Saltar al contenido principal

La catástrofe de OpSec de $4.8 millones en Corea del Sur: Cómo el Servicio Nacional de Impuestos fotografió su propia frase semilla y fue robado dos veces en 48 horas

· 14 min de lectura
Dora Noda
Dora Noda
Software Engineer

Imagine asaltar el apartamento de un evasor de impuestos, confiscar cuatro carteras de hardware y luego publicar un comunicado de prensa triunfal que muestre la evidencia recuperada — con la frase semilla de la cartera claramente visible en la foto. Ahora imagine que un ladrón vacía la cartera en cuestión de horas, devuelve los tokens como advertencia y un segundo ladrón los roba de nuevo antes de que su agencia pueda reaccionar.

Eso no es un experimento mental de Twitter cripto. Eso es exactamente lo que le sucedió al Servicio Nacional de Impuestos (NTS) de Corea del Sur a finales de febrero de 2026 — un error garrafal que le costó al gobierno aproximadamente 4,8 millones de dólares en tokens Pre-Retogeum (PRTG) confiscados y expuso lo poco preparadas que están la mayoría de las agencias estatales para custodiar los activos digitales que confiscan cada vez más.

La foto que se comió 4,8 millones de dólares

La secuencia de eventos es casi cómicamente mala. El 26 de febrero de 2026, los agentes del NTS allanaron la casa de un contribuyente que debía impuestos sobre las ganancias de capital no pagados. Según CoinDesk, los agentes confiscaron al menos cuatro carteras de hardware y una cantidad no revelada de efectivo. Procedimiento estándar hasta ese momento.

Luego vino el comunicado de prensa. Para dar publicidad a la operación, el NTS preparó una fotografía de los artículos recuperados — carteras de hardware Ledger dispuestas junto a las tarjetas de papel de respaldo que contenían sus frases de recuperación mnemónicas. La imagen se publicó en los canales oficiales sin censurar. La mnemotécnica de 12 o 24 palabras era legible para cualquier persona con una herramienta de captura de pantalla y paciencia.

En pocas horas, según The Block, un observador había reconstruido la semilla, importado la cartera y comenzado a vaciarla. El atacante primero envió una pequeña cantidad de ETH para cubrir el gas, luego drenó 4 millones de tokens PRTG — con un valor de unos 4,8 millones de dólares en ese momento — a través de tres transacciones a una dirección nueva.

Como dijo el analista de blockchain Cho Jae-woo a la prensa coreana, el incidente fue equivalente a "dejar una cartera abierta y anunciarlo a toda la nación".

El doble robo que lo empeoró todo

La historia no terminó con el primer ladrón. Se volvió más extraña.

El 28 de febrero, el atacante inicial supuestamente se puso en contacto con la policía coreana, afirmó que había actuado como un white hat y devolvió el saldo total de 4 millones de PRTG a la cartera original controlada por el NTS. Un movimiento de ciudadano diligente — excepto que el NTS no había rotado la frase semilla, revocado las credenciales expuestas ni movido la cartera. La semilla que se había filtrado 48 horas antes seguía siendo la clave activa.

Dos horas después de la devolución, un segundo atacante — alguien que aparentemente había estado vigilando la misma mnemotécnica expuesta — barrió la cartera de nuevo y transfirió el saldo completo a una dirección ya marcada por actividad de "phishing falso" por los exploradores de blockchain. Esta vez, nadie devolvió nada.

Dos robos. Misma cartera. Misma frase semilla. Diferentes atacantes. Con menos de 48 horas de diferencia.

El segundo drenaje eliminó cualquier ambigüedad restante sobre lo que salió mal: el NTS había tratado una cartera comprometida como si todavía fuera segura, porque su manual de custodia no contemplaba qué hacer cuando una frase semilla se hace pública.

Por qué esto es un problema de gobernanza, no solo un problema de formación

Sería fácil presentar esto como el error vergonoso de una sola agencia — un error de principiante por parte de agentes fiscales que nunca habían usado una cartera de hardware. Pero ese enfoque ignora el problema estructural. Los gobiernos de todo el mundo poseen enormes y crecientes reservas de criptomonedas confiscadas, y la mayoría de ellos las manejan con la madurez operativa de un aficionado.

