Sobre el hackeo a Grinex en Chainalysis se preguntan ¿si fue Hackeo geopolítico o la estafa de salida perfecta?

Sobre el hackeo a Grinex en Chainalysis se preguntan ¿si fue Hackeo geopolítico o la estafa de salida perfecta?

El ecosistema de las criptomonedas y la ciberseguridad global se encuentra en alerta máxima. Y es que las transacciones en la cadena de bloques (on-chain) vuelven a contradecir los comunicados corporativos, abriendo un debate profundo sobre la verdadera naturaleza de la delincuencia digital en entornos fuertemente sancionados.

El foco de esta tormenta es Grinex, la plataforma de intercambio de criptomonedas registrada formalmente en Kirguistán pero con base operativa e intereses profundamente arraigados en Rusia.

Cómo se recordará, tras suspender operaciones de forma abrupta a mediados de abril alegando un sofisticado ciberataque, una actualización clave publicada por la firma de inteligencia de blockchain Chainalysis en su cuenta de la red social X arroja luz —y genera todavía más escepticismo— sobre el destino de los fondos robados.

La firma forense digital Chainalysis rompió el silencio sobre el caso en una publicación, en la que señaló que los fondos sustraídos a Grinex no están estáticos. Según la publicación, los 13,7 millones de dólares (equivalentes a unos 1.000 millones de rublos) robados en el presunto hackeo han comenzado a moverse de forma frenética.

El rastreo on-chain de la firma indica que el perpetrador está utilizando una combinación de mezcladores de criptomonedas (herramientas diseñadas para romper el vínculo de trazabilidad de los activos) y puentes entre cadenas (cross-chain bridges), que permiten saltar de una red blockchain a otra para dificultar aún más el seguimiento.

El destino final detectado por Chainalysis son varios “puntos de cobro en un exchange convencional” centralizado y es por ello que esta actualización es crítica porque en primer lugar, confirma que el blanqueo de los activos está en su fase activa.

En segundo lugar, y más importante, la ruta elegida por el atacante debilita severamente la versión oficial de los hechos defendida por los operadores de la plataforma, sobre un supuesto ciberataque realizado por actores de “estados no amistosos” con Rusia.

 


Para entender por qué este movimiento de fondos es tan sospechoso, es necesario retroceder a la génesis de Grinex, porque este el exchange no era una plataforma cualquiera; nació en la sombra como el sucesor directo de Garantex, una masiva casa de cambio rusa que fue desmantelada en marzo de 2025 mediante una operación policial internacional y sancionada por la OFAC de Estados Unidos por lavar dinero del narcotráfico, ransomware y mercados de la darknet.

Tras la caída de Garantex, su infraestructura humana, sus canales de Telegram y su liquidez migraron casi de inmediato a Grinex, y de inmediato la plataforma se convirtió en el epicentro financiero para transaccionar el A7A5, un token respaldado por rublos emitido por la firma kirguisa Old Vector.

Este activo digital fue diseñado específicamente para una tarea, la de mover miles de millones de dólares en la economía sumergida rusa, facilitando liquidaciones transfronterizas y evadiendo el cerco de las sanciones occidentales derivadas del conflicto en Ucrania.

De hecho, se estima que este entramado procesó decenas de miles de millones de dólares, sin embargo, la presión internacional asfixió rápidamente a la nueva marca. Grinex y el token A7A5 fueron incluidos en las listas de sanciones de Estados Unidos, el Reino Unido y la Unión Europea a finales de 2025, estrangulando su capacidad operativa.

El desenlace llegó el 15 de abril de 2026, cuando el intercambio congeló los retiros de sus usuarios y denunció el “supuesto” hackeo. En ese momento, la explicación de Grinex fue puramente geopolítica.

 


Este exchange acusó formalmente a los “servicios de inteligencia extranjeros de estados no amistosos” (apuntando a agencias occidentales) de coordinar el ataque informático para dañar de forma directa la soberanía financiera de la Federación Rusa.

Sin embargo, los analistas de Chainalysis y otras firmas como Elliptic detectaron anomalías insalvables en el comportamiento del presunto atacante desde el primer día como Evasión del congelamiento, ya que los fondos extraídos estaban originalmente en stablecoins centralizadas vinculadas al dólar.

Si una agencia gubernamental de Occidente hubiese incautado esos activos, los habría mantenido en las direcciones originales para solicitar formalmente a las empresas emisoras (como Tether) el bloqueo global de los fondos bajo amparo judicial.

Además, el swap a Tron (TRX) que en lugar de lo anterior, el atacante transfirió de inmediato las stablecoins a un exchange descentralizado (DEX) dentro de la red Tron para cambiarlas masivamente por el token nativo TRX, un activo no congelable centralmente.

Lo verdaderamente revelador es que el DEX utilizado para este movimiento rápido es exactamente el mismo que Garantex —el predecesor de Grinex— usaba de forma sistemática en sus operaciones diarias de ocultamiento.

La información más reciente aportada por Chainalysis en X cierra el círculo de las sospechas porque el hecho de que los fondos se estén atomizando a través de mezcladores y puentes para terminar en un exchange centralizado comercial —con el objetivo obvio de ser liquidados a dinero fíat de forma encubierta— es la conducta típica de un ciberdelincuente común o, más probablemente, de un actor interno, no de un organismo de inteligencia estatal.

La industria de la ciberseguridad maneja una hipótesis principal y es que simplemente, los ejecutivos de Grinex han ejecutado una estafa de salida (exit scam) bajo una operación de bandera falsa.

Obviamente, al verse acorralados por las sanciones internacionales y con un modelo de negocio en declive, los propios administradores o individuos con acceso a las llaves privadas de las billeteras habrían vaciado los fondos de los usuarios.

Culpar a los “espías extranjeros” es la coartada perfecta ya que les permite publicar promesas vacías de reembolso en su sitio web para contener el pánico y las denuncias locales, mientras ganan el tiempo necesario para completar el complejo proceso de lavado que Chainalysis acaba de reportar.

Al final del día, los datos en la cadena de bloques vuelven a demostrar que, en el entorno cripto, la arquitectura técnica de los fondos cuenta una historia mucho más honesta que los comunicados de prensa.

Advertencia "La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido"