El hackeo de Mt. Gox: el mayor robo de Bitcoin de la historia

Cómo un exchange que manejaba el 70% del volumen mundial de Bitcoin colapsó, y por qué 10 años después seguimos aprendiendo de ello.

Fecha de publicación: Febrero 2026 · Tiempo de lectura: ~8 minutos

Mt. Gox es el fantasma que acecha a cada exchange de Bitcoin. En su apogeo, manejaba el 70% del volumen mundial de trading. En su caída, perdió 850.000 BTC de sus usuarios — aproximadamente 450 millones de dólares al precio de entonces, y miles de millones al precio actual. Es la historia definitiva de por qué "not your keys, not your coins" no es un eslogan vacío.

Los orígenes improbables

La historia de Mt. Gox empieza con cartas de Magic: The Gathering.

En 2006, Jed McCaleb, un programador estadounidense, creó un sitio web para intercambiar cartas del popular juego de cartas coleccionables. El nombre Mt. Gox era un acrónimo de "Magic: The Gathering Online eXchange". El sitio nunca despegó para su propósito original.

En 2010, McCaleb descubrió Bitcoin. Vio una oportunidad: reutilizar su dominio y código base para crear un exchange de esta nueva moneda digital. En julio de 2010, Mt. Gox empezó a operar como exchange de Bitcoin. Fue uno de los primeros del mundo.

El timing fue perfecto. Bitcoin empezaba a ganar tracción, y la gente necesitaba un lugar donde comprar y vender. Mt. Gox llenó ese vacío. En pocos meses, dominaba el mercado.

Pero McCaleb no quería gestionar un exchange. En marzo de 2011, vendió Mt. Gox a Mark Karpelès, un programador francés que vivía en Japón. Karpelès tenía experiencia técnica pero ninguna experiencia en finanzas, regulación o gestión de empresas a escala.

Este detalle resultaría fatal.

El ascenso

Bajo Karpelès, Mt. Gox siguió creciendo. Para 2013, manejaba aproximadamente el 70% de todas las transacciones de Bitcoin del mundo. Cuando el precio de Bitcoin subió de unos pocos dólares a más de 1.000 dólares en noviembre de 2013, Mt. Gox estaba en el centro de la acción.

Pero el crecimiento ocultaba problemas fundamentales.

La empresa operaba desde un pequeño piso en el barrio de Shibuya en Tokio. El equipo era mínimo — unas pocas decenas de personas manejando cientos de millones de dólares. Las prácticas de seguridad eran, según se descubriría después, catastróficamente inadecuadas.

Karpelès era técnicamente competente pero carecía de las habilidades necesarias para gestionar un negocio financiero de esa escala. Las decisiones importantes se tomaban de forma ad-hoc. La infraestructura técnica era un patchwork de código heredado del sitio de cartas Magic.

Y lo más preocupante: los problemas de solvencia ya existían desde 2011.

Las señales de alarma

La primera señal pública de problemas llegó en junio de 2011. Un hackeo comprometió la base de datos de usuarios de Mt. Gox. El atacante consiguió manipular el precio de Bitcoin dentro del exchange, causando brevemente que BTC cotizara a un céntimo. Aunque el daño directo fue limitado y se revirtió, el incidente reveló vulnerabilidades serias.

Durante 2012 y 2013, los usuarios de Mt. Gox empezaron a quejarse de problemas con los retiros. Los retiros en dólares podían tardar semanas o meses en procesarse. La empresa culpaba a problemas bancarios y regulatorios, pero la realidad era más oscura: Mt. Gox no tenía suficiente dinero para procesar todos los retiros.

En paralelo, investigadores descubrirían después, un "bot" llamado "Willy" operaba dentro de Mt. Gox. Willy compraba bitcoin constantemente con dólares que no existían — dinero ficticio creado dentro del sistema de Mt. Gox. El efecto era inflar artificialmente el precio de Bitcoin y los balances de la empresa. No está claro si esto fue fraude deliberado o un intento desesperado de ocultar pérdidas que ya habían ocurrido.

