MTGOX: El hackeo que (casi) destruyó Bitcoin

Imagina un mundo pasado donde Bitcoin valía menos que una pizza, donde comprar criptomonedas era algo tan underground como descargar música con el eMule, y donde un programador llamado Jed McCaleb recicló un dominio olvidado —MTGOX, originalmente para intercambiar cartas de Magic: The Gathering— para crear, sin saberlo, el monstruo que pondría en jaque a toda la criptoeconomía.

Corría febrero de 2014 cuando Japón, epicentro de la revolución financiera del siglo XXI, se convirtió en el escenario de una pesadilla: 744.000 bitcoins —equivalentes hoy a 53.000 millones de dólares— habían desaparecido de las billeteras de MTGOX, el exchange que manejaba el 70% de las transacciones globales de Bitcoin. Los inversores, desde hodlers anónimos hasta grandes fondos, vieron cómo sus ahorros se esfumaban en segundos. El precio de Bitcoin se desplomó un 50%, y los titulares gritaban: «¿Es este el fin de la moneda digital?».

Pero ¿cómo llegó a ocurrir? ¿Fue un ataque de hackers rusos, un error técnico… un virus que se había colado por no hacerme caso a mi y mi recomendación diaria de que te descargues al menos un antivirus gratuito? ¿o algo más turbio? Las sospechas apuntaron a Marc Karpelès, el CEO francés de MTGOX, un hombre con pasado de hacker reconvertido en gurú de la ciberseguridad. Mientras los usuarios protestaban frente a las oficinas de Tokio con pancartas de «Devuelvan nuestro Bitcoin», Karpelès aseguraba haber «encontrado» 200,000 BTC en una billetera perdida. ¿Un acto de buena fe… o una maniobra desesperada?

Lo que siguió fue una trama digna de Netflix: detectives de blockchain, agentes del IRS rastreando direcciones IP en Grecia, y un misterioso ruso, Alexander Vinnik, detenido en una playa helena con un pasaporte falso y un secreto que conectaba a MTGOX con BTC-e, un exchange fantasma usado por cibercriminales y el mercado negro de Silk Road.

Esta es la historia de cómo un proyecto nacido para cambiar cartas de Magic casi mata a Bitcoin, de cómo la codicia y la incompetencia dejaron cicatrices en la criptoeconomía… y de por qué, una década después, sus víctimas aún esperan justicia.

¿Listo para adentrarte en las cloacas de la primera gran crisis de Bitcoin?.

Los inicios de Bitcoin y el nacimiento de MTGOX

En 2010, Bitcoin no era más que un experimento de geeks en foros oscuros. No existían exchanges, ni tarjetas de crédito, ni influencers predicando sobre el "futuro del dinero". Para conseguir Bitcoin, tenías que minarlo tú mismo. Y no, no hacía falta una granja de minería: bastaba con enchufar tu portátil a la red. Laszlo Hanyecz, un programador checo, lo sabía mejor que nadie.

El 22 de mayo de ese año, Hanyecz publicó en Bitcoin Talk un mensaje que pasaría a la historia: «Ofrezco 10,000 BTC por dos pizzas. ¿Alguien interesado?». Tardó cuatro días en encontrar a un alma caritativa que, a cambio de esas monedas (hoy valoradas en $500 millones), le envió dos pizzas de Papa John’s. Así nació el Pizza Day, un hito que resume a la perfección la era vintage de Bitcoin: un mundo donde el "dinero digital" valía menos que una cena familiar.

Pero aquel gesto no fue solo una anécdota. Fue la primera prueba de que Bitcoin podía usarse como medio de pago… aunque nadie, ni siquiera Satoshi Nakamoto, imaginaba lo que vendría después.

Jed McCaleb: De eDonkey al exchange más grande del mundo

Jed McCaleb, un programador de San Francisco con pelo revuelto y gafas de nerd, no era ajeno a las revoluciones digitales. En los 2000, había co-creado eDonkey, la plataforma peer-to-peer que competía con Napster y que nos permitía a todos descargar películas (y virus) en la prehistoria de internet. Pero en 2010, aburrido de los archivos MP3, McCaleb tropezó con Bitcoin.

Su mente, acostumbrada a sistemas descentralizados, vio una oportunidad: crear un exchange. Pero no uno cualquiera. Usó un dominio que tenía guardado: mtgox.com, pensado originalmente para intercambiar cartas de Magic: The Gathering (sí, esas que coleccionabas en el instituto). El 18 de julio de 2010, nació MTGOX (Magic: The Gathering Online Exchange), reconvertido en un sitio para comprar Bitcoin… a 6 centavos por moneda.

