El comunicado de prensa de 4,8 millones de dólares: Cómo la agencia tributaria de Corea del Sur filtró una frase semilla y fue salvada por un token ilíquido

El 26 de febrero de 2026, el Servicio Nacional de Impuestos (NTS) de Corea del Sur celebró una importante victoria en materia de cumplimiento. Había realizado redadas contra 124 evasores de impuestos de alto valor, incautando aproximadamente 8.100 millones de wones ( 5,6 millones de dólares ) en activos digitales. La agencia publicó con orgullo un comunicado de prensa, acompañado de fotografías de alta resolución de los monederos de hardware Ledger incautados.

Solo había un problema. Una de esas fotografías mostraba la frase de recuperación escrita a mano, totalmente sin censura, con una claridad de píxel perfecta y transmitida a nivel mundial.

En pocas horas, 4 millones de tokens Pre-Retogeum (PRTG) — valorados nominalmente en 4,8 millones de dólares — habían sido drenados. Luego, unas 20 horas más tarde, el atacante los devolvió. No por remordimiento, sino porque el volumen de negociación diario del token era de 332 $ y deshacerse de él era matemáticamente imposible. Corea del Sur fue rescatada por la misma falta de liquidez que, en primer lugar, hacía que la incautación careciera de sentido económico.

El incidente es divertido, vergonzoso e iluminador, todo a la vez. También es una advertencia. A medida que los gobiernos mantienen cada vez más miles de millones en criptoactivos incautados, la brecha entre la ambición de aplicación de la ley y la competencia en custodia nunca ha sido tan grande.

Anatomía de un desastre de relaciones públicas de 4,8 millones de dólares

El NTS quería una prueba vívida de su fuerza de ejecución. En lugar de recortar o desenfocar los dispositivos Ledger incautados, el personal publicó las fotos originales directamente de la redada. Una imagen capturó un trozo de papel junto a un Ledger Nano: la frase de respaldo que el objetivo aparentemente había escrito a mano y guardado junto al dispositivo.

La disculpa posterior de la agencia dijo la verdad sin tapujos: "En un esfuerzo por proporcionar información más vívida, no nos dimos cuenta de que se incluía información sensible y proporcionamos descuidadamente la foto original". La traducción: nadie en el equipo de prensa entendió que una secuencia de 12 palabras junto a un Ledger es la llave maestra, no un elemento decorativo.

Pocas horas después de la publicación, un atacante no identificado reconstruyó la billetera. El análisis forense on-chain muestra una secuencia de libro de texto:

1. Preparación de gas — El atacante depositó una pequeña cantidad de Ethereum en la billetera incautada para cubrir las tarifas de transacción.
2. Extracción — Movieron los 4 millones de tokens PRTG en tres transacciones cuidadosamente dimensionadas a una dirección externa.
3. Espera — Luego, no pasó nada.

Porque no había nada que pudieran hacer con el botín.

Por qué la falta de liquidez salvó a Corea

PRTG, o Pre-Retogeum, es el tipo de token del que la mayoría de la gente nunca ha oído hablar, y por una buena razón. Se negocia en exactamente un exchange centralizado — MEXC — y registra aproximadamente ** 332 $en volumen de 24 horas**. Según CoinGecko, una orden de venta de solo 59$ hundiría el precio en un 2 %.

Las matemáticas de intentar cobrar 4,8 millones de dólares frente a esa liquidez son nefastas. Incluso distribuyendo la liquidación durante semanas, el atacante habría:

• Señalado patrones obvios de robo al equipo de cumplimiento de MEXC
• Desplomado el precio en más de un 90 % antes de que se liquidara un volumen significativo
• Atraído la atención instantánea de las autoridades surcoreanas que ya estaban investigando

Aproximadamente 20 horas después de la transferencia inicial, el atacante se rindió. Una dirección vinculada a la billetera del ladrón "86c12" envió los 4 millones de tokens PRTG de vuelta a las direcciones originales. El comunicado de prensa había expuesto una llave maestra de una cámara acorazada llena de dinero de monopolio.

Si los tokens incautados hubieran sido Bitcoin, Ether o una stablecoin de nivel 1, los fondos habrían desaparecido. El mismo fallo de OpSec contra USDT o ETH habría terminado con una mezcla de 10 minutos en Tornado Cash y cero activos recuperables. El terrible mercado de PRTG fue el airbag accidental.

