral de tu Web3 Wallet; su esencia se resume en una sola frase: "Limpieza Regular". Adquiere la inquebrantable costumbre de verificar tus autorizaciones cada vez que termines de utilizar una DApp, y revoca de forma contundente y sin titubeos aquellas que ya no emplees. Al autorizar, procura en la medida de lo posible utilizar siempre cantidades precisas y exactas, evitando caer en la trampa de las autorizaciones ilimitadas. Al mantener y cultivar de manera sostenida este riguroso hábito, tu billetera Web3 estará preparada para operar de forma segura y confiable durante largos períodos en el siempre riesgoso ecosistema descentralizado. Recuerda esto en todo momento: en el universo de la cadena de bloques (blockchain), el resguardo y la seguridad son siempre la máxima prioridad y están por encima de todo, debido a que cualquier pérdida on-chain suele ser irreversible y definitiva.