Desmantelado LeakBase: Caída de uno de los mayores foros de compraventa de datos robados

Introducción

En una operación internacional sin precedentes, fuerzas de seguridad de varios países han desmantelado LeakBase, uno de los mayores foros online dedicados a la compraventa de datos robados y herramientas de cibercrimen. Según ha confirmado el Departamento de Justicia de EE. UU. (DoJ), esta plataforma albergaba una de las comunidades más activas de actores maliciosos, constituyendo un epicentro para la comercialización de credenciales comprometidas, bases de datos filtradas y kits para ataques informáticos. El cierre de LeakBase representa un golpe significativo a la economía subterránea del cibercrimen y plantea importantes reflexiones sobre la resiliencia de estos ecosistemas y la necesidad de reforzar los mecanismos de defensa y respuesta.

Contexto del Incidente

LeakBase llevaba operando desde al menos 2016 y, a lo largo de los años, se consolidó como referencia dentro de los foros clandestinos para la compraventa de información sustraída y servicios ilícitos relacionados. La popularidad de la plataforma se debía a su facilidad de acceso, su sistema de reputación interna y la ausencia de restricciones respecto al tipo de datos y herramientas comercializadas. En diciembre de 2025, LeakBase contaba con más de 142.000 usuarios registrados y superaba los 215.000 mensajes publicados en su foro, según datos proporcionados por el DoJ.

La operación conjunta que ha permitido el desmantelamiento de la plataforma ha involucrado a agencias policiales de Estados Unidos, Europa y Asia, con la coordinación de Europol y el apoyo de INTERPOL. El acceso al dominio principal (“leakbase[.]la”) ha sido bloqueado y, actualmente, los intentos de conexión redirigen a un mensaje oficial informando del cierre y preservación de pruebas.

Detalles Técnicos

LeakBase funcionaba como un foro web alojado en servidores offshore, utilizando Cloudflare y técnicas de proxy inverso para proteger la infraestructura y dificultar la atribución. A nivel de seguridad operacional, los administradores exigían a los usuarios el uso de autenticación de doble factor (2FA) basada en TOTP y promovían el uso de criptomonedas como Bitcoin y Monero para todas las transacciones.

El foro se especializaba en la compraventa de:

– Bases de datos filtradas (dump SQL, CSV, JSON) de plataformas financieras, e-commerce y redes sociales.
– Credenciales de acceso (combos user:pass), incluidas credenciales obtenidas mediante técnicas de credential stuffing y ataques de fuerza bruta.
– Herramientas de hacking: desde exploits para vulnerabilidades CVE recientes (ej. CVE-2023-34362 en MOVEit Transfer) hasta kits de phishing personalizados y paneles para botnets.
– Acceso a RDP y VPN corporativos comprometidos.
– Servicios de malware-as-a-service (MaaS), principalmente ransomware y stealers como RedLine, Racoon o Vidar.

Las investigaciones han identificado la presencia de TTPs asociadas a varios grupos documentados en MITRE ATT&CK, como TA505 (compromiso inicial a través de spear phishing y explotación de vulnerabilidades), así como la distribución de artefactos vinculados a Cobalt Strike, Metasploit y kits de explotación automatizada.

Impacto y Riesgos

El cierre de LeakBase tiene un impacto directo en la cadena de valor del cibercrimen. Se estima que, tan solo en 2024, se comercializaron a través de la plataforma más de 15 millones de registros personales y corporativos, con un volumen de negocio superior a los 10 millones de dólares en criptomonedas. Entre los datos filtrados figuraban nombres, direcciones, números de tarjetas de crédito, credenciales de acceso a plataformas SaaS y datos de autenticación multifactor.

El riesgo para las empresas afectadas es doble: por un lado, la exposición de información sensible puede facilitar ataques dirigidos (spear phishing, BEC, ransomware); por otro, la disponibilidad de exploits y herramientas facilita la proliferación de nuevas campañas de intrusión, especialmente contra organizaciones con infraestructuras desactualizadas o sin políticas de gestión de vulnerabilidades maduras. La publicación de los IoCs (hashes, direcciones IP, URLs) asociados a LeakBase y sus principales actores resulta crítica para la monitorización y respuesta temprana por parte de los equipos SOC y los proveedores de inteligencia de amenazas.

Medidas de Mitigación y Recomendaciones

– Actualización inmediata de credenciales y revisión de logs en servicios corporativos expuestos.
– Refuerzo de la autenticación multifactor y monitorización de eventos sospechosos relacionados con accesos remotos (RDP, VPN).
– Revisión de la exposición de datos personales en cumplimiento de la GDPR y notificación a las autoridades competentes en caso de brechas.
– Implementación de soluciones EDR y SIEM para la detección de TTPs asociadas a los artefactos distribuidos en LeakBase.
– Actualización de reglas de filtrado para bloquear IoCs y dominios asociados.
– Formación continua al personal sobre ingeniería social y riesgos derivados de credenciales expuestas.

Opinión de Expertos

Expertos en ciberinteligencia, como los analistas de KELA y Recorded Future, advierten que aunque el cierre de LeakBase es relevante, el ecosistema del cibercrimen es altamente resiliente y tiende a fragmentarse y migrar a nuevas plataformas en la dark web o canales alternativos como Telegram y Discord. Según datos del European Union Agency for Cybersecurity (ENISA), el impacto real sobre la actividad delictiva suele ser temporal, aunque la pérdida de confianza y la incertidumbre entre los actores maliciosos pueden ralentizar su operativa durante semanas.

Implicaciones para Empresas y Usuarios

El incidente subraya la importancia de la vigilancia continua y la proactividad en la gestión de credenciales y la monitorización de la exposición de datos. Las empresas deben considerar la suscripción a servicios de threat intelligence con capacidad de monitorización de foros clandestinos y la integración de alertas automatizadas en sus sistemas de defensa. Desde una perspectiva regulatoria, los incidentes de este tipo refuerzan la necesidad de cumplir con NIS2 en materia de notificación de incidentes y gestión de riesgos en infraestructuras críticas.

Conclusiones

La caída de LeakBase marca un hito en la lucha contra el cibercrimen, pero también pone de relieve la sofisticación y adaptabilidad de las redes criminales en la era digital. La colaboración internacional y la inteligencia compartida son fundamentales para contener este tipo de amenazas, pero la defensa proactiva y la actualización permanente de las medidas de seguridad siguen siendo responsabilidad de cada organización.

(Fuente: feeds.feedburner.com)