Cómo funciona la seguridad de Nexo y cómo reforzar tu cuenta

May 148 min read

La seguridad en el mundo de las criptomonedas es una responsabilidad compartida. Las plataformas implementan medidas —controles de infraestructura, detección de fraudes, cifrado—, pero una parte importante del riesgo de la cuenta puede provenir del lado de la persona usuaria: contraseñas débiles, enlaces no verificados, direcciones que se swapean sin que nadie se dé cuenta.

Este Artículo trata ambas partes. Lo que Nexo ejecuta en segundo plano, lo que verifican los auditores independientes y lo que puedes habilitar para que tu cuenta sea significativamente más difícil de vulnerar.

Qué se ejecuta en segundo plano

Estos operan por defecto. No hay nada que configurar o habilitar, ya que están activados para cada cuenta y cada transacción.

Motor antifraude

Cada retiro en Nexo pasa por un motor antifraude automatizado que analiza las transacciones en tiempo real antes de que los fondos salgan de la plataforma. Si algo parece extraño —una dirección asociada a una actividad de fraude conocida, un patrón de transacción inusual, un destino que no coincide con el comportamiento anterior—, verás un aviso en lenguaje sencillo que explica el problema. Sin jerga, sin advertencias ambiguas. En casos excepcionales de alto riesgo, una transacción puede ser pausada brevemente para su revisión.

El motor se ejecuta silenciosamente en segundo plano. La mayoría de las personas usuarias nunca se encontrarán con él. Ese es el objetivo.

Cifrado

Los datos en tránsito y en reposo en toda la plataforma están protegidos con cifrado SSL AES de 256 bits, el mismo estándar utilizado por las instituciones financieras y la infraestructura en la nube a gran escala en todo el mundo.

Auditorías independientes

La infraestructura de Nexo se somete a auditorías independientes con una serie de marcos de seguridad reconocidos internacionalmente, todos renovados anualmente:

  • SOC 2 Tipo 2 — controles y procesos de seguridad operativa
  • SOC 3 — resumen público de la auditoría SOC 2
  • ISO 27001 — gestión de la seguridad de la información
  • ISO 27017 — controles de seguridad específicos de la nube
  • ISO 27018 — protección de la información de identificación personal en la nube
  • CSA STAR Nivel 1 — garantía de seguridad en la nube

Son realizadas por terceros independientes de forma recurrente.

Lo que puedes habilitar

El lado de la plataforma cubre la infraestructura y las transacciones. Lo que no puede cubrir es el acceso a tu cuenta, eso depende de cómo hayas configurado las cosas. Estas funciones están disponibles para todas las personas usuarias y tardan minutos en configurarse.

Autenticación de dos factores (2FA)

La 2FA añade un segundo paso de verificación al iniciar sesión. En Nexo, la misma verificación —SMS, email o app de autenticación— también es necesaria para acciones sensibles: retiros, ediciones en la libreta de direcciones y cambios en los ajustes de seguridad. Así que, aunque alguien tenga tu contraseña, no podrá mover fondos ni cambiar tu configuración sin el segundo factor.

Las apps de autenticación (como Google Authenticator o Authy) son más seguras que la 2FA por SMS. Los SMS son vulnerables a los ataques de SIM swap, en los que un atacante convence a tu operador de telefonía móvil para que transfiera tu número a una SIM que controla. Si usas 2FA por SMS, vale la pena tomarse los dos minutos que lleva cambiar a una app de autenticación.

Para habilitar: ve a tus ajustes de Seguridad y selecciona tu método de 2FA preferido.

Nota importante: la 2FA reduce significativamente el riesgo de acceso no autorizado, pero no es una garantía total. Guarda tus códigos de recuperación en un lugar seguro; perder el acceso a tu dispositivo 2FA sin una copia de seguridad puede bloquearte el acceso a tu cuenta.

Código antiphishing

El phishing —emails falsos que parecen ser de Nexo— es uno de los vectores de ataque más comunes en el mundo de las criptomonedas. El código antiphishing es una cadena de texto personal que tú mismo estableces y que aparece en el pie de página de cada email legítimo que Nexo te envía. Si un email que dice ser de Nexo no incluye tu código, no procede de Nexo.

Para configurarlo: abre la Nexo apptoca tu perfil Seguridad y AjustesCódigo antiphishing → introduce un código de tu elección.

Una vez configurado, considera sospechoso cualquier email de Nexo que no contenga tu código, por muy convincente que parezca.

Lista autorizada de direcciones

Uno de los vectores de ataque más silenciosos en el mundo de las criptomonedas es el intercambio de direcciones: un malware que sustituye silenciosamente una dirección de retiro copiada por otra controlada por un atacante. Si no verificas la dirección completa carácter por carácter antes de confirmar, es posible que no te des cuenta.

La lista blanca de direcciones bloquea tus retiros a las direcciones guardadas en tu libreta de direcciones (hasta 500). También puedes establecer una demora de seguridad extra en las direcciones recién añadidas: una ventana de tiempo configurable antes de que una nueva dirección pueda utilizarse para retiros. Esto cierra la ventana de swap: aunque un atacante obtenga acceso temporal a tu cuenta, no podrá retirar inmediatamente a una nueva dirección.

Para habilitar: ve a tus ajustes de Seguridad y activa la Lista blanca de direcciones.

Validador de canales

Antes de interactuar con cualquier dirección de email, cuenta de redes sociales o URL que afirme ser de Nexo, puedes verificarlo en nexo.com/channel-validator. Si no está en el validador, no es un canal oficial de Nexo.

