Las criptomonedas se han convertido en un elemento habitual en investigaciones de fraude fiscal y delitos financieros. Sin embargo, el reciente incidente en el Servicio Nacional de Impuestos de Corea del Sur (National Tax Service, NTS) muestra cómo un solo error de ciberseguridad en la gestión de criptoactivos puede anular meses de trabajo operativo y derivar en pérdidas millonarias para el Estado.
Operación contra evasores fiscales y un error fatal de seguridad
El NTS informó de una operación a gran escala contra 124 grandes morosos fiscales, en la que se confiscaron bienes por unos 8,1 mil millones de won (aproximadamente 5,6 millones de dólares). Entre los activos incautados se encontraban efectivo, artículos de lujo y criptomonedas almacenadas en un hardware wallet Ledger.
Para ilustrar los resultados de la operación, la agencia publicó un comunicado de prensa con fotografías del material confiscado. En una de las imágenes aparecía no solo el dispositivo Ledger, sino también una nota manuscrita con la seed phrase completa, es decir, la frase mnemotécnica que actúa como clave maestra del monedero.
Con esa publicación, el organismo tributario expuso en Internet el acceso total a los criptoactivos incautados. Pocas horas después, un atacante desconocido vació el monedero, transfiriendo 4 millones de tokens Pre-Retogeum (PRTG), valorados en torno a 4,8 millones de dólares en el momento del robo.
Cómo se ejecutó el ataque: de la tasa de gas al vaciado del monedero
Según medios surcoreanos, el análisis de las transacciones en la cadena de bloques revela que el atacante actuó con conocimiento técnico. Primero envió una pequeña cantidad de Ethereum a la dirección del monedero confiscado, destinada a cubrir las gas fees (las comisiones necesarias para ejecutar operaciones en la red).
A continuación, realizó tres transacciones separadas para transferir los tokens PRTG a una dirección bajo su control. Este patrón es habitual entre actores que comprenden el funcionamiento de las blockchain públicas y buscan reducir el riesgo de que una única operación sea bloqueada o monitorizada con éxito.
Por qué una seed phrase expuesta es más grave que una contraseña filtrada
En ciberseguridad de criptomonedas, una seed phrase (o frase semilla) es muy distinta a una contraseña convencional. Se trata de una secuencia estandarizada de palabras a partir de la cual se derivan de forma determinista todas las claves privadas y direcciones de un monedero.
Quien tiene acceso a esa frase puede, sin necesidad de información adicional:
— Restaurar el monedero en cualquier dispositivo compatible;
— Tomar el control completo de todos los criptoactivos asociados;
— Ejecutar transacciones irreversibles, imposibles de anular una vez registradas en la blockchain.
En la práctica, publicar una seed phrase equivale a entregar un cajón de seguridad con la llave pegada en la puerta y anunciar públicamente dónde se encuentra. Expertos en blockchain en Corea del Sur han comparado el fallo del NTS con dejar una cartera llena de efectivo abierta en la calle, invitando a cualquiera a llevársela.
Fallo organizativo y carencia de competencias en gestión de criptoactivos
Este caso no refleja una vulnerabilidad técnica sofisticada, sino un fracaso organizativo y una evidente falta de competencias básicas en activos digitales dentro del sector público. Entre los problemas más relevantes destacan:
1. Ausencia de protocolos claros para datos sensibles. Elementos como seed phrases, claves privadas, PIN y códigos QR de monederos deben clasificarse como información de máxima confidencialidad y nunca aparecer en material gráfico sin anonimización estricta.
2. Deficiencias en la formación del personal. Funcionarios que manipulan criptomonedas necesitan comprender los principios de seguridad de hardware wallets, el funcionamiento de la blockchain y los mecanismos de recuperación de acceso. Sin esta base, incluso acciones bien intencionadas pueden producir pérdidas irreparables.
3. Subestimación del uso de fuentes abiertas por atacantes. Los ciberdelincuentes monitorizan de forma sistemática prensa, redes sociales y repositorios públicos en busca de errores operativos. En un entorno de registros públicos como la blockchain, la ventana entre una fuga de información y un robo efectivo se mide en minutos u horas.
Respuesta del NTS y ajustes en las políticas de ciberseguridad
Tras detectar el incidente, el Servicio Nacional de Impuestos retiró el comunicado de su sitio web y presentó disculpas públicas, indicando que el objetivo de las fotografías era aportar «información más visual» sobre la operación.
El organismo solicitó al Servicio Nacional de Policía que investigue la identidad del responsable del vaciado del monedero e informó de que revisará sus procedimientos de incautación, custodia y gestión de criptoactivos. También anunció programas de formación adicional en ciberseguridad y buenas prácticas digitales para su personal.
Mejores prácticas de ciberseguridad en criptomonedas para gobiernos y empresas
Lo ocurrido en Corea del Sur refleja riesgos que afectan por igual a administraciones públicas y al sector privado. Para reducir la superficie de ataque en la gestión de criptomonedas, resulta recomendable:
— Prohibir la captura de imágenes de soportes de claves (seed phrases, claves privadas, códigos QR de monederos) salvo bajo controles estrictos y con anonimización total.
— Implantar procedimientos operativos estandarizados (SOP) para el embargo, almacenamiento y auditoría de criptoactivos, basados en el principio de mínimo privilegio y la separación de funciones.
— Formar de manera continua al personal en fundamentos de blockchain, riesgos específicos de los criptoactivos y uso seguro de hardware wallets.
— Utilizar soluciones especializadas de custodia, como esquemas de multifirma, servicios de custodia certificados o almacenes fríos (cold storage) con controles de acceso multinivel.
La incorporación creciente de criptomonedas en casos de fraude fiscal y delitos económicos convierte la ciberseguridad de criptoactivos en una competencia imprescindible, no en un nicho técnico. Revisar procesos internos, actualizar los protocolos de seguridad y capacitar a los equipos hoy es la forma más eficaz de evitar que el próximo «error didáctico» suponga otra pérdida millonaria para organizaciones y contribuyentes.