Esta no es la primera vez

El historial de custodia de criptomonedas en Corea tiene grietas que van más allá de un comunicado de prensa. En 2021, investigadores de la policía perdieron 22 BTC (con un valor de millones a precios actuales) de una billetera fría almacenada en una bóveda de evidencias. La causa raíz fue la misma: frases mnemotécnicas mal gestionadas, falta de una política multifirma y una cadena de custodia que trataba a las criptomonedas como cualquier otro objeto incautado.

Dos incidentes, con cinco años de diferencia, en dos ramas diferentes de las fuerzas del orden del mismo país. El patrón es estructural, no un simple mal día para la oficina de prensa del NTS.

Y Corea no está sola. Las agencias de aplicación de la ley en todo el mundo ahora incautan rutinariamente billeteras de hardware durante las redadas, y casi ninguna de ellas ha publicado estándares internos para:

• Fotografiar pruebas sin exponer material de recuperación
• Transferir fondos incautados a billeteras multifirma controladas por el gobierno
• Rotar la custodia desde el hardware original a nuevas claves
• Acceso basado en roles entre forenses, fiscales y tesorería

La mayoría de las agencias tratan un Ledger como un teléfono inteligente. Lo embolsan, lo etiquetan y lo archivan. El resultado es un riesgo sistémico creciente a medida que las tenencias nacionales de criptomonedas escalan a miles de millones.

La brecha entre la aplicación de la ley y la competencia en custodia

Compare el incidente del NTS con la incautación del Departamento de Justicia de EE. UU. (DOJ) en noviembre de 2025 de ** 15.000 millones de dólares en Bitcoin** — aproximadamente 127.271 BTC — vinculados a la operación de estafa "pig-butchering" del Prince Group. Ese botín, el mayor decomiso en la historia del DOJ, se ejecutó con rastreo impulsado por Chainalysis, órdenes internacionales coordinadas y transferencia inmediata a una custodia controlada por el Tesoro. Solo Chainalysis ha respaldado cientos de incautaciones gubernamentales, ayudando a asegurar un estimado de 12.600 millones de dólares en criptoactivos ilícitos durante una década.

El gobierno de EE. UU. ahora posee aproximadamente 198.012 BTC bajo su marco de Reserva Estratégica de Bitcoin — aproximadamente 18,3 mil millones de dólares a precios actuales. El Salvador posee 7.500 BTC a través de compras directas. Bután ha acumulado ~6.000 BTC a través de la minería vinculada al estado. Los gobiernos a nivel mundial poseen ahora más del 2,3 % de todos los Bitcoin.

La brecha operativa entre las herramientas sofisticadas del DOJ y los archivos JPEG sin desenfocar del NTS no es una diferencia de sofisticación — es una diferencia de si alguien ha escrito ya los procedimientos operativos estándar. Muchas agencias todavía están tratando la custodia de criptomonedas como un ejercicio de improvisación.

Esa brecha se vuelve existencial a medida que crecen las tenencias soberanas. Un solo fallo de OpSec a la escala del DOJ — un hash de transacción sin censurar, una dirección de almacenamiento en frío expuesta, un firmante mal rotado — podría drenar miles de millones, no millones. Y Bitcoin no tiene una red de seguridad por falta de liquidez.

Cómo se ve realmente la custodia profesional

La industria de la custodia institucional ya ha respondido a las preguntas que hicieron tropezar al NTS. Las infraestructuras modernas de custodia soberana y empresarial se basan en:

• Multi-sig con MPC — Un umbral de 3 de 5 donde cada participación de la clave está protegida a su vez por computación multipartita (MPC). Ningún firmante individual, dispositivo o empleado comprometido puede mover los fondos. La clave privada completa nunca existe en un solo lugar.
• Almacenamiento en frío "air-gapped" — Los activos incautados se transfieren inmediatamente a monederos cuyas claves privadas nunca han tocado un dispositivo conectado a Internet. El hardware original se convierte en evidencia, no en un firmante activo en caliente (hot signer).
• Separación de roles — El equipo forense gestiona la custodia, los fiscales manejan el papeleo y una función de tesorería designada firma las transacciones. Ningún rol individual posee tanto las claves como la narrativa.
• Documentación segura para evidencia — Las fotografías de los dispositivos incautados se censuran en la cámara, no en la revisión editorial. Los procedimientos operativos estándar asumen que cualquier imagen con un monedero acabará filtrándose.

Nada de esto es exótico. Empresas como Anchorage, BitGo, Fireblocks y una lista creciente de custodios basados en MPC ofrecen soluciones de nivel gubernamental listas para usar. La tecnología no es el cuello de botella. La disciplina institucional lo es.