El proyecto era tan rudimentario que, al principio, McCaleb usó PayPal para procesar pagos. Pero cuando PayPal le bloqueó las cuentas —por considerar Bitcoin "demasiado riesgoso"—, recurrió a Liberty Reserve, un servicio de pagos de Costa Rica famoso por ser el paraíso de estafadores y lavadores. Ya se veía venir el drama.

La compra de Marc Karpelès: ¿Un genio o un error histórico?

En 2011, MTGOX era un caos. Un grupo de hackers había robado 50,000 BTC (entonces $500,000) aprovechando un agujero entre Liberty Reserve y el exchange. McCaleb, abrumado, buscó un salvador. Y lo encontró en Marc Karpelès, un francés alto, de voz suave y pasado como hacker reconvertido en consultor de ciberseguridad.

Karpelès no era un novato. Había trabajado en proyectos de hosting y seguridad, y creía que Bitcoin sería "el próximo gran paso tecnológico". Así que hizo una oferta que McCaleb no pudo rechazar: «Yo me hago cargo de la deuda de $50,000… a cambio del 88% de MTGOX».

Para McCaleb, fue un trato redondo: salía de un negocio que se le escapaba de las manos. Para Karpelès, una apuesta maestra: el exchange ya manejaba el 70% del volumen global de Bitcoin. «¡En dos años, esto será un unicornio!», debió pensar.

Pero había un problema: Karpelès, pese a su experiencia, subestimó dos cosas. Primero, que MTGOX estaba construido con cinta adhesiva digital (el código era un desastre). Y segundo, que los hackers rusos, los trolls de los foros y hasta el gobierno de EE.UU. tenían a Bitcoin en la mira.

Lo que siguió fue una sucesión de errores, hackeos y decisiones desastrosas que convertirían a Karpelès en el villano accidental de la historia. Pero eso, amigos, es harina de otro capítulo…

El hackeo que sacudió la confianza en Bitcoin

Marc Karpelès no durmió bien ni una noche desde que tomó las riendas de MTGOX. En marzo de 2011, apenas unos meses después de comprar el exchange, 80,000 BTC (entonces $800,000) desaparecieron de las billeteras. El ataque fue limpio: los hackers explotaron una vulnerabilidad en el sistema de retiros y se llevaron las monedas sin dejar rastro. ¿La respuesta de Karpelès? Silencio. No informó a los usuarios hasta seis meses después, cuando el precio de Bitcoin ya había subido un 300%.

Pero aquello fue solo el aperitivo. En 2012, un hacker aprovechó que McCaleb —el creador original— aún tenía acceso administrativo a los servidores. Usando sus credenciales, manipuló el precio interno de Bitcoin para hundirlo de 

17.5$ 0.01$, burló el límite de retiro diario y se fugó con 2,000 BTC. Karpelès, en un intento de calmar a los inversores, publicó un comunicado diciendo que «el dinero robado era del fondo de reserva, no de los clientes». Spoiler: no era cierto.

El tercer golpe fue el más siniestro. Entre 2012 y 2014, los hackers drenaron MTGOX como un vampiro digital: 650,000 BTC desaparecieron gota a gota. Karpelès no se dio cuenta hasta febrero de 2014, cuando las billeteras estaban vacías. ¿Cómo? Simple: el código del exchange era tan caótico que no había un sistema para monitorizar las transacciones en tiempo real. Bitcoin, la tecnología más transparente del mundo, había sido derrotada por una hoja de Excel mal hecha.

El día que MTGOX colapsó: 744.000 BTC desaparecidos

El 7 de febrero de 2014, Japán amaneció con una noticia que parecía sacada de Black Mirror: MTGOX suspendía todos los retiros de Bitcoin. En el edificio de Shibuya donde operaba el exchange, decenas de inversores —desde hodlers con sudaderas de HODL hasta trajes de Wall Street— se agolpaban con pancartas. «¡Devuelvan nuestro dinero!», gritaban. Algunos lloraban; otros, en shock, revisaban sus wallets una y otra vez, como si el BTC fuera a reaparecer por arte de magia.

