Security Notice – 23 de enero de 2026

Estimados usuarios,

En la noche del 21 de enero de 2026, se nos informó de un ataque particularmente sofisticado por parte de un actor malintencionado que afirmaba poseer datos de nuestros usuarios y proporcionaba una muestra para verificar su autenticidad. Tras recibir este mensaje, activamos inmediatamente nuestros protocolos de gestión de incidentes, movilizamos a nuestro equipo técnico y asesoría jurídica, y contratamos a expertos externos para analizar la situación con el más alto nivel de exigencia. Deseamos ser transparentes sobre varios puntos: qué ha sucedido, qué datos se han visto afectados, cuáles no y qué cambia esto concretamente para usted.

¿Qué ha pasado?

Nuestras investigaciones muestran que no se trata de una intrusión activa en nuestra infraestructura de producción actual. Los servicios de Waltio funcionan con normalidad; las cuentas de usuario y la infraestructura de producción están seguras. Las primeras investigaciones internas indican que las causas de esta intrusión están solucionadas.

¿Qué datos se han visto afectados?

Los datos expuestos afectan a un perímetro limitado relacionado con la generación de informes fiscales de 2024, cerrados al 31/12/2024. En los casos en que el informe fiscal estuviera completo, se puede encontrar:

• La dirección de correo electrónico del usuario.
• Datos agregados del informe fiscal 2024: ganancias y pérdidas, saldos al 31/12/2024 según la estructura del informe.

Una parte significativa de los registros corresponde a informes incompletos: para estos usuarios, la información presente sería más limitada (por ejemplo, contadores como el número de cuentas y el número de transacciones), sin resultados fiscales completos (sin saldo y sin cálculo de ganancias y pérdidas).

¿Qué datos NO se han visto afectados?

Queremos ser muy claros: ningún dato que permita acceder a sus criptomonedas se ha visto comprometido. No están afectados:

• Sus contraseñas.
• Las claves API de exchanges.
• Las direcciones de monederos (wallets).
• El historial detallado de sus transacciones.
• Cualquier información que permita mover fondos.
• Datos bancarios (IBAN, tarjeta bancaria).

Como recordatorio, Waltio no posee ningún otro dato personal que no sea su correo electrónico. No le solicitamos ninguna información relativa a su identidad (nombre, apellidos, dirección postal, número de teléfono, fecha de nacimiento).

¿Cómo protegerse contra la ingeniería social?

El riesgo principal tras este incidente no es un riesgo técnico de robo de fondos. El riesgo principal es la estafa dirigida: phishing, llamadas telefónicas, SMS, suplantación de identidad de servicios de atención al cliente. Algunos atacantes pueden utilizar elementos contextuales (por ejemplo, la existencia de un informe fiscal o información agregada) para parecer creíbles. Debe recordar que:

• Nunca le pediremos que realice una transferencia «para asegurar» sus fondos.
• Nunca le pediremos información sensible por teléfono, SMS o a través de un enlace recibido de forma inesperada.
• Desconfíe especialmente de las llamadas entrantes y de los mensajes que le inciten a actuar con rapidez.

Como se ha indicado anteriormente, Waltio no dispone de su número de teléfono ni de su dirección postal. Por lo tanto, nunca le llamaremos ni le enviaremos SMS o correo postal.

Si duda de la autenticidad de un correo electrónico de Waltio, le invitamos a verificar el código de seguridad que aparece en la parte inferior de cada uno de nuestros correos electrónicos de marketing. Esta serie de palabras puede compararse con las que aparecen en su cuenta, en la pestaña «Perfil» y luego en «Preferencias». Como medida de precaución, también recomendamos:

• Reforzar la seguridad de su correo electrónico (contraseña única y autenticación de dos factores).
• Priorizar un correo electrónico dedicado a sus servicios cripto, distinto de su identidad personal.

Lo que estamos haciendo, desde ahora mismo

Nuestra prioridad es doble: comprender con precisión el alcance del ataque y protegerle. Hemos iniciado y continuamos con las siguientes acciones:

• Investigaciones técnicas exhaustivas.
• Revisión completa de las configuraciones históricas.
• Movilización de expertos externos en ciberseguridad para calificar el incidente y asistirnos en el análisis.
• Refuerzo continuo de nuestras prácticas de seguridad y controles.
• Envío de una comunicación directa a los usuarios potencialmente afectados, con recomendaciones claras y operativas.
• Envío de una notificación a la CNIL.
• Presentación de una denuncia e intercambios activos con los investigadores de la unidad nacional cibernética de la Gendarmería Nacional francesa.

Tras una investigación, hemos identificado que las causas de la filtración estaban relacionadas con un gestor de bases de datos. El problema se resolvió mediante la retirada definitiva de dicha herramienta. Posteriormente, se realizaron auditorías técnicas para confirmar la seguridad de la aplicación.

Transparencia y Responsabilidad

Somos plenamente conscientes de la inquietud que este tipo de eventos puede generar. Lamentamos profundamente esta situación. Pondremos a su disposición lo antes posible una sección de preguntas frecuentes (FAQ) dedicada con las respuestas a las dudas más comunes. En caso de preguntas relacionadas con sus datos, nuestro delegado de protección de datos personales queda a su disposición a través de [email protected]. Nuestro equipo de Soporte también está a su disposición en [email protected].