La temporada de impuestos impulsa el aumento de las estafas de billeteras criptográficas, informa Kaspersky

Los ciberdelincuentes están aprovechando la temporada de impuestos para engañar a las personas que poseen criptomonedas para que les den frases iniciales de sus billeteras mediante la creación de sitios web gubernamentales falsos.

En muchos países se están llevando a cabo campañas de phishing. Los investigadores de Kaspersky encontraron sitios falsos que copiaban oficinas de impuestos en Alemania, Francia, Austria, Suiza, Brasil, Chile y Colombia.

Los esquemas alemán y francés son agresivos. Los piratas informáticos dicen a los poseedores de criptomonedas que las normas de la UE les exigen "verificar" sus tenencias o arriesgarse a multas de hasta 1 millón de euros.

Portales de impuestos falsos exigen frases iniciales de billeteras criptográficas

Existe un patrón constante en los ataques dirigidos a las criptomonedas. Las víctimas terminan en sitios que parecen sitios de impuestos reales, como el portal ELSTER de Alemania o un “Portal de Cumplimiento de Cripto Impuestos” falso que se parece al Ministerio de Economía y Finanzas de Francia.

Los sitios les dicen a los usuarios que sus ganancias criptográficas están libres de impuestos, pero solo después de pasar por un proceso de "verificación".

Al final de ese proceso, se le solicita a la víctima su frase inicial, que es la clave de recuperación que le brinda control total sobre una billetera de criptomonedas.

Kaspersky dice que el sitio alemán falso está dirigido a usuarios de Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase y otros servicios de billetera conocidos.

La versión francesa también intenta vaciar cuentas en MetaMask, Binance, Coinbase, Trust Wallet y WalletConnect.

Los sitios utilizan amenazas de acciones legales si las personas no cumplen con la solicitud. Esta es una forma de eludir el instinto de seguridad básico que le dice a la gente que nunca comparta una frase inicial.

Sitio web falso de impuestos franceses. Fuente: Kaspersky.

Los poseedores de criptomonedas no son los únicos objetivos.

Kaspersky encontró una mayor cantidad de sitios de phishing en los mismos países que robaban información personal de los contribuyentes habituales. Un sitio falso en Chile prometió un reembolso de impuestos de aproximadamente $375, pero luego tomó el dinero directamente de la tarjeta de crédito de la víctima.

En Colombia, sitios web gubernamentales falsos engañaron a las personas para que descargaran archivos ZIP protegidos con contraseña e instalaron malware en sus dispositivos.

Una campaña francesa se hizo pasar por un auditor fiscal y envió un PDF con malware en lugar de un documento oficial, advirtiendo a la gente sobre declaraciones de ingresos incompletas.

En Brasil, los estafadores crearon sitios web que afirman ayudar a las personas a declarar sus impuestos a cambio de una tarifa. Luego recopilan nombres, números de teléfono, direcciones, fechas de nacimiento, direcciones de correo electrónico y números de identificación del contribuyente (TIN).

Kaspersky dijo que dar un TIN hace a las víctimas vulnerables a solicitudes de préstamos falsas, cuentas gubernamentales pirateadas y más ataques de ingeniería social.

Un entorno de amenazas creciente para los poseedores de criptomonedas

Los esquemas de phishing fiscal exponen a los poseedores de criptomonedas a peligros desde múltiples lados.

En enero de 2026, la aplicación francesa de impuestos criptográficos Waltio reveló que los piratas informáticos del grupo "Shiny Hunters" afirmaron haber robado datos personales de ~50.000 usuarios, según los informes de Cryptopolitan en ese momento.

Waltio, que ayuda a los usuarios a calcular las ganancias de capital para las declaraciones de impuestos, dijo que la información robada incluía direcciones de correo electrónico y datos sobre saldos criptográficos. Francia ha sido testigo de una serie de secuestros e allanamientos de viviendas relacionados con las criptomonedas en los últimos meses, en parte impulsados ​​por la filtración de información de los titulares.

En abril de 2026, el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky dijo que un nuevo troyano de acceso remoto llamado CrystalX, que se vende como un servicio de suscripción en Telegram, tiene funciones de monitoreo del portapapeles. Los piratas informáticos utilizan estas funciones para capturar direcciones de billetera copiadas y reemplazarlas con direcciones controladas por el atacante.

El malware también toma contraseñas de los navegadores, Steam, Discord y Telegram, y permite a los piratas informáticos controlar los dispositivos infectados desde cualquier lugar.

Una autoridad fiscal real nunca solicitará una frase inicial de criptomoneda. No existen portales de “verificación de billetera” para agencias gubernamentales, y las reglas de la UE no requieren frases iniciales criptográficas por ningún motivo.

La gente no debería descargar archivos de correos electrónicos que dicen ser de funcionarios fiscales. También deberían, por defecto, considerar cualquier sitio que prometa ganancias criptográficas libres de impuestos como una estafa.