Autoridades fiscales surcoreanas exponen frase semilla en foto pública y pierden millones en cripto incautada
En un error de seguridad sin precedentes, el Servicio Nacional de Impuestos (NTS) de Corea del Sur reveló públicamente la frase semilla de una billetera hardware con criptoactivos incautados, lo que facilitó el drenaje temporal de activos valorados en hasta 5 millones de dólares. El incidente ocurrió el 26 de febrero de 2026, cuando el NTS incluyó fotos sin censurar en un comunicado de prensa sobre una incautación de 8.100 millones de wones a un deudor fiscal. Un hacker accedió rápidamente a los fondos, pero los devolvió horas después al toparse con tokens ilíquidos. Este suceso expone vulnerabilidades en la custodia de activos digitales por parte de instituciones públicas y resalta la necesidad de protocolos estrictos en el manejo de pruebas criptográficas.
El error del NTS: frase semilla expuesta en comunicado oficial
El 26 de febrero de 2026, el Servicio Nacional de Impuestos de Corea del Sur publicó un comunicado celebrando la incautación de 8.100 millones de wones en activos de un deudor fiscal identificado como ‘C’. Para ilustrar el éxito del operativo, incluyeron fotografías de la redada en su vivienda, mostrando un dispositivo Ledger junto a un papel con la frase semilla escrita a mano, sin ningún difuminado ni censura. Esta frase mnemotécnica de 12 o 24 palabras permite acceso total a la billetera. En menos de dos horas, un actor desconocido restauró la billetera en su software, fondeó con Ethereum para gas fees y vació los fondos en tres transacciones: 4 millones de tokens Pre-Retogeum (PRTG), valorados nominalmente en 4,8 millones de dólares.
El robo frustrado: devolución por falta de liquidez del mercado
Los tokens PRTG resultaron ser activos ‘zombis’ con un volumen diario de solo 332 dólares. Vender 4,8 millones de dólares habría colapsado el precio a cero. Aproximadamente 20 horas después, el hacker devolvió todos los tokens a las billeteras originales, permitiendo al NTS recuperar los fondos por suerte más que por competencia. Este desenlace subraya riesgos en criptoactivos ilíquidos incautados: fáciles de robar en blockchain, pero difíciles de liquidar sin alertar. El profesor Cho Jae-woo de la Universidad Hansung criticó el error como tratar una frase semilla como prueba física ordinaria, desperdiciando miles de millones de wones en recuperación potencial.
Implicaciones para la custodia institucional de criptoactivos
El incidente se suma a fallos recientes en Corea del Sur, como la pérdida de 22 BTC (1,4 millones de dólares) por la policía de Gangnam en 2021 por no usar billetera fría adecuada. Estas negligencias han impulsado cambios: ahora, criptomonedas incautadas deben gestionarse por Proveedores de Servicios de Activos Virtuales (VASP) certificados, evitando custodia física por policías o fiscales no preparados. En un país líder en adopción cripto, estos errores resaltan la brecha entre regulación avanzada y formación técnica básica, recordando que el eslabón débil en blockchain es el error humano en protocolos de seguridad.
