En la noche del 21 de enero, el asistente fiscal Waltio fue víctima de una filtración de datos, seguida rápidamente de un intento de extorsión atribuido al grupo de hackers «Shiny Hunters». Según las primeras informaciones, podrían verse afectados cerca de 50 000 usuarios, mientras que las autoridades francesas han abierto una investigación. ¿Hasta qué punto es justificable la centralización de datos sensibles cuando se convierte en una herramienta privilegiada para los ciberdelincuentes?
Los «Shiny Hunters» detrás de la extorsión relacionada con la filtración de datos de Waltio
En la noche del 21 de enero, el asistente fiscal Waltio informó de que había sido informado de una filtración de datos. Las autoridades francesas se hicieron cargo del caso y de las investigaciones para determinar la naturaleza de los datos robados e identificar a las víctimas.
A través de un comunicado de prensa publicado por Pierre Morizot, director general de Waltio, nos enteramos de que la plataforma ha sido atacada por un actor malicioso y que este ha proporcionado una muestra para verificar la autenticidad de su delito.
Según un informe del periódico Le Parisien, el famoso grupo de hackers «Shiny Hunters» estaría detrás de este ataque. Estos afirman tener en su poder los datos personales de cerca de 50 000 clientes (1/3 de los usuarios), la mayoría de los cuales se encuentran en la Francia metropolitana.
Al parecer, el adversario se ha puesto en contacto con la empresa Waltio y exige un rescate. Tan pronto como se recibió este mensaje, se pusieron en marcha los procedimientos de gestión de incidentes. La empresa explica que ha contratado a expertos externos para «analizar la situación con el máximo nivel de exigencia».
Efectivamente, en un comunicado, la sección de lucha contra la ciberdelincuencia (J3) de la Fiscalía de París anuncia que ha confiado la investigación a la Unidad Nacional Cibernética de la Gendarmería Nacional (UNCyber).
Según Waltio, los primeros elementos de la investigación muestran que la intrusión ya no está activa y que todos los servicios de la plataforma funcionan con normalidad.
En cuanto a los datos afectados, el alcance se limita a «la generación de informes fiscales de 2024, cerrados a 31/12/2024», según el comunicado. Así, es posible recuperar la dirección de correo electrónico del usuario, así como los datos de los informes (ganancias, pérdidas, saldos).
Por su naturaleza, el asistente fiscal de Waltio agrega los datos de sus cuentas en las plataformas de intercambio para analizarlos y calcular el importe de sus plusvalías imponibles.
Pierre Morizot precisa, no obstante, para tranquilizar a los usuarios, que «ningún dato que permita acceder a sus criptoactivos se ha visto comprometido». Además, recuerda que la plataforma no requiere ninguna información relativa a su identidad (nombre, apellidos, dirección postal, número de teléfono, fecha de nacimiento).
La empresa explica que continúa con la investigación realizando una revisión completa del historial de su sistema informático (SI). Se enviará una comunicación directa a los usuarios potencialmente afectados, acompañada de recomendaciones «claras y operativas».
Por otra parte, Waltio anuncia que se ha comprometido a notificar el incidente a la CNIL y que ha presentado una denuncia a través de su abogado, el Sr. Romain Chilly, ante la sección J3 de la fiscalía de París.
El principal riesgo: los ataques de ingeniería social
Como se especifica en el comunicado, el principal riesgo de este tipo de fugas no es el robo técnico de fondos. Los atacantes preferirán explotar elementos contextuales para atacar a las víctimas con phishing o intentos de estafa.
Estos últimos utilizarán varios sesgos cognitivos para ponerte en una situación de estrés y empujarte a cometer un error:
- incitación a reaccionar rápidamente;
- amenaza de pérdida económica;
- suplantación de una figura legítima;
- miedo a las consecuencias negativas;
- presión social…
Por lo tanto, es especialmente importante identificar claramente a su interlocutor. Puede verificar la autenticidad de un correo electrónico de Waltio gracias al código de seguridad que aparece en la parte inferior de los correos electrónicos de marketing enviados. Compruebe que coinciden con los que figuran en su cuenta, recomienda Waltio.
Además, cabe recordar que la empresa no dispone de su número de teléfono ni de su dirección postal, por lo que no recibirá llamadas, SMS ni correo postal de su parte.
Este suceso contribuye a reforzar el clima de miedo entre los poseedores de criptomonedas en el territorio francés. Últimamente, los casos de secuestros, retenciones y amenazas no dejan de aparecer en los titulares de las noticias.
La centralización de información sensible crea un depósito único de datos y constituye un importante punto de vulnerabilidad. La lista especialmente larga de fugas de datos (que incluye a varios organismos públicos) recopilada por el sitio web bonjourlafuite para el año 2025 pone en tela de juicio la legitimidad de que determinados servicios accedan a este tipo de datos.
Como explica la Adan, esta recopilación suele tener su origen en requisitos reglamentarios; conviene revisar la dimensión sustancial del tratamiento de estos datos para no crear nuevas superficies de vulnerabilidad.
La Adan observa con gran preocupación la multiplicación, desde principios de 2026, de actos de violencia graves contra inversores y actores del sector de los criptoactivos en Francia. Estos hechos exigen una respuesta de las autoridades públicas a la altura de…
— Adan (@adan_asso) 23 de enero de 2026
Independientemente de las protecciones asignadas a un sistema de información, este siempre será vulnerable. Por lo tanto, para reducir la superficie de ataque, la única solución parece ser la minimización de los datos: cero datos, cero fugas.