Esto es especialmente útil para las redes sociales: las cuentas de Nexo falsas en X, Telegram y Discord son habituales, y suelen suplantar la identidad del personal de asistencia o realizar campañas de promoción falsas.

Lo que Nexo nunca hará

Algunas cosas que vale la pena saber, porque conocerlas facilita la detección de intentos de ingeniería social:

  • Nexo nunca te pedirá tu contraseña o código 2FA
  • Nexo nunca te pedirá que autorices una transacción a través de chat, email o texto
  • Nexo nunca te enviará un enlace para iniciar sesión por SMS

Si alguien que dice ser de Nexo hace alguna de esas cosas, no es Nexo. Puedes denunciar actividades sospechosas al equipo de atención al cliente en support.nexo.com/contact.

De dónde proviene realmente la seguridad de tu cuenta

Ninguna plataforma puede eliminar todos los riesgos. Lo que hacen las medidas anteriores —tanto la infraestructura de la plataforma como las funciones del lado de la persona usuaria— es reducir la superficie de ataque y hacer que tu cuenta sea significativamente más difícil de vulnerar.

La infraestructura se encarga de lo que las personas usuarias no pueden ver ni controlar. Las funciones del lado de la persona usuaria se encargan de lo que la plataforma no puede, porque ninguna cantidad de seguridad de backend detiene a un atacante que tiene tus credenciales, o a una persona usuaria que hace clic en un enlace de phishing.

Configurar la 2FA a través de una app de autenticación, habilitar el código antiphishing y activar la lista blanca de direcciones lleva menos de diez minutos. Es la acción de seguridad de mayor rendimiento que la mayoría de las personas usuarias aún no han realizado.

Para una descripción más completa de las amenazas comunes y cómo defenderse de ellas, consulta Amenazas de seguridad comunes y cómo mitigarlas.

Preguntas frecuentes

1. ¿Qué es el motor antifraude y cómo funciona? 

Es un sistema automatizado que analiza cada retiro en tiempo real antes de que los fondos salgan de la plataforma. Si una transacción parece sospechosa —basándose en la dirección de destino, el patrón de la transacción u otras señales—, verás una explicación en lenguaje sencillo. En casos excepcionales de alto riesgo, la transacción puede ser pausada brevemente. Se ejecuta por defecto sin nada que configurar.

2. ¿Cuál es la diferencia entre la 2FA por SMS y una app de autenticación? 

Ambos añaden un segundo paso de verificación al iniciar sesión. La 2FA por SMS es vulnerable a los ataques de SIM swap, en los que un atacante convence a tu operador de telefonía móvil para que reasigne tu número a una SIM que controla. Las apps de autenticación generan códigos localmente en tu dispositivo y no están vinculadas a tu número de teléfono, lo que las hace más resistentes a este tipo de ataque.

3. ¿Qué debo hacer si recibo un email sospechoso que dice ser de Nexo? 

Comprueba si lleva tu código antiphishing en el pie de página; si no lo tiene, no procede de Nexo. También puedes verificar cualquier dirección de email, cuenta social o URL en nexo.com/channel-validator. Informa de los mensajes sospechosos al equipo de atención al cliente de Nexo en support.nexo.com/contact.

4. ¿Puede el personal de Nexo acceder a mi cuenta sin mi permiso? 

Nexo nunca te pedirá tu contraseña o código 2FA, y nunca te pedirá que autorices transacciones a través de chat, email o texto. Si alguien que dice ser del soporte de Nexo hace alguna de esas cosas, no es Nexo.

5. ¿Qué es la lista blanca de direcciones y debo habilitarla? 

La lista blanca de direcciones restringe los retiros a las direcciones que has preaprobado en tu libreta de direcciones. También te permite establecer una demora antes de que las direcciones recién añadidas puedan ser utilizadas. Esto protege contra el malware de intercambio de direcciones y limita lo que un atacante puede hacer con el acceso temporal a la cuenta. Vale la pena habilitarla si tienes destinos de retiro regulares.

Estos materiales son accesibles a nivel mundial, y la disponibilidad de esta información no constituye el acceso a los servicios descritos, los cuales pueden no estar disponibles en ciertas jurisdicciones. Estos materiales son solo para fines de información general y no pretenden ser un asesoramiento financiero, legal, fiscal o de inversión, ni una oferta, solicitud, recomendación o respaldo para usar cualquiera de los Servicios de Nexo y no son personalizados ni están adaptados de ninguna manera para reflejar objetivos de inversión, situación financiera o necesidades particulares. Las criptomonedas están sujetas a un alto grado de riesgo, que incluye, entre otros, la dinámica volátil de los precios del mercado, los cambios regulatorios y los avances tecnológicos. El rendimiento pasado de los activos digitales no es un indicador confiable de resultados futuros. Las criptomonedas no son dinero ni moneda de curso legal, no están respaldadas por el gobierno ni por un banco central, y la mayoría no tiene ningún activo subyacente, flujo de ingresos u otra fuente de valor. Se debe ejercer un juicio independiente basado en las circunstancias personales, y se recomienda la consulta con un profesional cualificado antes de tomar cualquier decisión.

Las medidas de seguridad descritas en este Artículo reflejan la infraestructura y las características de Nexo a la fecha de su publicación. La seguridad es un campo en evolución, y ningún sistema elimina todos los riesgos. Se anima a las personas usuarias a mantenerse informadas y a tomar un papel activo en la protección de sus cuentas.