Las lecciones que sobrevivirán a este titular

El incidente del NTS es curioso porque terminó bien. Pero contiene cuatro lecciones que los reguladores, las agencias de cumplimiento y las instituciones cripto-nativas deberían internalizar ahora, mientras los riesgos aún se miden en millones y no en decenas de miles de millones.

1. Los procedimientos operativos estándar deben asumir que la evidencia fotográfica se filtra. Cualquier imagen de una redada que contenga un monedero de hardware debe censurarse o excluirse por defecto. Los equipos de comunicación no deben ser la última línea de defensa de los secretos criptográficos.

2. Las criptomonedas incautadas deben rotarse inmediatamente. En el momento en que se recuperan los activos, deben trasladarse a un monedero multi-sig controlado por el gobierno con claves nuevas. El hardware original se convierte en evidencia; nunca debería seguir siendo un dispositivo de custodia activo una vez que la redada consta en acta.

3. La falta de liquidez no es una estrategia de seguridad. Corea tuvo suerte porque el token PRTG no se podía liquidar masivamente (un-dumpable). La próxima frase semilla filtrada revelará un monedero lleno de ETH, USDC o SOL, y ninguna cantidad de profundidad de mercado podrá recuperar esos fondos.

4. La formación en cumplimiento de criptomonedas necesita el mismo rigor que la formación en manejo de evidencias. Los oficiales que fotografían un vehículo incautado no revelan accidentalmente el número de chasis (VIN) y las llaves de registro al público. La disciplina equivalente para los monederos de hardware aún no existe en la mayoría de las agencias.

Infraestructura para la era post-amateur

A medida que los gobiernos pasan de incautar criptomonedas a mantenerlas como reservas soberanas, todo el ecosistema — no solo las agencias de cumplimiento — tiene que subir de nivel. Las autoridades fiscales, los sistemas judiciales y las tesorerías nacionales necesitan infraestructura de grado institucional: acceso a datos multi-cadena fiable para monitorear las direcciones incautadas, servicios de nodos de alta disponibilidad para el envío de transacciones y APIs de grado de auditoría que produzcan registros defendibles de cadena de custodia.

BlockEden.xyz proporciona infraestructura de API de blockchain de grado empresarial en más de 27 cadenas, diseñada específicamente para las demandas de cumplimiento y confiabilidad de la custodia institucional. Explore nuestro mercado de APIs si está construyendo las herramientas que ayudan a los custodios serios a evitar convertirse en el próximo titular ilustrativo.

El próximo será peor

La filtración de la frase semilla del NTS será recordada como el caso curioso — el incidente donde un token del que nadie había oído hablar protegió a un gobierno de su propio equipo de relaciones públicas. El próximo no tendrá ese lujo.

A medida que las reservas soberanas de Bitcoin crecen, los activos tokenizados migran a cadenas públicas y las incautaciones por cumplimiento se convierten en partidas rutinarias en lugar de golpes que definen carreras, la exposición acumulada a un solo error de OpSec se vuelve enorme. Cada fotógrafo, cada pasante, cada oficial de prensa con buenas intenciones es ahora un vector potencial para un drenaje de nueve cifras.

La ironía es que la criptografía no es el problema. Ledger cumplió su función. Ethereum cumplió su función. La blockchain ejecutó fielmente la transferencia de 4 millones de tokens a un extraño, exactamente como lo instruyó el firmante. El fallo fue enteramente humano — un equipo de prensa tratando una frase de 12 palabras como decoración fotográfica.

Las criptomonedas no necesitan mejores monederos. Necesitan mejores hábitos. Y en 2026, con los gobiernos poseyendo el 2,3% de todo el Bitcoin y miles de millones en otros activos digitales, el margen para aprender esos hábitos en público se está cerrando rápidamente.

Fuentes:

• Corea del Sur investiga el robo de $4,8 millones en criptomonedas tras un error fotográfico en la incautación de impuestos — CoinDesk
• $4,8 millones en criptomonedas robados después de que la agencia tributaria coreana expusiera la semilla del monedero — BleepingComputer
• Tokens de Ethereum sustraídos y devueltos después de que el Servicio de Impuestos de Corea del Sur publicara las frases semilla de los monederos — Decrypt
• La oficina de impuestos de Corea del Sur se disculpa por la filtración de contraseñas — The Register
• El Servicio Nacional de Impuestos de Corea del Sur expone la semilla del monedero Ledger, lo que lleva al robo de tokens PRTG por $4,8 millones — Rescana
• El DOJ incauta $15 mil millones en Bitcoin — Chainalysis
• Rastreador de Reservas Nacionales de Criptomonedas — CCN
• Multi-Sig y MPC en la custodia cripto empresarial en 2026 — ChainUp