Este miércoles, el criptointercambio iraní Nobitex, que supuestamente está ligado al gobierno de ese país, sufrió un importante ciberataque que terminó con la pérdida de más de 90 millones de dólares de sus “hot Wallets”, en activos de diversas criptomonedas, como Bitcoin (BTC), Ethereum (ETH), Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) y Toncoin (TON).
Los responsables, fueron el grupo de hackers pro-Israelí Gonjeshke Darande, también conocido como “Predatory Sparrow”, quienes se atribuyeron la responsabilidad del ciberataque. Este grupo es conocido por sus ciberataques contra la infraestructura iraní y ya había afirmado haber sido el responsable por el ciberataque al Bank Sepah, un banco estatal iraní, el día martes.
Follow-up on Nobitex Security Incident — June 18, 2025
As part of our ongoing response to the recent security incident, we would like to provide the latest update:
Nobitex’s technical and security teams continue to investigate the root cause of the incident and are actively…
— Nobitex | نوبیتکس (@nobitexmarket) June 18, 2025
El criptointercambio a través de un mensaje en la red social X, manifestó que se hizo un “seguimiento del incidente de seguridad de Nobitex — 18 de junio de 2025. Como parte de nuestra respuesta continua al reciente incidente de seguridad, nos gustaría proporcionar la última actualización:”
“Los equipos técnicos y de seguridad de Nobitex continúan investigando la causa raíz del incidente y están trabajando activamente en la implementación de un plan de recuperación seguro y eficiente”.
“En las próximas actualizaciones compartiremos: Un desglose completo del incidente, Una hoja de ruta clara para la restauración del servicio, E instrucciones detalladas sobre cómo los usuarios recuperarán de forma segura el acceso a sus activos”.
“La seguridad de los activos del usuario, la comunicación transparente y la recuperación oportuna siguen siendo nuestras principales prioridades. Le agradecemos sinceramente su continua confianza y apoyo. Equipo de comunicaciones de Nobitex”.
Obviamente, dicho ciberataque posee un móvil político y no cabe duda que está directamente relacionado con la escalada de tensiones entre Israel e Irán. De hecho, algunos investigadores en cadena, afirman que hay varios indicios que apuntan a una motivación política y no financiera.
En primer lugar, Gonjeshke Darande es un grupo pro-Israelí que ha estado activo en la ciberguerra contra Irán y asumieron la responsabilidad del ciberataque desde el primer momento. En segundo lugar, la mayoría de los fondos pirateados fueron enviados a “vanity addresses” (direcciones personalizadas de criptomonedas).
Estas direcciones, contienen variaciones del término “F*ckIRGCterrorists” (en referencia al Cuerpo de la Guardia Revolucionaria Islámica), lo que, por sí sólo, ya es un claro mensaje político. En tercer lugar, los expertos en análisis de blockchain como Elliptic han señalado que la creación de “vanity addresses” con cadenas de texto tan largas es computacionalmente inviable para que los hackers puedan tener las claves privadas de esas direcciones.
Esto significa que los fondos fueron esencialmente “quemados” o destruidos, enviando un mensaje político a Nobitex en lugar de buscar un beneficio financiero. Los hackers no tienen la intención de recuperar o gastar el dinero, descartando el motivo financiero.
Y como cuarto punto, Gonjeshke Darande acusó a Nobitex de facilitar la evasión de sanciones y el financiamiento de actividades relacionadas con el gobierno iraní, incluido el apoyo al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), organización iraní, con el cual dicho criptointercambio parece tener nexos.
Por su parte, el criptointercambio Nobitex ha confirmado el acceso no autorizado a sus sistemas, incluyendo su “hot Wallet”. No obstante, afirmó que la mayoría de los activos de los usuarios estaban en almacenamiento en frío y no se vieron afectados por el ciberataque.
A pesar del pirateo, Nobitex declaró que asumirán toda la responsabilidad y compensarán los daños a través de su fondo de seguros y recursos internos. Su sitio Web y aplicación se encuentran al momento de redactar esta nota, temporalmente fuera de línea mientras se realiza una investigación post-mortem del ciberataque.
Today, Iran’s largest crypto exchange Nobitex was exploited for $90M+ across multiple cryptocurrencies. A pro-Israel group claimed responsibility, using burner addresses without private key access, suggesting political motivation. Read our blog to learn more:… pic.twitter.com/1M49QEEEha
— Chainalysis (@chainalysis) June 18, 2025
En una publicación de su cuenta oficial en la red social X, la firma de análisis blockchain Chainalysis, dijo: “ Hoy, Nobitex, la plataforma de intercambio de criptomonedas más grande de Irán, fue víctima de un ataque con más de 90 millones de dólares en múltiples criptomonedas. Un grupo proisraelí se atribuyó la responsabilidad, utilizando direcciones de correo electrónico sin acceso a la clave privada, lo que sugiere una motivación política”.
Chainalysis, afirmó que “la vulneración de Nobitex marca un hito importante en el ecosistema criptográfico iraní”. El pirateo de la plataforma de esta plataforma, fue “presentado el ataque como un ataque con motivaciones políticas contra la infraestructura digital iraní”.
Chainalysis dijo que “Si bien este es el primer ataque de esta magnitud con fines exclusivamente geopolíticos, no es la primera vez que se observa un aumento de la actividad durante periodos de alta tensión geopolítica entre Israel e Irán”.
La firma neoyorkina de análisis blockchain afirmó que Nobitex tiene vínculos conocidos con en evoñesactividades ilícitas, señalando que “Análisis anteriores en cadena han vinculado a Nobitex con diversos actores ilícitos, incluyendo billeteras afiliadas a operadores de ransomware afiliados al CGRI y entidades vinculadas a redes hutíes y a Hamás, identificadas por la Oficina Nacional para la Lucha contra la Financiación del Terrorismo (NBCTF) de Israel”.
En un gráfico de su software de análisis denominado Reactor, Chainalysis dijo que Nobitex “ha facilitado transacciones con el medio de comunicación pro-Hamás, Gaza Now, un canal de propaganda pro-Al Qaeda; las plataformas de intercambio de criptomonedas rusas, Garantex y Bitpapa, también sancionadas; y muchos otros operadores ilícitos”.
Asimismo esta firma dijo que este “incidente parece haber desencadenado una respuesta más amplia por parte del régimen iraní”, ya que “según informes, el Banco Central de Irán ha ordenado a todas las plataformas de intercambio de criptomonedas nacionales que limiten su horario de atención al público entre las 10:00 y las 20:00, lo que sugiere un intento de ejercer una mayor supervisión y control sobre el sector”.
Para Chainalysis, “este toque de queda operativo podría indicar una mayor presión sobre las plataformas de intercambio que operan en Irán, ya que el régimen intenta gestionar el riesgo sistémico en un mercado que desempeña un papel crucial en la evasión de las sanciones globales”.