Dentro de la oficina, Karpelès estaba al borde de un ataque de nervios. Acababa de publicar un comunicado diciendo que habían detectado «actividad inusual en las billeteras», pero la realidad era peor: 744.000 BTC (el 7% de todo el Bitcoin en circulación) se habían esfumado. El precio de Bitcoin se desplomó de 

800$ a 400$ en horas, y los medios especulaban con el «fin de las criptomonedas».

El 28 de febrero, MTGOX se declaró en bancarrota. Karpelès compareció ante la prensa con una camisa arrugada y ojos de insomnio: «Haremos todo lo posible para recuperar los fondos», dijo. Pero los usuarios ya no creían en él. En los foros, lo llamaban «el Bernie Madoff de Bitcoin».

¿Marc Karpelès o hackers rusos? La guerra de teorías

La pregunta que todos hacían era: ¿Quién robó el Bitcoin?. Las teorías volaban.

Por un lado, estaban los que apuntaban a Karpelès. ¿Motivos? Tras la quiebra, el francés anunció que había «encontrado» 200,000 BTC en una «billetera olvidada». Demasiado conveniente. Además, se supo que había usado fondos de MTGOX para pagar sus proyectos personales, como una plataforma de trading de tartas (sí, tartas). «Es un estafador que se autohackeó», acusaban en Reddit.

Por otro lado, emergió una pista clave: Alexander Vinnik, un ruso con antecedentes por robo de tarjetas de crédito, operaba BTC-e, un exchange fantasma donde se lavaron parte de los BTC robados. La cadena de transacciones llevaba a servidores en Costa Rica, direcciones IP rusas y hasta un hotel en Grecia donde Vinnik fue arrestado en 2017.

Pero aquí estaba el dilema: ¿Era Vinnik el cerebro… o un peón? Algunos agentes del IRS creían que Karpelès y Vinnik habían colaborado. Otros, que el francés era simplemente incompetente. La verdadera respuesta llegaría años después, cuando un detective de blockchain llamado Michael Gronager destapó el mayor rastro de migas digitales de la historia.

La caza del hacker: Chainalysis, el IRS y Alexander Vinnik

En 2015, un danés con aspecto de profesor de universidad y una obsesión por los patrones numéricos recibió un sobre anónimo. Dentro, un pendrive con 2.5 terabytes de datos —registros de transacciones, IPs cifradas, movimientos de wallets— de MTGOX. Era como entregarle a Columbo el caso de su vida. Michael Gronager, doctor en mecánica cuántica y cofundador de Kraken, no era un novato: había pasado años rastreando clusters de datos en sistemas caóticos. Pero esto era distinto.

«El código de MTGOX era peor que un cuaderno de borradores», confesó años después. Entre montañas de transacciones, Gronager descubrió algo inquietante: las mismas direcciones se repetían una y otra vez, como un ladrón que deja huellas digitales en cada escena del crimen. Pero había un problema: alguien había borrado registros clave. «Era como si los hackers quisieran que creyéramos que el culpable era Karpelès», dijo.

Su arma secreta: Chainalysis, un software que él mismo había creado para mapear transacciones en la blockchain. Con él, Gronager trazó un hilo rojo que conectaba MTGOX con un exchange llamado BTC-e. Y ahí empezó la verdadera cacería.

BTC-e: El exchange fantasma que lavó millones

BTC-e no era un exchange. Era un agujero negro financiero. Con servidores en Estados Unidos, dueños anónimos y cero requisitos de identificación, se convirtió en el lavadero favorito de cibercriminales. ¿Dinero de Silk Road? Pasaba por BTC-e. ¿Bitcoins robados de MTGOX? Welcome to BTC-e.

Lo curioso es que, pese a su fachada de empresa china, todo apuntaba a Rusia. Las direcciones IP de los administradores saltaban entre Moscú y San Petersburgo, y el horario de las transacciones coincidía con la zona UTC+3. Pero el error definitivo llegó en julio de 2017, cuando Alexander Vinnik, un usuario habitual de BTC-e, se conectó desde la WiFi de un hotel en Grecia… sin VPN.

Los agentes del IRS, que llevaban años espiando el tráfico de BTC-e, obtuvieron su pasaporte en segundos. Y ahí estaba: Alexander Vinnik, alias WME, alias Mr. Bitcoin, alias el lavador de los hackers.

Alexander Vinnik: ¿Cabecilla o cabeza de turco?