Considere los precedentes:

  • Alemania, en julio de 2024, vendió 50.000 BTC incautados del sitio de piratería Movie2K a un promedio de 57.600 dólares por moneda — ingresos totales de unos 2.880 millones de dólares. Posteriormente, Bitcoin se duplicó, lo que significa que esa misma reserva habría valido más de 5.500 millones de dólares a finales de año. Una decisión de gobernanza sobre cuándo vender provocó una pérdida en papel mayor que muchas incautaciones nacionales de criptomonedas.
  • El Servicio de Alguaciles de EE. UU. (US Marshals Service), en una auditoría de 2025, no pudo decirle al Inspector General del DOJ exactamente cuántas criptomonedas poseía. Desde entonces, ha dividido el mandato de custodia: Coinbase para activos de Clase 1 de gran capitalización, CMDSS para las altcoins de Clase 2–4 más complejas.
  • Corea del Sur está redactando la Ley Básica de Activos Digitales para permitir que las corporaciones asignen hasta el 5% del capital social en las 20 principales criptomonedas. El mismo gobierno no puede asegurar un Ledger confiscado.

El patrón es constante en todas las jurisdicciones: la capacidad de aplicación de la ley para confiscar criptomonedas ha superado la capacidad institucional para custodiarlas, contabilizarlas y, en última instancia, disponer de ellas. La fotografía de la frase semilla de Corea es el ejemplo más visual, pero no es el más costoso.

El stack de custodia que los gobiernos ya deberían estar usando

Nada de esto está sin resolver en el sector privado. La custodia institucional de activos digitales es una categoría de productos madura con diversas arquitecturas robustas. El hecho de que el NTS guardara las monedas incautadas en una billetera de hardware básica — con una semilla de papel que cualquiera en la sala de evidencias podía ver — refleja la decisión de tratar a las criptomonedas como dinero en efectivo de papel en lugar de como un instrumento al portador que requiere custodia criptográfica.

El stack mínimo para activos digitales en manos del gobierno en 2026 se parece a esto:

  1. Billeteras de computación multipartita (MPC). Proveedores como Fireblocks dividen una clave privada en fragmentos distribuidos entre múltiples partes y módulos de hardware. Ningún agente individual posee nunca la clave completa; ninguna fotografía puede exponerla. Una comparativa de la industria realizada por Ridgeway Financial Services analiza las compensaciones arquitectónicas entre DFNS, Fireblocks y Anchorage.
  2. Custodios calificados con licencias bancarias. Anchorage Digital posee la única licencia bancaria federal de la OCC en el sector cripto y ya presta servicios a BlackRock y PayPal. Para una autoridad fiscal, el modelo correcto es probablemente contratar a un custodio calificado en lugar de desarrollar la custodia internamente — tal como la mayoría de los gobiernos no imprimen su propio papel moneda.
  3. Almacenamiento en frío respaldado por HSM para tenencias a largo plazo. Los módulos de seguridad de hardware (HSM) que cumplen con FIPS 140-2 Nivel 3 mantienen las claves dentro de silicio resistente a manipulaciones. Las claves pueden usarse para firmar sin ser exportadas nunca a un medio visible para humanos.
  4. Software de cadena de custodia y políticas de transferencia. Las plataformas de grado institucional aplican aprobaciones de múltiples firmantes, listas permitidas de retiro y registros de auditoría. Un flujo de trabajo posterior a la incautación de "rotar claves y transferir a una nueva dirección de custodia" sería un primer paso obligatorio, no una ocurrencia tardía.
  5. Procedimientos operativos estándar para comunicaciones públicas. El fallo más costoso no fue criptográfico. Fue la decisión de un equipo de comunicaciones de publicar una fotografía sin revisar. Cualquier régimen de custodia maduro trata las frases semilla como material clasificado al mismo nivel que las claves criptográficas que protegen las comunicaciones gubernamentales.

El NTS se ha comprometido a todo esto de forma retroactiva. El Viceprimer Ministro y Ministro de Finanzas de Corea del Sur, Koo Yun-cheol, confirmó la filtración públicamente y anunció una investigación interinstitucional que involucra a la Comisión de Servicios Financieros y al Servicio de Supervisión Financiera. La agencia tributaria dice que realizará una revisión de seguridad externa y reescribirá su manual para el ciclo de vida completo desde la incautación hasta la venta. Cointelegraph informa que el NTS está explorando activamente ceder la custodia de las criptomonedas incautadas a especialistas privados.

Esa es la dirección correcta. También debería haber sido la política antes de la fotografía, no después.

El precedente incómodo para los inversores regulados

Hay una historia de segundo orden aquí que importará más que la pérdida de $4,8 millones en sí.

La Ley Básica de Activos Digitales de Corea del Sur está diseñada para atraer a las tesorerías corporativas y a los inversores profesionales a rieles regulados. El marco depende de una premisa simple: el estado es un administrador competente de los activos digitales y puede supervisar de manera creíble la administración de otros. Cada ciclo de noticias en el que una agencia gubernamental demuestra que no puede mantener una frase semilla fuera de una foto de un comunicado de prensa erosiona esa premisa.

Se puede ver la contradicción claramente al comparar el calendario. El FSC y el Banco de Corea han pasado meses discutiendo sobre si los emisores de stablecoins deben ser propiedad mayoritaria de bancos. La regla de asignación corporativa propuesta del 5% se está debatiendo en el contexto de qué activos califican, qué custodios están aprobados y qué ratios de reserva se aplican. Mientras tanto, un brazo separado del mismo gobierno está enviando billeteras a los tribunales con la combinación escrita en el exterior del maletín.

Para los inversores institucionales que la Ley Básica de Activos Digitales intenta atraer, la señal es clara: los rieles on-chain regulados están llegando, pero los propios reguladores aún necesitan asimilar las lecciones de autocustodia de la última década. Ese delta tardará tiempo en cerrarse.

Lecciones operativas que todo constructor debería copiar

Para los equipos de protocolos, los exchanges de custodia y cualquier otra persona que algún día pueda interactuar con la custodia de las fuerzas del orden — ya sea para recuperar fondos robados o para responder a una incautación legítima — el incidente coreano es un estudio de caso que vale la pena memorizar.

  • Trate cualquier clave como potencialmente comprometida en el momento en que abandone su límite operativo. La segunda pérdida del NTS fue totalmente evitable. Al tomar la custodia de una billetera de hardware, el movimiento correcto es transferir inmediatamente el saldo a una dirección recién generada y controlada por la agencia. La billetera incautada nunca debe volver a usarse, independientemente de si su semilla fue expuesta o no.
  • Asuma que las frases semilla se filtran y diseñe para esa suposición. Las billeteras "ocultas" protegidas por contraseña (a menudo llamadas la palabra 25) son baratas de implementar y hacen que una frase semilla aislada sea inútil. Las billeteras bajo coacción van un paso más allá para escenarios de amenazas físicas.
  • Separe la fotografía de evidencia del material de las claves. Las billeteras de hardware pueden fotografiarse sin sus tarjetas de respaldo. Las tarjetas de respaldo pueden registrarse mediante el número de serie o el compromiso de hash sin publicar las palabras subyacentes. Los flujos de trabajo de evidencia estándar ya hacen esto para cosas como identificadores únicos en armas de fuego; las criptomonedas merecen la misma disciplina.
  • Registre todo en sistemas multipartitos. Las arquitecturas multi-sig o MPC obligan a que al menos dos humanos participen en un retiro, lo cual es la defensa con el mayor retorno de inversión (ROI) contra errores internos y de punto único de falla por igual.

BlockEden.xyz opera infraestructura de RPC e indexación de nivel empresarial en más de 20 cadenas, incluyendo los canales de datos on-chain utilizados por equipos de cumplimiento y forenses. Si está construyendo herramientas de custodia, monitoreo o recuperación para clientes institucionales o gubernamentales, explore nuestro marketplace de API para obtener datos multi-chain confiables que resistan las auditorías.

Qué sigue

La oficina de impuestos de Corea del Sur saldrá de esta vergüenza con una mejor estrategia. Probablemente, también lo harán los homólogos del NTS en otras jurisdicciones que observaron cómo se desarrollaba la historia en tiempo real. Se esperan anuncios discretos de adquisiciones durante el próximo año a medida que las agencias tributarias nacionales, los servicios policiales y los fiscales incorporen custodios calificados y plataformas MPC en lugar de manejar carteras de hardware ellos mismos.

Pero la historia de fondo es que la era de los gobiernos como observadores pasivos de las criptomonedas está llegando a su fin. Se están convirtiendo en custodios activos, casas de subastas y — cada vez más — en reguladores de la misma infraestructura que utilizan sus propias agencias. Cada error público como la fotografía del Ledger reduce la brecha entre la madurez operativa del sector público y los estándares en los que el sector privado ha estado iterando desde 2013.

La pérdida de 4,8 millones de dólares en PRTG no será el último ejemplo. Con un poco de suerte, será uno de los más instructivos.

Fuentes

Share on Twitter