La criptobolsa kirguisa Grinex, ya incluida en las listas de sanciones de Estados Unidos y Reino Unido, ha suspendido operaciones tras un ciberataque de gran escala que habría supuesto la sustracción de unos 13,74 millones de dólares, equivalentes a más de 1.000 millones de rublos en fondos de usuarios. La compañía ha atribuido el incidente a «servicios de inteligencia occidentales», una acusación que ha reavivado el debate sobre la ciberseguridad de las plataformas sancionadas y su papel en la evasión de sanciones financieras.
Contexto del ciberataque: Grinex, Garantex y la infraestructura de evasión de sanciones
Grinex, registrada en Kirguistán, es considerada por múltiples analistas como un rebautizo operativo de la sancionada plataforma Garantex. Esta última fue incluida por el Departamento del Tesoro de EE. UU. en la lista de la OFAC en abril de 2022 por blanqueo de capitales vinculado a ransomware y mercados ilícitos, incluidos Conti e Hydra. Las sanciones se endurecieron en agosto de 2025 tras acusaciones de procesar más de 100 millones de dólares en transacciones ilegales.
De acuerdo con el Tesoro estadounidense y firmas de análisis blockchain como Elliptic y TRM Labs, una parte significativa de la base de clientes de Garantex habría sido migrada a Grinex. Un elemento clave en este ecosistema es el stablecoin denominado en rublos A7A5, diseñado para mantener paridad con la moneda rusa. El uso de stablecoins locales permite a estas plataformas parcialmente aislar sus flujos de pago de la infraestructura financiera global, aumentando su resiliencia frente a restricciones bancarias y sanciones.
Los vínculos de Grinex con otras plataformas refuerzan la hipótesis de una red de intercambios orientada a la evasión de sanciones. Un informe de Elliptic de febrero señalaba que la criptobolsa georgiana Rapira, con oficina en Moscú, realizó operaciones directas con Grinex por más de 72 millones de dólares. Este patrón demuestra cómo exchanges con conexiones rusas siguen siendo utilizados para mover capital transfronterizo fuera de los canales tradicionales y del escrutinio bancario.
Método del ataque: robo de USDT, uso de TRON y Ethereum y gestión del riesgo de congelación
Según Elliptic, el ciberataque contra Grinex se produjo el 15 de abril de 2026 en torno a las 12:00 UTC. Los fondos robados estaban mayoritariamente denominados en el stablecoin USDT (Tether) y se trasladaron de forma casi inmediata a nuevas direcciones en las redes TRON y Ethereum.
El rasgo técnico más relevante es la rápida conversión de USDT a otros criptoactivos, principalmente TRX y ETH. Muchos emisores de stablecoins, incluido Tether, incorporan funciones de lista negra que permiten congelar tokens asociados a direcciones implicadas en delitos. Al salir cuanto antes de USDT hacia activos más descentralizados, los atacantes reducen la ventana de tiempo en la que el emisor puede bloquear los fondos y dificultan el rastreo posterior.
TRM Labs identificó alrededor de 70 monederos de criptomonedas vinculados al incidente y señaló que otra plataforma kirguisa, TokenSpot, también se vio afectada. Los analistas la describen como un posible “front” operativo de Grinex. El día del ataque, TokenSpot anunció «mantenimiento técnico» en su canal de Telegram y comunicó la plena reanudación de sus servicios el 16 de abril. Aunque sus pérdidas se estiman en menos de 5.000 dólares, los fondos fluyeron por dos direcciones asociadas a la bolsa y terminaron consolidados en la misma cartera que los activos robados de Grinex.
“Frantic swapping”: patrón clásico de lavado de dinero con criptomonedas
La firma de analítica Chainalysis describe el comportamiento de los atacantes como un caso típico de “frantic swapping”: los stablecoins robados se intercambian de forma casi instantánea por tokens que no pueden congelarse centralmente. Este patrón es recurrente en blanqueo de capitales con criptomonedas y en grandes robos a protocolos DeFi.
La secuencia suele incluir la conversión rápida de stablecoins a altcoins, la fragmentación de las sumas en decenas o centenares de direcciones, el uso de distintas blockchains y, en fases posteriores, servicios intermediarios como DEX, puentes cross-chain o mezcladores. Cada salto añade capas de complejidad a la trazabilidad forense, encareciendo y ralentizando el trabajo de investigadores y fuerzas de seguridad.
Ataque externo o operación de “falsa bandera”: dudas sobre el origen del incidente
La dirección de Grinex sostiene que el análisis forense digital apunta a un nivel de recursos “sin precedentes” y a la implicación de «estados hostiles». Vincula el ataque a un supuesto intento de dañar el «supranacional financial sovereignty» de Rusia y desestabilizar su sector financiero interno, añadiendo que la infraestructura de la bolsa habría sido objeto de intentos de intrusión desde el inicio de sus operaciones.
Chainalysis, por el contrario, invita a considerar un escenario alternativo: dada la intensa presión de las sanciones sobre Grinex, su restrictivo círculo de contrapartes y el uso de técnicas de ofuscación, el incidente podría corresponder a una operación de “falsa bandera” facilitada por insiders. En este contexto, el “robo” serviría para redistribuir activos, borrar rastros de transacciones anteriores o preparar un nuevo rebranding de la infraestructura, manteniendo el control efectivo de los fondos en manos de los mismos actores.
Por el momento, no existen pruebas concluyentes que permitan decantarse entre un ataque puramente criminal y una operación parcialmente orquestada desde dentro. En cualquier caso, la interrupción de Grinex ya se interpreta como un golpe significativo a la red de criptoplataformas utilizada para sortear sanciones internacionales vinculadas al ecosistema ruso.
El incidente de Grinex subraya la necesidad de reforzar de forma sistemática la ciberseguridad en criptobolsas y proveedores de servicios de activos virtuales. Resulta esencial segmentar la infraestructura, aplicar auditorías independientes a contratos inteligentes y monederos, desplegar sistemas de monitorización de actividad anómala y gestionar explícitamente el riesgo de congelación de stablecoins. Para los usuarios, es recomendable priorizar plataformas con políticas de seguridad transparentes, pruebas de reservas (proof-of-reserves) y sólidos controles KYC/AML, así como evitar almacenar grandes volúmenes de fondos en exchanges, optando por monederos hardware bajo su propio control. Comprender estos riesgos y seguir formándose en ciberseguridad aplicada a criptomonedas es hoy una condición imprescindible para operar con seguridad en el mercado cripto global.
