Escrito por: Liam Akiba Wright
Traducción: Saoirse, Foresight News
Según informó el San Francisco Chronicle, alrededor de las 6:45 de la mañana del 22 de noviembre, un sospechoso que se hizo pasar por repartidor ingresó a una vivienda en el "Distrito Misión Dolores", cerca de la calle 18 y Dolores, sometió a los residentes y robó un teléfono móvil, una computadora portátil y aproximadamente 11 millones de dólares en criptomonedas.
Hasta el domingo, la policía de San Francisco no había anunciado ninguna detención ni proporcionado detalles específicos sobre los activos robados, y aún no se ha revelado a qué red blockchain o tipo de token pertenecían las criptomonedas involucradas.
Los ataques físicos contra poseedores de criptomonedas no son casos aislados; una tendencia preocupante está emergiendo gradualmente.
Entre los casos similares que hemos reportado anteriormente se incluyen: un robo domiciliario en el Reino Unido con un monto involucrado de 4.3 millones de dólares; un caso en el barrio neoyorquino de SoHo donde se secuestró y torturó a la víctima para forzarla a entregar el acceso a su wallet de bitcoin; el aumento de secuestros relacionados con criptomonedas en Francia y las medidas adoptadas por el gobierno; medidas extremas de protección de conocidos poseedores de criptomonedas (como la "Familia Bitcoin"), que dispersan las frases semilla de sus wallets en varios continentes; la tendencia de inversores de alto patrimonio en criptomonedas a contratar personal de seguridad; y análisis sobre la tendencia de los "ataques con llave inglesa" (ataques mediante coacción física para obtener criptomonedas) y los pros y contras de la autocustodia de criptoactivos.
Tras el robo, comienza el rastreo on-chain
Aunque el robo comienza en la puerta de una casa, los fondos robados suelen moverse en los libros públicos de blockchain, lo que permite su rastreo — dando lugar a una "carrera": por un lado, el traslado de los canales de lavado de dinero; por el otro, las herramientas de congelamiento y rastreo que en 2025 ya son cada vez más maduras y sofisticadas. USDT en TRON sigue siendo un factor central en esta "carrera".
Este año, gracias a la colaboración entre emisores de tokens, redes blockchain y empresas de análisis de datos, la capacidad de la industria para congelar activos ilícitos ha mejorado. Según el informe del "Departamento de Delitos Financieros T3", desde finales de 2024 se han congelado cientos de millones de dólares en tokens de transacciones ilegales.
Si los fondos robados incluyen stablecoins, la posibilidad de bloquear su circulación a corto plazo aumenta significativamente — ya que los grandes emisores de stablecoins colaboran con las fuerzas del orden y socios de análisis de datos, y pueden incluir las direcciones de las wallets involucradas en listas negras tras recibir la notificación.
Datos más amplios también confirman la idea de que "las stablecoins son la herramienta preferida para el flujo de fondos ilícitos". El informe de delitos de Chainalysis 2025 muestra que en 2024 las stablecoins representaron aproximadamente el 63% del volumen total de transacciones ilegales, lo que supone un cambio significativo respecto a años anteriores, cuando BTC y ETH dominaban los canales de lavado de dinero.
Este cambio es crucial para la recuperación de fondos: los emisores centralizados de stablecoins pueden bloquear transacciones a nivel de token, y cuando los fondos llegan a intermediarios que requieren procesos KYC, las plataformas centralizadas (como los exchanges) se convierten en "nodos de interceptación" adicionales.
Mientras tanto, Europol advierte que los grupos criminales organizados están utilizando inteligencia artificial para mejorar sus métodos — lo que no solo acorta los ciclos de lavado de dinero, sino que también automatiza la fragmentación de fondos a través de diferentes redes blockchain y plataformas de servicios. Si se logra identificar la dirección objetivo de los fondos robados, la clave es notificar lo antes posible a los emisores de tokens y exchanges.
A nivel macro, las pérdidas de las víctimas siguen empeorando
Los registros del "Centro de Quejas de Delitos en Internet" del FBI muestran que en 2024 las pérdidas por delitos y estafas en línea alcanzaron los 16.6 mil millones de dólares, con un aumento interanual del 66% en los casos de estafas de inversión en criptomonedas. Entre 2024 y 2025, los incidentes de coacción física contra poseedores de criptomonedas (a veces llamados "ataques con llave inglesa") han recibido más atención — estos casos suelen combinar robos domiciliarios, secuestro de SIM (obtener el control de la SIM de otra persona mediante fraude) y técnicas de ingeniería social, y TRM Labs (empresa de seguridad blockchain) ya ha documentado tendencias relacionadas con este tipo de robos por coacción.
Aunque el caso de San Francisco solo involucró una vivienda, el modus operandi es representativo: invadir dispositivos → forzar a la víctima a transferir fondos o exportar la clave privada → dispersar rápidamente los fondos on-chain → probar si los canales de retiro son viables.