La investigación posterior de WizSec (Kim Nilsson) reveló que la mayoría de los bitcoin de Mt. Gox habían desaparecido gradualmente entre 2011 y 2013, no en un solo gran hackeo. Las claves privadas se almacenaban en servidores mal protegidos. Los atacantes drenaban fondos lentamente, y nadie en Mt. Gox se daba cuenta porque los controles internos eran prácticamente inexistentes.

El colapso

El 7 de febrero de 2014, Mt. Gox suspendió los retiros de Bitcoin. La explicación oficial fue "transaction malleability" — un bug real del protocolo Bitcoin que permitía modificar el identificador de una transacción sin invalidarla. Mt. Gox afirmó que esto les impedía rastrear transacciones correctamente.

Transaction malleability era un problema real, pero era una excusa. El verdadero problema era que Mt. Gox no tenía los bitcoin que decía tener.

Durante las siguientes semanas, la situación se deterioró rápidamente. Los usuarios no podían retirar ni bitcoin ni dinero fiat. El precio de Bitcoin en Mt. Gox divergió del precio en otros exchanges — un signo claro de que el mercado no confiaba en que Mt. Gox pudiera honrar sus obligaciones.

El 24 de febrero, se filtró un documento interno titulado "Crisis Strategy Draft". El documento, aparentemente preparado para potenciales inversores o compradores, revelaba la magnitud del desastre: Mt. Gox había perdido 744.408 BTC de clientes, además de 100.000 BTC propios. La cifra total era de aproximadamente 850.000 BTC.

El mismo día, Mt. Gox eliminó todo el contenido de su web y Karpelès borró su cuenta de Twitter.

El 28 de febrero de 2014, Mt. Gox se declaró en bancarrota en Tokio. En la conferencia de prensa, Karpelès apareció visiblemente nervioso, disculpándose con los usuarios mientras admitía que la empresa había perdido cientos de miles de bitcoin.

Semanas después, Mt. Gox anunció que había "encontrado" 200.000 BTC en un wallet antiguo que supuestamente había sido olvidado. La pérdida neta quedó en aproximadamente 650.000 BTC.

El precio de Bitcoin, que había estado alrededor de 850 dólares antes de la crisis, cayó a menos de 400 dólares en las semanas siguientes.

La investigación y el juicio

En agosto de 2015, la policía japonesa arrestó a Mark Karpelès. Los cargos incluían manipulación de datos financieros y malversación de fondos. Específicamente, se le acusó de haber manipulado los registros de Mt. Gox para inflar artificialmente el balance de la empresa, y de haber desviado aproximadamente 3 millones de dólares de fondos de clientes a sus propias cuentas.

Karpelès negó las acusaciones más graves. Admitió errores de gestión pero insistió en que no había robado fondos deliberadamente.

El juicio se prolongó durante años. En marzo de 2019, un tribunal japonés declaró a Karpelès culpable de falsificación de registros, pero lo absolvió del cargo más grave de malversación. La sentencia fue suspendida — Karpelès no fue a prisión.

La investigación reveló detalles escalofriantes sobre la gestión de Mt. Gox:

Las claves privadas que controlaban cientos de miles de bitcoin se almacenaban en archivos de texto plano en servidores conectados a internet, sin cifrar.

El código del exchange tenía bugs conocidos que no se corregían. En algunos casos, los retiros se procesaban dos veces, duplicando efectivamente las pérdidas.

No había separación entre los fondos de la empresa y los fondos de los clientes. Todo estaba mezclado en los mismos wallets.

Los controles de seguridad eran mínimos. No había auditorías externas, ni procesos formales de gestión de riesgos, ni siquiera inventarios regulares de los fondos.

La conclusión de los investigadores fue que la mayoría de los bitcoin no se perdieron en un único gran hackeo, sino que fueron drenados gradualmente a lo largo de años por múltiples atacantes que explotaron la negligencia sistémica de Mt. Gox.

La saga de los reembolsos

El proceso de bancarrota de Mt. Gox se convirtió en uno de los más complejos y prolongados de la historia.

