Amenazas ocultas en foros de negocios clandestinos – cómo funciona BreachForums en la dark web

La ciberseguridad occidental monitorea regularmente la actividad en foros del mercado negro para entender cómo operan los ciberdelincuentes y qué productos y servicios ofrecen en su economía clandestina. Foros en la web oscura como BreachForums constituyen uno de los focos más grandes de actividad delictiva organizada. A continuación, presentamos un análisis detallado de lo que sucede dentro de este oscuro ecosistema.

Este artículo tiene carácter educativo y no fomenta el uso de la darknet.

De RaidForums a BreachForums: el nacimiento de una plataforma clandestina

Antes de que BreachForums se convirtiera en el foro de cibercriminalidad más famoso en la web oscura, operaba bajo el nombre anterior: RaidForums. La plataforma fue fundada en 2015 por el hacker portugués Diogo Santos Coelho. Inicialmente funcionaba como una comunidad centrada en “atacar” sitios web como una forma de broma y trolling. Sin embargo, cuando se involucraron en el robo masivo de datos de plataformas sociales y sitios corporativos, RaidForums se transformó rápidamente en uno de los hubs más rentables del negocio ilegal.

La historia de BreachForums es una cadena de adquisiciones, arrestos y resurgimientos. En 2022, Europol y agencias de inteligencia de EE. UU. tomaron el control de la plataforma y arrestaron a Diogo Santos Coelho, que actualmente se encuentra en una prisión en Reino Unido a la espera de extradición. Luego, la página fue restaurada por un usuario con el pseudónimo PomPomPurin, quien también fue arrestado por el FBI en 2023. En realidad, BreachForums es conocido por reactivar sus operaciones bajo nuevos operadores; la última toma de control por parte del FBI ocurrió en mayo de 2024.

A pesar de las intervenciones reiteradas de las fuerzas del orden, el foro sigue activo. Sin embargo, expertos en ciberseguridad especulan que la versión actual podría ser una “trampa” monitorizada por el FBI para rastrear a los delincuentes y recopilar pruebas.

Ecosistema delictivo: ¿qué ofrece realmente BreachForums?

Al ingresar a BreachForums, se observan invitaciones abiertas a actividades ilegales. A diferencia de otros foros cibernéticos que pretenden ser comunidades de entusiastas de la seguridad, BreachForums nunca oculta su verdadera naturaleza. En la página principal, se encuentran publicaciones que ofrecen servicios prohibidos: desde alquilar una banda MS13 por 10,000 dólares (más un engaño que una oferta real), hasta vender filtraciones de datos empresariales.

El chat del foro muestra usuarios discutiendo en tiempo real sobre la venta de datos de usuarios robados de plataformas de streaming como Netflix, Paramount Plus, OnlyFans o credenciales de cuentas de correo de directivos corporativos. La actividad en el foro es intensa: todas las publicaciones analizadas aparecieron en pocas horas, lo que indica una comunidad clandestina muy activa.

Uno de los subforos más grandes está dedicado exclusivamente a filtraciones de datos. Los usuarios venden allí conjuntos de credenciales de correo electrónico de altos ejecutivos, documentos de identidad de EAU, India, Catar o Arabia Saudita. En particular, destacaron las filtraciones del asegurador de salud australiano MedBank, que fue hackeado por ciberdelincuentes rusos en 2022, robándose datos personales de 9,7 millones de australianos. Sin embargo, muchas de estas ofertas corresponden a filtraciones antiguas (por ejemplo, de 2016) que los vendedores vuelven a ofrecer como “recientes”, otro ejemplo de los engaños que prevalecen incluso entre los propios delincuentes.

Catálogo de servicios: un negocio profesional ilegal

Foros en la web oscura como BreachForums ofrecen un catálogo de servicios que en un mercado legal estarían disponibles, pero todos son ilegales. Los delincuentes son contratados para realizar ataques DDoS, es decir, ataques distribuidos de denegación de servicio, donde una botnet bloquea operaciones de un sitio web para extorsionar dinero o sabotear a la competencia.

Otro servicio popular es el acceso remoto a la computadora de la víctima (HNVC – Computadora Virtual Oculta), que permite a los hackers tomar control total del dispositivo. Un hallazgo interesante fue que grupos cibercriminales anuncian estos servicios con detalles sobre funciones, precios y soporte en ruso e inglés, como si fueran empresas legítimas.