La nueva política regulatoria de California añade otra variable al caso. La "Ley de Activos Financieros Digitales" del estado entrará en vigor en julio de 2025, otorgando al "Departamento de Protección e Innovación Financiera" la autoridad para emitir licencias y hacer cumplir la ley sobre determinadas actividades de exchanges y custodios de criptomonedas.
Si cualquier "canal de salida" relacionado con California (es decir, canales para convertir criptomonedas en moneda fiduciaria), brokers OTC o proveedores de almacenamiento entran en contacto con estos fondos robados, el marco regulatorio de la "Ley de Activos Financieros Digitales" puede facilitar la cooperación con las fuerzas del orden. Aunque esto no es un método directo para recuperar activos autocustodiados, sí afecta a los contrapartes que los ladrones suelen utilizar para convertir criptomonedas en moneda fiduciaria.
Cambios regulatorios en otras regiones también influirán en el desarrollo del caso
Según el análisis legal de Venable LLP, el Departamento del Tesoro de EE. UU. eliminó el mezclador Tornado Cash de la "Lista de Nacionales Especialmente Designados" (lista de personas o entidades sancionadas por EE. UU.) el 21 de marzo de 2025, lo que cambia los requisitos de cumplimiento al interactuar con el código de este mezclador.
Sin embargo, este cambio no legaliza el lavado de dinero ni reduce la capacidad de análisis de las transacciones on-chain.
No obstante, sí debilita el "efecto disuasorio" que antes llevaba a algunos participantes a recurrir a otros mezcladores o puentes cross-chain. Si los fondos robados utilizan mezcladores tradicionales antes de ser retirados, o se transfieren a stablecoins a través de puentes cross-chain, el trabajo de rastreo de fondos y el primer punto de activación del proceso KYC seguirán siendo nodos clave del caso.
Dado que aún no se han hecho públicas las direcciones de las wallets involucradas, las plataformas de trading pueden planificar sus respuestas para los próximos 14 a 90 días en torno a tres rutas principales. La siguiente tabla, basada en la estructura del mercado y el entorno regulatorio de 2025, enumera el "modelo de transferencia de fondos de primer nivel", los indicadores a monitorear y los rangos de probabilidad de congelamiento y recuperación de fondos:
Las pistas de la línea de tiempo del caso pueden inferirse a partir del modelo anterior.
Durante las primeras 24-72 horas, es fundamental monitorear la consolidación y las transferencias tempranas de fondos. Si se revelan las direcciones involucradas y los fondos incluyen stablecoins, se debe notificar de inmediato al emisor para iniciar la revisión de la lista negra; si los fondos están en bitcoin o ethereum, se debe monitorear el uso de mezcladores, puentes cross-chain y si se convierten a USDT antes de retirarlos a moneda fiduciaria.
Según el proceso de colaboración del "Centro de Quejas de Delitos en Internet", si los fondos llegan a lugares que requieren KYC, normalmente se emite una "carta de preservación de activos" y se congelan las cuentas relevantes del exchange en un plazo de 7 a 14 días.
En un plazo de 30 a 90 días, si aparecen rutas de transacción con monedas de privacidad, la investigación se centrará en pistas off-chain, incluyendo análisis forense de dispositivos, registros de comunicaciones y rastros relacionados con el fraude del "falso repartidor" — el trabajo de rastreo de fondos de TRM Labs y empresas similares también avanzará en esta etapa.
El diseño de wallets sigue evolucionando para enfrentar riesgos de coacción física
En 2025, el uso de "wallets de computación multipartita" y "wallets de abstracción de cuentas" se ha expandido aún más, incorporando funciones como control estratégico, recuperación sin semilla, límites diarios de transferencia y procesos de aprobación multifactor — estos diseños pueden reducir el riesgo de "exposición de un solo punto" de la clave privada en incidentes de coacción física (es decir, la clave privada no se filtra a través de un solo dispositivo o paso).
Las funciones de "time lock" a nivel de contrato (mecanismos que retrasan la ejecución de transacciones) y "límites de gasto" pueden ralentizar la transferencia de fondos de alto valor y, si la cuenta es robada, crear una ventana de tiempo para alertar al emisor o al exchange.
Estas medidas de protección no reemplazan las normas básicas de seguridad en el uso de dispositivos y la seguridad del hogar, pero pueden reducir la probabilidad de que los ladrones tengan éxito si acceden a un teléfono o computadora portátil.
El informe del San Francisco Chronicle ya ha proporcionado los hechos clave del caso, pero el sitio web del Departamento de Policía de San Francisco aún no ha publicado un anuncio especial sobre el incidente.
El desarrollo posterior del caso dependerá de dos factores principales: si se harán públicas las direcciones objetivo involucradas y si los emisores de stablecoins o los exchanges ya han recibido solicitudes de revisión e intervención.