Alexander Vinnik, un ruso de 38 años con un historial de ciberdelitos, fue arrestado en 2017 en una playa de Halkidiki (Grecia). Lo pillaron in fraganti: con un traje de baño ridículo, una mochila llena de 20.000 euros en efectivo y una sonrisa de «¿en qué me he metido?». «Soy inocente. Solo soy un técnico», declaró. Pero la evidencia era irrefutable:

• Su dirección IP aparecía en servidores de BTC-e, el exchange fantasma que lavó 9.000 millones de dólares en una década.
• Su alias WME coincidía con transacciones clave del robo de MTGOX.
• En su ordenador, había fotos de maletas repletas de billetes y correos donde negociaba con bitcoins robados.

Pero había un problema: las cuentas de Vinnik en Chipre y Nueva Zelanda solo guardaban 140 millones de dólares. ¿El 99% restante del botín? Probablemente, en cuentas de oligarcas rusos, mafias locales o funcionarios corruptos.

En 2023, tras una guerra de extradiciones entre EE.UU., Rusia y Francia, Vinnik aceptó un trato: se declaró culpable de lavado de dinero a cambio de una condena reducida. Pero la pregunta sigue sin respuesta: ¿Fue Vinnik el cerebro del mayor robo de Bitcoin… o un peón en una trama que involucraba a poderes oscuros?

Hoy, desde una celda en California, Vinnik insiste en su inocencia. Mientras, los 9.000 millones restantes siguen en la sombra.

Las consecuencias: Deudas, reembolsos y un mercado en vilo

En junio de 2024, una década después del hackeo, los afectados por el colapso de MTGOX recibieron un correo electrónico que muchos ya no esperaban: «Su reembolso está en camino». La buena noticia: 140,000 BTC serían devueltos. La mala: era solo el 15% de lo robado. Y había un detalle perverso: el pago se haría al precio de 2014, unos 483$ por BTC—,no al valor actual 68,000$ (dependiendo de cuándo leas esto exactamente)

¿Los ganadores? Fondos de inversión como Fortress y V3, que años atrás compraron créditos de MTGOX a víctimas desesperadas por centavos por dólar. Un ejemplo: un inversor que perdió 100 BTC en 2014 recibirá hoy 15 BTC (valorados en 

1millón), pero si vendió su crédito a un fondo en 2018, probablemente sólo acabó ganando 50,000. «Es el capitalismo del desastre: los tiburones ganan, los pequeños se hunden», denunció un hodler en X.

La ironía final: los propios fondos podrían vender masivamente los BTC recibidos, hundiendo el precio… y perjudicando a quienes aún creen en Bitcoin.

El fantasma de los 4000 millones: ¿Qué pasará con los BTC dormidos?

En un rincón oscuro de la blockchain, hay una billetera con 79,000 BTC (unos $4,000 millones) que lleva una década sin moverse. Son parte del botín de MTGOX, y nadie —ni siquiera Chainalysis— sabe quién los controla. Los rumores son de película: ¿Claves perdidas? ¿Un hacker retirado en Bali? ¿O un pacto secreto entre gobiernos?.

Los mercados tiemblan ante una posibilidad: si esos BTC se mueven, Bitcoin se desploma. En 2024, tras el reembolso del 15%, el precio cayó un 8% en horas por el pánico. «Es como tener una bomba atómica dormida. Si explota, no quedará nada», advirtió un analista de Bloomberg.

Pero hay otra teoría: tal vez esos BTC nunca se vendan. Algunos creen que pertenecen a agencias como el FBI, que los incautaron en operaciones como el cierre de Silk Road. Si es así, serían un arma geopolítica… y un recordatorio de que, en el mundo cripto, hasta lo muerto puede resucitar.

Lecciones aprendidas: FTX, Sam Bankman-Fried y los mismos errores

La historia de MTGOX debería ser un manual de lo que no hay que hacer. Pero en 2022, Sam Bankman-Fried (SBF), el wunderkind de las cripto, repitió el guion: usó FTX, su exchange, como un cajero automático para comprar islas, sponsors de la NBA y aprobación de políticos. Cuando colapsó, 8,000 millones de dólares habían desaparecido.

«Es el mismo patrón: exchanges centralizados, opacidad y codicia disfrazada de altruismo», señaló Michael Gronager en una entrevista. La diferencia es que SBF añadió un toque millennial: sustituyó las maletas de efectivo por memes de TikTok y tweets de «¡Lo siento mucho, chicos!».

¿La lección? Los fondos siempre ganan. Tras el colapso de FTX, firmas como BlackRock compraron créditos con descuento… y ahora controlan parte de los activos. Mientras, las víctimas —desde jubilados hasta traders de Venezuela— siguen esperando justicia.

