Hackers queman 90 millones de dólares solo para enfurecer a Irán
Destruir millones solo para evitar que el régimen los toque ya no es piratería informática, sino una nueva forma de protesta.
En la noche del 18 de junio de 2025, la bolsa de criptomonedas iraní Nobitex fue víctima de un devastador ciberataque, atribuido —según sus propias declaraciones— al conocido grupo proisraelí Predatory Sparrow. Los hackers afirmaron haber extraído más de 90 millones de dólares en criptomonedas de la plataforma y luego destruyeron deliberadamente estos fondos enviándolos a direcciones irrecuperables, como señal de protesta política contra Irán y su Cuerpo de la Guardia Revolucionaria Islámica (CGRI).
El primer informe sobre la violación de seguridad apareció en la cuenta oficial de Nobitex en X a las 2:24 a. m. hora del Este. En él, el equipo informó que había detectado un acceso no autorizado a una parte de la infraestructura encargada de los informes, así como a la denominada “billetera caliente”. Tras detectar señales del ataque, se bloqueó el acceso a los sistemas y la investigación comenzó de inmediato. Al momento de la publicación, el sitio web de Nobitex sigue fuera de servicio.
Casi inmediatamente después del comunicado de la propia bolsa, apareció en la red un mensaje del grupo hacker Predatory Sparrow, en el que se atribuían la autoría del ataque. Prometieron publicar el código fuente de la plataforma y documentos internos robados de la red de la empresa. Los hackers afirmaron que Nobitex es un mecanismo financiero clave del régimen iraní, utilizado para eludir sanciones y financiar estructuras terroristas.
Según los analistas de la empresa blockchain Elliptic, efectivamente se retiraron más de 90 millones de dólares en criptomonedas de las billeteras de la bolsa. Sin embargo, los especialistas determinaron que los hackers no intentaron conservar ni convertir en efectivo los fondos robados. Casi todo el monto fue enviado a las llamadas direcciones “vanity”: billeteras criptográficas cuyos nombres contienen frases únicas, en este caso de carácter ofensivo hacia el CGRI, incluyendo, por ejemplo, “FckIRGCterrorists”.
La creación de tales direcciones es técnicamente extremadamente difícil, ya que requiere enormes recursos computacionales y un gran número de intentos de generación de claves para lograr la coincidencia de texto deseada. Según Elliptic, la probabilidad de encontrar una clave privada para una dirección de este tipo es prácticamente nula. Esto significa que la criptomoneda enviada allí está perdida para siempre —no puede ser utilizada ni recuperada.
El carácter del incidente, según los analistas, no muestra signos de motivación financiera. Más bien, se trata de un gesto demostrativo destinado a dañar la reputación y la infraestructura de la bolsa. Además, la investigación de Elliptic confirma vínculos de Nobitex con figuras influyentes y estructuras cercanas al gobierno de Irán. La bolsa también se menciona en investigaciones relacionadas con el lavado de dinero proveniente de operaciones con programas de ransomware como DiskCryptor y BitLocker.
Predatory Sparrow llevó a cabo el ataque a Nobitex justo después del ataque contra Bank Sepah —un banco estatal controlado por las autoridades iraníes. En ambos casos, el objetivo no fue obtener ganancias, sino causar un impacto destructivo sobre herramientas económicas y tecnológicas. Estas acciones tienen lugar en un contexto de creciente aislamiento de Teherán: el país está restringiendo cada vez más el acceso a Internet global, intentando proteger su infraestructura de interferencias externas.