El foro también ofrece servicios de envío masivo de correos electrónicos para campañas de phishing, “flooders” para saturar bandejas de entrada, y catálogos completos de servicios de programación para crear páginas falsificadas de destino y robar datos. En lugar de transferencias tradicionales, todas las transacciones se realizan con criptomonedas, garantizando anonimato.

Debido a múltiples tomas de control del foro, la mayoría de las cuentas tienen menos de 2 años, lo que limita la reputación de los vendedores y aumenta las estafas. Sin embargo, algunos ofrecen un sistema de “escrow”, en el que una tercera parte de confianza retiene los fondos hasta que ambas partes estén satisfechas, lo que indica mayor fiabilidad en sus ofertas.

Fraudes internos: cuando los delincuentes engañan a otros delincuentes

Un aspecto interesante de este foro clandestino es que existe un hilo dedicado a reportar fraudes. Tiene documentación de casos en los que usuarios como uuu732 denunciaron haber sido víctimas de estafas por parte de vendedores como PennyTrate-x, quien no entregó un software para evadir detectores de malware tras pagar 300 dólares. Cuando el moderador intervino, el vendedor se negó a responder y su cuenta fue bloqueada.

Otro caso involucra a un usuario que gastó 500 dólares intentando comprar una base de datos robada de una aseguradora suiza, y otros 1,300 dólares en datos de un minorista suizo, sin que nunca llegara la mercancía. Estos casos muestran que, incluso en un entorno sin ley, las estafas son comunes y los moderadores enfrentan dificultades para hacer cumplir las reglas.

Consecuencias: cómo los delincuentes usan los datos robados

El intercambio de datos en foros de la web oscura tiene consecuencias concretas y peligrosas para las víctimas. Cuando los delincuentes compran credenciales y contraseñas, las usan para acceder a cuentas bancarias, PayPal, redes sociales o plataformas de comercio electrónico, realizando transferencias no autorizadas o compras.

Los datos personales también se usan para suplantación de identidad: los delincuentes solicitan préstamos a nombre de otros, usando documentos robados como pasaportes. En muchos casos, los datos sirven para extorsionar: si un hacker accede a información sensible de una víctima, la amenaza con publicarla.

Defensa: cómo protegerse de las amenazas en internet

Aunque el foro de la web oscura representa un riesgo real, se pueden tomar medidas concretas para protegerse. La primera y más efectiva es no visitar la darknet en absoluto. Esa es la mejor defensa.

Para usuarios comunes, la protección básica consiste en implementar la autenticación de dos factores (2FA) en todas las cuentas, lo que requiere un segundo dispositivo, como el teléfono, para iniciar sesión. Verifica cuidadosamente las URL antes de hacer clic; los estafadores crean sitios casi idénticos a los originales. Nunca descargues archivos de fuentes no confiables ni hagas clic en enlaces sospechosos.

Si quieres verificar si tu correo ha aparecido en la web oscura, puedes usar la herramienta “Have I Been Pwned” disponible en la red normal, sin necesidad de acceder a la darknet. Si descubres que tu dirección de correo está en algún foro, cambia la contraseña inmediatamente, activa 2FA y considera cambiar toda tu dirección de email si detectas actividad sospechosa.

Preguntas frecuentes sobre la dark web y la seguridad

¿Se puede acceder a la dark web desde un Chromebook?
Técnicamente sí, usando la aplicación Crostini para instalar Linux y agregar el repositorio del navegador Tor. Sin embargo, no se recomienda hacerlo a menos que sea para investigaciones periodísticas o académicas. El riesgo de encontrarse con estafadores y delincuentes supera con creces los beneficios.

¿Por qué la dark web tiene mala reputación?
Muchos videos en YouTube muestran a creadores abriendo “paquetes misteriosos” de la darknet, y la internet está llena de horror inspirado en ese tema. Pero en realidad, la mayoría son montajes. La web oscura es menos “terrorífica” y más un negocio: personas acceden para compartir información sin censura (como denunciantes políticos) o simplemente para cometer ciberdelitos.

¿Qué hacer si mi correo aparece en la dark web?
Cambia la contraseña de inmediato, activa la autenticación en dos pasos y monitorea tu actividad cuidadosamente. Si detectas inicios de sesión sospechosos (como correos pidiendo confirmación), considera cambiar toda tu dirección de email.

El monitoreo de actividad en foros de la web oscura por expertos en ciberseguridad busca informar a los usuarios sobre amenazas reales. Conocer cómo operan los delincuentes es la primera línea de defensa para protegerse de ellos.