Revisar un contrato en MetaMask implica leer el código que autorizas, verificar la dirección exacta del contrato y comprender las implicaciones fiscales de la operación. El error más común es aprobar sin leer, lo que puede llevar a pérdidas totales de fondos o a generar obligaciones tributarias no previstas.
El clásico: aprobar sin leer
La mayoría de la gente pulsa "Aceptar" sin mirar. Lo he visto cientos de veces. Te cuento, ese cuadro de confirmación de MetaMask no es un aviso de cookies. Es una autorización legal y técnica para que un código, que tú no controlas, interactúe con los activos de tu cartera. No leerlo es como firmar un contrato de arras con los ojos cerrados.
El problema es que ese contrato puede hacer más de lo que crees. No solo "swap". Puede incluir permisos para retirar tokens específicos de forma ilimitada, para delegar votos, o para bloquear fondos en una pool de liquidez. A veces el riesgo no es una estafa descarada, sino una funcionalidad que no entendiste y que te deja expuesto.
> Imagina que conectas tu wallet a un proyecto nuevo para farmear unos tokens. Aprobas el contrato. Lo que quizás no leíste es que ese contrato también tiene una función `sweep` que permite al creador retirar cualquier token ERC-20 que hayas aprobado. Si meses después recibes un airdrop valioso en esa misma wallet, el creador podría vaciarla. Ha pasado.
La alternativa es brutalmente simple: tómate 30 segundos para desplegar la sección de "Detalles del permiso" o "Verificar datos" antes de firmar. No necesitas ser desarrollador. Busca palabras como `unlimited`, `approve`, `transferFrom` o `deadline`. Si ves una dirección que no es la del DEX que conoces, para. En mi experiencia, este solo paso evita la inmensa mayoría de los desastres.
Confiar en el primer enlace de Google
Este error es hermano del primero, pero más sutil. No basta con leer el contrato; tienes que estar seguro de que estás interactuando con el contrato correcto. La web que parece PancakeSwap puede no serlo. El plugin de Chrome que descargaste anoche podría estar modificando las direcciones que ves en pantalla.
El resultado es el "approve" a un contrato malicioso que replica la interfaz de uno legítimo. Autorizas y tus fondos desaparecen en segundos. No hay recibo, no hay soporte al cliente al que reclamar. Los activos se esfuman hacia una dirección que nadie controla o, peor, hacia un actor que los liquida al instante.
> Verificación manual, siempre. No confíes en los faviconos bonitos. Usa bookmark de las URLs oficiales que hayas verificado a través de Twitter (X) del proyecto o de canales de Discord oficiales. Para contratos, comprueba la dirección en un explorador de bloques como Etherscan o BscScan. Compara los dígitos. Los últimos seis caracteres no son suficientes.
Y ojo con esto, porque aquí la fiscalidad se pone interesante. Si pierdes fondos por una estafa, fiscalmente has tenido una pérdida patrimonial. Eso, en teoría, puedes compensarla con ganancias de ese año o de los cuatro siguientes. Pero necesitas poder demostrarle a Hacienda lo ocurrido: la transacción fraudulenta, la denuncia (si la hay), el contexto. Sin ese papelito, esa pérdida no existe para el fisco. Y te quedas sin el activo y sin el beneficio fiscal.
Ignorar la huella fiscal de cada clic
Este es el error menos obvio y el que más dolores de cabeza causa a medio plazo. La gente piensa: "Es solo un 'approve', no estoy vendiendo". Fiscalmente, en España, ese razonamiento tiene un agujero del tamaño de un camión. El hecho imponible no es el "approve", cierto. Pero ese "approve" es la puerta a operaciones que sí lo son.
Te pongo un caso real. Aprobas un contrato para staking en un protocolo DeFi. No es una venta, así que piensas que no pasa nada. Pero cuando recibes las recompensas de staking, se genera un hecho imponible. Esas recompensas se consideran una ganancia patrimonial en el momento en que las recibes y puedes disponer de ellas. Su valor a precio de mercado en ese instante es tu base imponible.
> Los airdrops, las recompensas de staking y los tokens de gobernanza recibidos por proporcionar liquidez tributan como ganancia patrimonial en el momento de la recepción. Su valor fiscal es el que tengan en el mercado en ese preciso instante.
¿Y si luego el token se hunde? Da igual. Tributas por el valor que tenía cuando te llegó. Aquí el error no es perder fondos, es generarte una deuda con Hacienda sin saberlo. Y las sanciones por declarar mal o tarde pueden ser significativas.
La alternativa es llevar un registro quirúrgico de cada operación que genera un evento fiscal. Fecha, hora, valor en euros del activo en ese momento, tipo de operación. Para esto, herramientas de trazabilidad específicas son casi obligatorias cuando mueves volumen. Porque intentar reconstruirlo en abril con el historial de MetaMask y diez exchanges es una pesadilla que acaba en estimación de base y posibles comprobaciones.
Creer que "connect wallet" es inocuo
Otro clásico. Conectar tu cartera a una web para ver unos NFTs. Parece inofensivo, no estás firmando ninguna transacción. Pero ese simple "connect" puede exponer tu dirección pública y, con ella, todo tu historial de transacciones. Eso permite un perfilado de tu patrimonio.
¿Consecuencia real? Te conviertes en un objetivo prioritario para ataques de phishing dirigidos, ingeniería social o intentos de hackeo. Recibirás mensajes personalizados que parecen de soporte, ofertas demasiado buenas para ser verdad, o NFTs maliciosos. El riesgo no es inmediato, pero se incrementa exponencialmente.
La alternativa es usar carteras desechables o "burner wallets" para interactuar con sitios que no conoces bien. O, al menos, usar la función de "cuentas múltiples" que ofrecen algunas carteras para segregar fondos. Separa el juego de la seriedad. Tu cartera principal con tus ahorros no debería estar dando saltos por cada meme coin que quieres curiosear.
Asumir que DeFi es un limbo fiscal
Este es el error de concepto más grande y peligroso. La gente opera en pools de liquidez, farming, lending... y asume que, como la AEAT no ha dicho nada claro, no hay que declarar. Grave, grave error.
La fiscalidad de DeFi está en una zona gris enorme, pero no es un limbo. La norma general se aplica: si hay una permuta (intercambio de un activo por otro), hay hecho imponible. Si recibes algo a cambio de proporcionar liquidez, es una ganancia en el momento de la recepción. El problema es la complejidad técnica para valorar cada movimiento.
> La falta de un criterio fiscal explícito de la AEAT para operaciones complejas de DeFi NO significa que estén exentas. Significa que el riesgo de interpretación es tuyo. En una inspección, tendrás que justificar tu criterio. Y si no lo tienes, Hacienda aplicará el suyo.
La alternativa, obviamente, es el asesoramiento profesional caso por caso. No hay atajos. En mi práctica en Solcrip, dedicamos más tiempo a desentrañar una serie de operaciones en un protocolo DeFi que a un año entero de trading en Binance. Requiere entender el protocolo, los smart contracts y aplicar la normativa general por analogía. Es caro, sí. Pero más caro es una sanción por ocultar rendimientos de capital.
Al final, usar MetaMask con seguridad es un hábito. Es desconfiar por defecto, verificar dos veces y asumir que cada interacción tiene un coste potencial y, a menudo, una consecuencia fiscal. No es pesimismo, es realismo. El que sobrevive y prospera en este espacio no es el más listo, sino el que menos errores garrafales comete. Y la mayoría de ellos se evitan antes de pulsar ese botón azul de "Confirmar".
