Ir al contenido principal

Preguntas y respuestas - Incidente de seguridad

Actualizado esta semana

Concretamente, ¿qué datos obtuvieron los atacantes?

Los datos a los que accedieron los atacantes son estrictamente limitados.

Se trata de:

  • la dirección de correo electrónico del usuario

  • la ganancia o pérdida del año 2024

  • el saldo por criptomoneda utilizado para el cálculo fiscal al 31 de diciembre de 2024

Estos datos se utilizan exclusivamente para los cálculos de plusvalías fiscales.

NO se tuvo acceso:

  • al historial de transacciones

  • a los detalles de las transacciones

  • a las direcciones públicas de wallets

  • a las claves privadas

  • a las claves públicas

  • a las claves API

  • a documentos de identidad

  • a nombres, apellidos, números de teléfono (salvo que esta información estuviera presente en los correos electrónicos)

  • a direcciones postales

  • a IBANs o datos bancarios

  • a datos de tarjetas bancarias

Ningún dato que permita mover fondos o acceder a los wallets ha sido comprometido.

¿Está esta filtración relacionada con Web3 o la blockchain?

No. Los datos afectados no provienen de la propia blockchain, ni de un protocolo Web3.

Se trata de datos almacenados en un entorno de aplicación tradicional, utilizados para producir los informes fiscales. La blockchain no fue atacada.

¿Por qué no se detectó el incidente antes?

El incidente fue descubierto el miércoles 21 de enero de 2026 por la mañana.

El descubrimiento no provino de una alerta del sistema clásica, sino del contacto directo de un atacante que nos informó de una base de datos, proporcionando una muestra para demostrar el acceso.

Tras recibir esta muestra, confirmamos inmediatamente el incidente, activamos nuestros procedimientos de seguridad y presentamos una denuncia.

Antes de esto, no habíamos identificado ningún rastro claro de extracción masiva de datos, lo que indica un ataque dirigido y sofisticado.

¿Tenía relación con el incidente mencionado el 24 de diciembre de 2025?

El archivo presentado el 24/12 haciendo referencia a 5.000 posibles cuentas de Waltio, presente en esta publicación: https://x.com/LeBunkerBtc/status/2003541777291129035

Confirmamos que este archivo no tiene absolutamente ninguna relación con la base de datos de Waltio, como se presenta en esta publicación: https://x.com/pierre_morizot/status/2003787567813071069

Asimismo, el incidente en Dompierre, Charente Maritime, no está relacionado con este incidente.

¿Están mis criptos en peligro?

No hay ningún riesgo de pérdida de fondos relacionado con este incidente.

Los atacantes no tienen acceso a ningún elemento técnico que les permita:

  • acceder a sus wallets

  • firmar transacciones

  • interactuar con sus cuentas en plataformas de exchange

¿Cuáles son los riesgos concretos para los usuarios hoy?

El riesgo de estafa es el principal riesgo vinculado a esta filtración de datos.

Pueden producirse intentos de phishing a través de:

  • correos electrónicos fraudulentos

  • llamadas telefónicas

  • falsos servicios de atención al cliente

  • falsos agentes de policía

  • falsos servicios de seguridad

  • falsos socios (p. ej.: plataformas de exchange conocidas)

Los atacantes utilizan el hecho de conocer su correo electrónico y un orden de magnitud de su patrimonio para ganar credibilidad.

Importante recordar:

  • ningún servicio de atención al cliente serio pedirá jamás una clave, una frase de recuperación o una transferencia de fondos

  • la policía nunca pide asegurar criptos por teléfono

¿Qué se puede hacer concretamente para protegerse?

Medidas inmediatas recomendadas:

  • Cambiar la dirección de correo electrónico utilizada para los servicios cripto. Idealmente: un correo dedicado, sin nombre ni apellidos, utilizado únicamente para estos servicios

  • Verificar si su correo o número de teléfono ya está expuesto en otras filtraciones públicas

  • Ser extremadamente vigilante ante las llamadas entrantes. No devolver jamás una llamada a un número facilitado por un interlocutor no solicitado.

  • Reducir su huella digital

    • limitar la información personal visible en línea

    • evitar cualquier exposición pública del patrimonio

    • separar la identidad personal y el uso de criptos

Son buenas prácticas válidas para todos, independientemente de este incidente.

¿Están minimizando la gravedad del incidente?

No.

Es un incidente de seguridad grave.

Nuestro papel no es ni dramatizar ni banalizar, sino explicar con precisión:

  • qué fue expuesto

  • qué no lo fue

  • cuáles son los riesgos reales

  • cómo protegerse concretamente

La transparencia es esencial, especialmente en este tipo de situación.

Artículos relacionados
¡Comenzar bien en Waltio!
Seguridad y confidencialidad de los datos de los usuarios
Transferir tu cuenta Waltio
Códigos de seguridad
Método FIFO (global) en Waltio: funcionamiento y buenas prácticas
¿Ha quedado contestada tu pregunta?