En abril de 2021, una vulnerabilidad en el código de un exchange descentralizado pequeño terminó con más de cincuenta millones de dólares en activos digitales desapareciendo en cuestión de minutos. Ahora, casi cuatro años después, las autoridades de Estados Unidos han presentado cargos contra un hombre de Maryland al que acusan de haber protagonizado ese robo y de lavar buena parte de lo sustraído a través de herramientas propias del ecosistema cripto.
Según la Fiscalía del Distrito Sur de Nueva York, el procesado, identificado como Jonathan Spalletta, habría atacado la plataforma Uranium Finance en dos ataques separados y aprovechado errores de programación en los contratos inteligentes para extraer fondos de las reservas de liquidez. El Departamento de Justicia detalla los hechos en un comunicado público y en la acusación que fue deslacrada recientemente; puede consultarse la nota oficial aquí y la acusación completa.
Los cargos describen dos explotaciones distintas. En la primera, el atacante manipuló una variable del contrato inteligente que controlaba bonificaciones, forzando retiradas que no correspondían y drenando cientos de miles de dólares. Tres semanas después, aprovechó otro fallo —un error de un solo carácter en la lógica de verificación de transacciones— que permitió retenciones fraudulentas equivalentes a retirar casi la totalidad de los activos de 26 pools de liquidez, llevándose aproximadamente 53,3 millones de dólares y dejando al proyecto sin fondos suficientes para seguir operando.
Que un simple error de código tenga consecuencias tan dramáticas no es casualidad: las plataformas que funcionan con contratos inteligentes automatizados, conocidas como Automated Market Makers (AMM), dependen de reglas inmutables escritas en código. Cuando esas reglas tienen un bug, las operaciones se ejecutan exactamente según lo programado —incluso si eso significa pagar tokens que no se han depositado— y la reversión puede resultar imposible si no existen mecanismos de control adecuados. Para entender el modelo, resulta útil revisar la explicación técnica de los AMM, como la que publican proyectos como Uniswap.
Después de apropiarse de los fondos, la acusación sostiene que Spalletta lavó parte del botín a través de intercambios descentralizados y mediante el uso de mezcladores de criptomonedas. Entre las plataformas que han sido señaladas históricamente por facilitar el blanqueo de activos figura Tornado Cash; no es casual que las autoridades estadounidenses hayan sancionado ese servicio en 2022 por su uso en operaciones ilícitas, lo que ilustra los riesgos legales asociados con ciertos servicios de mezcla. Puede consultarse la acción del Tesoro estadounidense contra Tornado Cash en su nota oficial aquí.
El rastro de los fondos, sin embargo, no desapareció del todo. Herramientas de investigación de blockchain y empresas forenses especializadas vienen desarrollando técnicas cada vez más precisas para seguir movimientos entre billeteras y cerrar las puertas a quienes intentan ocultar procedencias. Investigadores y firmas del sector han analizado la trazabilidad del caso Uranium y han mostrado cómo, pese a las capas de mezcla, fue posible vincular direcciones y recuperar activos, algo que apoyó la actuación de las autoridades y la incautación posterior.
Parte del dinero, según la fiscalía, acabó convertido en objetos de coleccionismo de alto valor: cartas de Magic: The Gathering, packs sellados de ediciones antiguas, una colección completa de la primera edición de Pokémon y hasta una moneda romana antigua, entre otras adquisiciones. Esos bienes fueron localizados y decomisados en febrero de 2025 mediante una orden de registro autorizada por un tribunal; además, se recuperaron aproximadamente 31 millones de dólares en criptomonedas vinculadas a las direcciones del acusado.
Las consecuencias legales a las que se enfrenta el imputado son serias: la acusación contempla cargos por fraude informático —con penas que pueden alcanzar los diez años de prisión— y cargos por lavado de dinero, que acarreamos sanciones más duras en el sistema penal federal. Más allá de las penas individuales, el caso subraya que las transacciones en blockchain, por muy descentralizadas y anónimas que puedan parecer, no están fuera del alcance de la ley ni de la investigación tecnológica cuando se vinculan actividades delictivas.
Este episodio es una lección práctica para desarrolladores, proyectos DeFi y usuarios: la seguridad del código no puede ser una tarea secundaria. Auditorías rigurosas, programas de pruebas automatizadas que incluyan controles sobre variables críticas, revisiones comunitarias, y mecanismos de gobernanza preparados para responder ante fallos son elementos esenciales para reducir el riesgo de fallos catastróficos. También recuerda que la crisis de confianza que generan ataques de esta magnitud afecta no sólo al proyecto afectado sino a toda la percepción pública sobre las finanzas descentralizadas.
Finalmente, el caso abre preguntas sobre la responsabilidad en entornos de software abierto: ¿quién responde cuando el código falla, el auditor, el equipo del proyecto, los usuarios que aportaron liquidez? La respuesta legal puede tardar en perfilarse, pero la práctica —y la reciente acción de las autoridades— sugiere que quienes exploten vulnerabilidades con ánimo de lucro podrán ser perseguidos y procesados con el mismo rigor que en el mundo financiero tradicional.
Para quienes quieran profundizar en la información oficial, la comunicado del Departamento de Justicia está disponible aquí, y el texto de la acusación puede leerse en este enlace. Para un punto de vista periodístico y técnico complementario sobre la detención y el caso, pueden consultarse reportes de medios especializados como BleepingComputer y, para contexto sobre el riesgo que suponen los mezcladores, la nota de la Oficina del Tesoro sobre Tornado Cash citada más arriba.
El episodio es, en definitiva, un recordatorio de que en el mundo cripto la tecnología y la ley convergen: un bug puede desencadenar pérdidas reales y el anonimato es cada vez más relativo frente a técnicas forenses avanzadas y a la acción coordinada de las autoridades.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...