Inicialmente, el proceso fue de liquidación: vender todos los activos y repartir el dinero entre los acreedores. Pero surgió un problema inesperado. Los 200.000 BTC que Mt. Gox había "encontrado" empezaron a subir de valor. Cuando Bitcoin alcanzó 20.000 dólares en 2017, y luego 69.000 dólares en 2021, esos bitcoin valían miles de millones de dólares — mucho más de lo que los acreedores habían perdido nominalmente en 2014.

Bajo la ley japonesa de bancarrota tradicional, el excedente habría ido a los accionistas de Mt. Gox (principalmente Karpelès). Los acreedores habrían recibido solo el valor nominal de sus pérdidas en dólares de 2014.

Esto era absurdo para los acreedores, que habían perdido bitcoin, no dólares. Iniciaron una batalla legal para cambiar el proceso a "rehabilitación civil" en lugar de liquidación. En 2018, lo lograron.

Bajo rehabilitación civil, los acreedores recibirían una parte proporcional de los bitcoin recuperados, no solo el valor en dólares de 2014.

Pero el proceso siguió siendo lento. Las verificaciones de identidad, las disputas legales, y la complejidad logística de distribuir bitcoin a más de 200.000 personas en docenas de países llevaron años.

Finalmente, en 2024 — más de diez años después del colapso — comenzaron los primeros reembolsos. Los acreedores que optaron por recibir pago anticipado recibieron aproximadamente el 15% de sus bitcoin originales, en una combinación de BTC y BCH (Bitcoin Cash, que existía desde el fork de 2017).

Para muchos, fue una experiencia agridulce. Habían esperado una década, pero los bitcoin que recibieron valían mucho más en dólares de lo que habían perdido originalmente. Quienes perdieron 100 BTC en 2014 (valor: ~85.000 dólares entonces) recibieron ~15 BTC en 2024 (valor: ~900.000 dólares al precio de entonces).

La ironía era perfecta: la peor experiencia de custodia de la historia de Bitcoin terminó siendo, para algunos, una inversión forzada extraordinariamente rentable.

Las lecciones

Mt. Gox dejó lecciones que siguen siendo relevantes hoy:

"Not your keys, not your coins" no es un eslogan — es una realidad operativa. Los usuarios de Mt. Gox pensaban que tenían bitcoin. Lo que tenían era una promesa de Mt. Gox de que sus bitcoin existían. Cuando Mt. Gox quebró, la promesa no valía nada. Los únicos bitcoin que sobrevivieron fueron los que nunca estuvieron en Mt. Gox en primer lugar.

La seguridad profesional no es opcional. Mt. Gox manejaba cientos de millones de dólares con las prácticas de seguridad de un proyecto de hobby. Claves en texto plano, sin auditorías, sin controles. La industria ha mejorado enormemente desde entonces — cold storage, multisig, auditorías de reservas, seguros — pero solo porque Mt. Gox demostró lo que pasa cuando no existen.

La regulación tiene un rol. Mt. Gox operaba en un vacío regulatorio. No había requisitos de capital, ni auditorías obligatorias, ni separación de fondos de clientes. La regulación puede ser excesiva o mal diseñada, pero la alternativa de cero regulación para custodios que manejan fondos ajenos demostró ser catastrófica.

Bitcoin sobrevive a sus intermediarios. El protocolo Bitcoin no se vio afectado por el colapso de Mt. Gox. Los bloques se siguieron minando cada diez minutos. Las transacciones se siguieron procesando. Los usuarios que tenían sus propias claves no perdieron nada. Mt. Gox era un intermediario construido sobre Bitcoin, no parte de Bitcoin. Cuando el intermediario falló, Bitcoin siguió funcionando.

Fuentes y referencias:

• Documentos judiciales del Tribunal de Distrito de Tokio (caso Mt. Gox)
• Investigación de WizSec (Kim Nilsson) sobre el rastro de los bitcoin perdidos
• "Crisis Strategy Draft" filtrado (febrero 2014)
• Reportes contemporáneos de CoinDesk, Bitcoin Magazine y Wired
• Filings del proceso de rehabilitación civil de Mt. Gox

Enlaces internos:

• ¿Qué es un exchange centralizado?
• Cómo retirar tu bitcoin del exchange
• Seguridad básica en Bitcoin
• El colapso de FTX