La pareja que robó $4.000 millones en Bitcoin: los Bonnie y Clyde del cripto

Ilya Lichtenstein y Heather Morgan son Bonnie y Clyde del cripto del siglo XXI. Esta pareja ha sido la protagonista de uno de los mayores episodios de hackeo a una plataforma de intercambio o exchange de criptomonedas que hasta ahora se conoce.

Ocurrió en agosto del año 2016, cuando violentaron los protocolos de seguridad de exchange Bitfinex, plataforma que sufrió un hackeo masivo. Ilya y Heather robaron aproximadamente 119,754 Bitcoins del exchange Bitfinex. Para la fecha del hackeo representaban poco más de 66 millones de dólares. Hoy, a finales de marzo de 2025, esa misma cantidad de tokens equivaldría a casi 100.000 millones de dólares.

¿Cómo lo hicieron?

Ilya Lichtenstein y Heather Morga, el joven matrimonio neoyorquino, será reconocido por ser los primeros en hackear masivamente una plataforma de intercambio de criptomonedas: Bitfinex. Aunque esto fue en 2016, sigue siendo uno de los mayores robos de criptomonedas en la historia de las finanzas descentralizadas (DeFi) y la blockchain.

Este caso, junto al hackeo de contra el Coincheck de 2018, cuando atacantes aún desconocidos sustrajeron poco más de 530 millones de dólares en tokens XEM de la blockchain NEM, es uno de los mayores en su estilo. Solo que Ilya Lichtenstein y Heather Morgan sí fueron capturados y los primeros aún no han sido identificados.

Pero, ¿cómo lograron los modernos Bonnie y Clyde robar casi 120 BTC? Según las investigaciones, que llevaron unos 4 años, la pareja usó una serie de métodos muy sofisticados para hackear a Bitfinex y luego ocultar y blanquear el dinero de los fondos robados y, así poder dificultar su rastreo.

Los expertos en blockchain y hackeos del Departamento de Justicia de los Estados Unidos (DOJ) que trabajaron en el caso junto al FBI identificaron que los cyber asaltantes emplearon técnicas de mixing o tumbling para lograr su cometido al fragmentar las transacciones de BTC con altos niveles de anonimato y en muchas pequeñas operaciones.

Con este método hicieron que los casi 120.000 BTC pasarán por y para múltiples billeteras, creando una compleja red de transferencias DeFi difíciles de rastrear o de seguir. Esto complicaba el seguimiento de los fondos y ayudaba a disimular su procedencia ilícita y a los ojos del DOJ y el FBI.

Además, para todo el proceso utilizaron plataformas de intercambio descentralizadas y mercados de la dark web o el internet profundo. Todo esto para convertir las criptomonedas robadas en otras monedas digitales o incluso en dinero fiat como el dólar y el euro.

Lichtenstein y Morgan también crearon identidades falsas y plataformas de intercambio bajo nombres ficticios para mover una y otra vez los fondos. En algunos casos, adquirieron bienes tangibles como tarjetas de regalo en BTC o bienes raíces con recursos económicos blanqueados.

A través de estas transacciones, aparentemente legales, pudieron integrar el dinero robado a economía legal y, de esta manera, evadir el rastreo de las autoridades por varios años. Pero, finalmente, fueron rastreados y atrapados.

A la cárcel 6 años después

La pareja, Ilya Lichtenstein y Heather Morgan, vivió una vida relativamente normal en Nueva York como empresarios emprendedores. Esto fue antes y después del hackeo. El joven se dedicaba a los negocios y había creado una firma de consultoría tecnológica y la chica, aunque tenía una empresa de ciberseguridad, se consideraba a sí misma artista, escritora y rapera.

De hecho, ninguno de los dos hizo el menor esfuerzo por ocultarse y se destacaban en la escena pública autopublicándose como exitosos. Él se jactaba de ser un genio tecnológico y ella declaró en una entrevista pública publicada por la revista Forbes que era «economista, empresaria en serie, inversora en software y rapera y que su nombre artístico era Razzlekhan”.

Tras el arresto, las autoridades incautaron cerca de 3.600 millones de dólares en activos que se consideraron como “recuperados” a fines legales y para alegatos del juicio. Lo cierto es que este caso representa la mayor incautación financiera hecha por el Departamento de Justicia en la historia y según lo informó Lisa Mónaco, quien era la fiscal general adjunta en el momento del arresto.

Durante el juicio, presidido por la jueza de distrito Colleen Kollar-Kotelly, esta enfatizó la importancia de dejar claro que estos delitos no pueden cometerse con impunidad y que siempre conllevan consecuencias por mucha genialidad y manejo de la tecnología que tengan los atacantes.

La sentencia

Al ser capturado y llevado a audiencia preliminar para establecer las causas para un juicio, Lichtenstein confesó haber sido responsable del hackeo al exchange de criptomonedas Bitfinex en 2016.

Por sus acciones recibió una sentencia de cinco años de prisión. Así se determinó en el juicio del 14 de noviembre de 2023, cuando el Tribunal de Distrito de los Estados Unidos para el Distrito de Columbia, con la jueza Colleen Kollar-Kotelly al frente, dictó la sentencia tras la declaración de culpabilidad del acusado. El cargo fue por conspiración para cometer lavado de dinero.

Por este delito y de acuerdo a las leyes federales de Estados Unidos, estas acciones podrían haberlo llevado a una pena de hasta 20 años. Sin embargo, los fiscales recomendaron una condena más leve debido a la ausencia de antecedentes penales de Lichtenstein y lo que la Fiscalía de Columbia calificó como «asistencia sustancial» o ayuda para esclarecer los hechos que proporcionó el joven en otras investigaciones.

En el caso de su esposa Heather Morgan, el juicio se llevó a cabo un año más tarde: el 18 de noviembre de 2024, cuando la artista conocida como Razzlekhan recibió una condena de 18 meses de prisión. La diferencia considerable de la sentencia se debe a que, durante el juicio, el esposo se declaró culpable de los hechos, mientras que a la esposa solo fue acusada de conspiración de fraude.

Se espera que Lichtenstein salga de prisión en noviembre de 2029 y su esposa Morgan lo haga a mediados de 2026. 

¿Qué pasó con Bitfinex y los usuarios estafados?

El exchange Bitfinex aceptó que la pareja vulneró su seguridad. Por lo que tras el impacto implementó varias medidas tanto para recuperarse económicamente del robo como para fortalecer las diversas capas de su seguridad y ganar nuevamente la confianza de sus usuarios.

A pesar del impacto económico y de imagen ante el público, Bitfinex logró mantenerse operativa y aún es uno de los exchanges más importantes del mundo, aunque la historia del hackeo de 2016 quedará grabado en su historia.