«Bitcoin sobrevivió a MTGOX y sobrevivirá a FTX. Pero hasta que no matemos a los intermediarios, esto será un ciclo de estafas», sentenció un desarrollador anónimo en Reddit. El problema es que, por ahora, nadie escucha.

Bitcoin sobrevivió, pero la desconfianza sigue latente

«Bitcoin es como un fénix: siempre resurge de sus cenizas. Pero cada vez que lo hace, deja cicatrices», afirma Andreas Antonopoulos, gurú de las cripto y autor de Mastering Bitcoin. La razón es simple: los exchanges centralizados siguen siendo el Talón de Aquiles. MTGOX, FTX, Celsius… todos repiten el mismo error: confiar en un intermediario para custodiar lo que se supone que es dinero sin intermediarios.

La paradoja es sangrante.
Bitcoin nació para eliminar bancos y gobiernos, pero hoy el 80% de los usuarios compran cripto en plataformas como Coinbase o Binance. «Es como usar una bóveda del siglo XXI con candados del siglo XIX», criticó Elizabeth Stark, CEO de Lightning Labs. Y la historia lo confirma: desde 2014, $20,000 millones han sido robados de exchanges. La solución, según los puristas: auto-custodia. Pero ¿cuántos están dispuestos a guardar sus claves privadas bajo el colchón digital?

"Karpelès no fue un villano, sino un incompetente"

Marc Karpelès no es el Lex Luthor de Bitcoin. Es, en palabras del analista Tuur Demeester, «un programador mediocre que jugó a ser Dios con código espagueti». Su pecado no fue la maldad, sino la incompetencia técnica:

• Código inseguro: MTGOX usaba servidores sin actualizar y contraseñas guardadas en archivos de texto plano.
• Contabilidad de mentira: Karpelès mezclaba fondos de usuarios con sus proyectos personales, como una plataforma para comprar… tartas.
• Opacidad: Ocultó hackeos durante meses, pensando que «el mercado no notaría los BTC faltantes». Spoiler: los notó.

Tras una década de juicios, Karpelès vive en Singapur, programando videojuegos indie. «No soy un criminal. Solo fui un mal CEO», declaró en un documental. Pero para las víctimas, da igual: 744,000 BTC perdidos no se borran con un «lo siento».

"Vinnik es solo la punta del iceberg: El lado oscuro de la criptoeconomía"

Alexander Vinnik podría ser el villano perfecto: un ruso con cuentas en paraísos fiscales y fotos con maletas de dinero. Pero Chainalysis revela algo más inquietante: BTC-e, el exchange que él operaba, fue solo uno de los 50 lavaderos similares activos en 2024.

La blockchain, pese a ser transparente, es el paraíso del crimen organizado:

• $24,200 millones en cripto se lavaron en 2023, según un informe de la ONU.
• El 90% del ransomware exige pagos en Bitcoin o Monero.
• Corea del Norte usa mineros ilegales para financiar misiles, y nadie puede detenerlos.

«Es la paradoja de Bitcoin: puedes rastrear cada transacción, pero no sabes quién está detrás», explica Sarah Meiklejohn, experta en criptocriminalidad. La solución, para muchos, es regulación. Pero ¿cómo regulas un sistema diseñado para ser ingobernable?

¿Podría repetirse otro MTGOX?

La respuesta es sí. Y no.

Bitcoin ha demostrado ser resiliente: tras cada colapso (MTGOX en 2014, FTX en 2022), su precio recupera niveles históricos. Pero su mayor enemigo no son los hackers, ni siquiera los gobiernos. Es la codicia humana, el mismo virus que infectó a Karpelès, a SBF y a miles de traders que confiaron en espejismos de ganancias fáciles.

Mientras existan exchanges centralizados con dueños que juegan a ser dioses, mientras los usuarios prefieran la comodidad de un botón de «comprar» a la responsabilidad de guardar sus claves, y mientras los Vinnik de turno vean en las cripto un casino sin reglas… la historia se repetirá.

Pero hay esperanza. Como dijo Satoshi Nakamoto en su último mensaje público: «Sería bueno que esto estuviera en manos de gente honesta». El problema es que, en el mundo real, la honestidad es un activo tan escaso como los 21 millones de Bitcoin.

¿Apostamos a que el próximo MTGOX ya está en marcha?