Los ciberdelincuentes se están aprovechando de la temporada de impuestos para engañar a las personas que poseen criptomonedas y obtener sus frases de recuperación de billetera mediante la creación de sitios web gubernamentales falsos.
En muchos países se están produciendo campañas de phishing. Investigadores de Kaspersky descubrieron sitios web falsos que imitaban a las oficinas de impuestos de Alemania, Francia, Austria, Suiza, Brasil, Chile y Colombia.
Las estafas alemanas y francesas son agresivas. Los hackers advierten a los poseedores de criptomonedas que las normas de la UE les exigen "verificar" sus activos o se arriesgan a multas de hasta 1 millón de euros.
Los portales tributarios falsos exigen frases semilla para monederos de criptomonedas
Los ataques dirigidos a las criptomonedas siguen un patrón constante. Las víctimas terminan en sitios que imitan páginas web de impuestos legítimas, como el portal ELSTER de Alemania o un falso "Portal de Cumplimiento Tributario de Criptomonedas" que se asemeja al Ministerio de Economía y Finanzas de Francia.
Estos sitios web informan a los usuarios de que sus ganancias en criptomonedas están exentas de impuestos, pero solo después de que pasen por un proceso de "verificación".
Al final de ese proceso, se le pide a la víctima su frase semilla, que es la clave de recuperación que le otorga el control total sobre una billetera de criptomonedas.
Kaspersky afirma que el sitio web alemán falso está dirigido a usuarios de Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase y otros servicios de monederos digitales conocidos.
La versión francesa también intenta vaciar las cuentas en MetaMask, Binance, Coinbase, Trust Wallet y WalletConnect.
Estos sitios web utilizan amenazas de acciones legales si las personas no cumplen con la solicitud. Esta es una forma de eludir el instinto básico de seguridad que nos dice que nunca compartamos una frase semilla.
Los poseedores de criptomonedas no son los únicos objetivos.
Kaspersky detectó un mayor número de sitios de phishing en los mismos países que robaban información personal de contribuyentes comunes. Un sitio falso en Chile prometía un reembolso de impuestos de aproximadamente 375 dólares, pero luego sustraía el dinero directamente de la tarjeta de crédito de la víctima.
En Colombia, sitios web gubernamentales falsos engañaron a la gente para que descargaran archivos ZIP protegidos con contraseña e instalaran software malicioso en sus dispositivos.
Una campaña francesa se hizo pasar por un auditor fiscal y envió un archivo PDF con software malicioso en lugar de un documento oficial, advirtiendo a la gente sobre declaraciones de ingresos incompletas.
En Brasil, los estafadores crean sitios web que afirman ayudar a las personas a presentar sus declaraciones de impuestos a cambio de una tarifa. Luego, recopilan nombres, números de teléfono, direcciones, fechas de nacimiento, direcciones de correo electrónico y números dedentfiscal (NIF).
Kaspersky afirmó que proporcionar un número de identificación fiscal (TIN) expone a las víctimas a solicitudes de préstamos fraudulentas, cuentas gubernamentales pirateadas y otros ataques de ingeniería social.
Un entorno de amenazas creciente para los poseedores de criptomonedas
Las estafas de phishing fiscal exponen a los poseedores de criptomonedas a peligros desde múltiples frentes.
2026, la aplicación francesa de impuestos sobre criptomonedas Waltio reveló que unos hackers del grupo "Shiny Hunters" afirmaron haber robado datos personales de unos 50.000 usuarios, según Cryptopolitaninformó Cryptopolitan de aquel momento.
Waltio, que ayuda a los usuarios a calcular las ganancias de capital para sus declaraciones de impuestos, informó que la información robada incluía direcciones de correo electrónico y datos sobre saldos de criptomonedas. Francia ha experimentado una serie de secuestros y allanamientos de morada relacionados con criptomonedas en los últimos meses, en parte debido a la filtración de información de los titulares.
En abril de 2026, el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky informó que un nuevo troyano de acceso remoto llamado CrystalX, que se vende como un servicio de suscripción en Telegram, cuenta con funciones de monitoreo del portapapeles. Los piratas informáticos utilizan estas funciones para capturar direcciones de billetera copiadas y reemplazarlas con direcciones controladas por el atacante.
El malware también roba contraseñas de navegadores, Steam, Discord y Telegram, y permite a los piratas informáticos controlar los dispositivos infectados desde cualquier lugar.
Una autoridad tributaria legítima jamás solicitará la frase semilla de una criptomoneda. No existen portales de verificación de monederos para agencias gubernamentales, y las normas de la UE no exigen frases semilla de criptomonedas bajo ninguna circunstancia.
No se deben descargar archivos de correos electrónicos que supuestamente provienen de funcionarios tributarios. Asimismo, se debe considerar, por defecto, que cualquier sitio que prometa ganancias de criptomonedas libres de impuestos es una estafa.
