Argentina quiere tus claves: los riesgos que enfrentan los bitcoiners

A principios de abril, se supo que la Agencia de Recaudación y Control Aduanero (ARCA) de Argentina, responsable de la tributación en el país, había incorporado un nuevo requisito al sistema para la declaración jurada del impuesto sobre los Bienes Personales: se exige a los contribuyentes que posean más de USD 200.000 en activos, declarar, entre otros datos, la clave pública de sus criptomonedas.

No es un detalle menor, sino un asunto que merece generar conciencia sobre sus riesgos. Al fin y al cabo, las instituciones del Estado también pueden ser hackeadas, y los datos de usuarios con cierto nivel de capital podrían terminar filtrados en foros de Internet. Esto no va sobre generar alarmismo ni de afirmar que entregar tu llave pública a las autoridades equivale a una filtración segura, pero sí de advertir que nadie está completamente a salvo de un ataque.

Los bitcoiners son conocidos por mantenerse fieles al credo que Satoshi Nakamoto (y el movimiento cypherpunk) propuso hace tantos años: la separación entre el control estatal y la privacidad individual. Defienden con firmeza la idea de que no hay razón válida para asumir que, sin vigilancia masiva, la sociedad inevitablemente caerá en el caos. Siempre he creído que, si se permitiera un poco más de aire a sectores que suelen estar ahogados por una presión fiscal desmedida, muchos se sorprenderían al ver cuánto la gente se apega, por convicción, al derecho consuetudinario: ese conjunto de normas no escritas que, por costumbre y beneficio colectivo, terminan respetándose de forma natural. La intromisión estatal, lejos de resolver los problemas que dice combatir, a menudo no hace más que agravarlos.

Pero cuando se trata de criptomonedas e impuestos, aparece un problema que ya ha aterrizado en el país más austral de América y que fácilmente podría replicarse en otras naciones: el fisco buscando rastrear el historial de transacciones vinculado a la wallet declarada. Esto no solo representa una intromisión al derecho de cada usuario a mantener su historial de consumo en privado, sino que además puede escalar hacia riesgos aún mayores. Es importante dejar algo en claro: una clave pública, por sí sola, no permite robar activos digitales. Sin embargo, sí que puede ser utilizada para identificar patrones y, combinando esto con técnicas de ingeniería social o phishing, facilitar ataques dirigidos. Por ejemplo, un delincuente podría aprovechar esa información para suplantar identidades y enviar correos fraudulentos.

Así, los bitcoiners quedan atrapados entre cumplir con la normativa y exponerse a riesgos que, aunque no sean inmediatos, podrían tener consecuencias relevantes. Si deciden declarar y las agencias federales son hackeadas, las claves públicas filtradas podrían caer en manos de delincuentes, quienes estarían en condiciones de identificar a personas con grandes tenencias y utilizar esa información para planificar crímenes violentos, como secuestros extorsivos. Exigir datos tan sensibles implica, como mínimo, la responsabilidad de informar qué medidas robustas se están tomando para protegerlos. El problema es que eso, hasta ahora, no ha sucedido.

Sufrir un hackeo no significa estar condenado a que vuelva a ocurrir, pero sí debería servir como una señal de alerta para identificar qué falló y fortalecer los sistemas de seguridad. Ningún incidente de este tipo puede tomarse a la ligera, y lo cierto es que los portales estatales argentinos no se destacan por su solidez en materia de ciberseguridad.

Uno de los casos más notorios tuvo lugar en abril de 2024, cuando la Agencia Nacional de Seguridad Vial (ANSV) fue víctima de un ciberataque que expuso los datos de más de 6 millones de licencias de conducir. La filtración incluyó información sensible de figuras públicas como el presidente Javier Milei, el ministro de Defensa Luis Petri y la ministra de Seguridad Patricia Bullrich, además de celebridades como Guillermo Francella y Marcelo Tinelli.

A este preocupante historial también se suma el hackeo que sufrió la Comisión Nacional de Valores (CNV) a mediados de 2023, cuando el grupo de ransomware Medusa logró infiltrarse en sus sistemas. Los hackers robaron 1,5 TB de datos y exigieron un rescate de USD 500.000 dólares en bitcoin para no hacerlos públicos, un pago que finalmente no se concretó. Aunque la CNV aseguró que el ataque solo comprometió información pública y que la situación estaba controlada, los atacantes publicaron los datos en la dark web, revelando que incluían documentos confidenciales y credenciales, lo que contradijo la versión oficial y expuso, una vez más, la fragilidad de los sistemas estatales.

Por si esto no fuera suficiente, en diciembre de 2024 el portal oficial argentina.gob.ar, junto con la plataforma Mi Argentina y la app SUBE —sistema electrónico para pagar por el transporte público—, fue víctima de un ciberataque perpetrado por los hackers «h4xx0r1337» y «gov.eth». La operación consistió en modificar el contenido del sitio web para publicar mensajes burlones, insultos dirigidos al presidente Javier Milei y otras vulgaridades. La vulnerabilidad que permitió la intrusión fue la ausencia de autenticación en dos pasos (2FA) en el servidor comprometido, sumada al uso de credenciales que ya habían sido filtradas previamente. Aunque el gobierno aseguró que no se accedió a datos sensibles, los atacantes afirmaron lo contrario, lo que generó serias dudas sobre la seguridad de los sistemas informáticos del Estado.

Los hackeos que han afectado a organismos estatales argentinos, sumados a la nueva exigencia de la ARCA, configuran un escenario preocupante donde la privacidad y la seguridad de los bitcoiners podrían estar en riesgo. En este contexto, es fundamental que los contribuyentes se informen sobre dichos incidentes para aprender de ellos, ya que esa es una de las lecciones más valiosas de todo esto. No se trata de caer en el alarmismo, sino de comprender la importancia de tomar medidas preventivas: proteger nuestros activos digitales con altos estándares de seguridad y, al mismo tiempo, exigir al Estado respeto por la privacidad y la implementación de sistemas más robustos, especialmente cuando ya existen antecedentes que justifican esta demanda.

Descargo de responsabilidad: Los puntos de vista y opiniones expresadas en este artículo pertenecen a su autor y no necesariamente reflejan aquellas de CriptoNoticias. La opinión del autor es a título informativo y en ninguna circunstancia constituye una recomendación de inversión ni asesoría financiera.