El histórico foro de hackers BreachForums, conocido por comerciar con bases de datos robadas, se ha convertido esta vez en objetivo de su propio modelo de negocio. Un archivo con un SQL dump de usuarios y la clave PGP privada de la administración se ha difundido públicamente, elevando de forma significativa el riesgo de desanonimización de sus miembros y reforzando la capacidad de actuación de las fuerzas de seguridad.
BreachForums: de heredero de RaidForums a objetivo recurrente de las autoridades
Durante años, el espacio de los “foros de filtraciones” estuvo dominado por RaidForums, plataforma donde se compraban y distribuían bases de datos comprometidas. En 2022, una operación del FBI y socios internacionales desmanteló RaidForums, lo que abrió la puerta al nacimiento de BreachForums (Breached), lanzado por el actor conocido como Pompompurin (Connor Brian Fitzpatrick).
BreachForums se consolidó rápidamente como uno de los mayores mercados de datos robados, con filtraciones de alto impacto como la de DC Health Link (proveedor de servicios de salud del Congreso de EE. UU.) y datos de millones de usuarios de Twitter. El arresto de Pompompurin por parte del FBI en marzo de 2023 supuso el cierre del sitio original, aunque el foro reaparecería después bajo nuevas formas.
Una de esas reencarnaciones, BreachForums v2, se relanzó en 2024 con la participación de la agrupación ShinyHunters y actores conocidos como Baphomet e IntelBroker. En abril de 2025, esta versión quedó fuera de línea tras una presunta explotación de una vulnerabilidad 0‑day en MyBB, el software del foro. Meses más tarde, en otoño de 2025, el FBI incautó el dominio breachforums[.]hn; según los propios ciberdelincuentes, en esa operación las autoridades habrían obtenido copias de seguridad de las bases de datos.
Nueva filtración: archivo breachedforum.7z y exposición de la infraestructura
De acuerdo con la información recopilada por BleepingComputer, el 9 de enero de 2026 apareció en un sitio que usaba la marca ShinyHunters un archivo llamado breachedforum.7z. El paquete contenía tres elementos: un documento de texto con la historia de un supuesto “James”, un SQL dump de la base de usuarios de BreachForums y un archivo con la clave PGP de la administración. Un representante de ShinyHunters negó cualquier vínculo con ese portal, evidenciando la fragmentación y desconfianza interna en el ecosistema criminal.
Compromiso completo de la clave PGP de la administración de BreachForums
El archivo PGP filtrado integra la clave privada utilizada para firmar los comunicados oficiales de los administradores del foro, generada el 25 de julio de 2023. En un principio, la clave estaba protegida por una frase de paso, lo que en teoría impedía a terceros hacerse pasar por la administración sin conocer esa contraseña.
Investigadores de Resecurity detectaron, sin embargo, que en el mismo sitio se publicó posteriormente la contraseña de la clave PGP y validaron su autenticidad. Con ello, la clave queda completamente comprometida. Este hecho invalida la confianza en las firmas históricas de BreachForums y abre la puerta a campañas de phishing, suplantación y desinformación dirigidas al propio entorno criminal, donde la verificación criptográfica suele ser un mecanismo clave de confianza.
SQL dump de MyBB: casi 324.000 cuentas y más de 70.000 IP públicas
El componente más valioso para analistas de ciberseguridad es el SQL dump de la tabla de usuarios de MyBB, con 323.988 registros. Cada entrada incluye alias (nickname), fecha de registro, dirección IP y varios campos internos del foro. La mayoría de las cuentas muestran como IP el valor 127.0.0.9, un loopback local que no revela la ubicación real del usuario.
No obstante, 70.296 registros contienen direcciones IP públicas. Para las fuerzas del orden y para equipos de threat intelligence, este tipo de datos es extremadamente valioso: permite correlacionar patrones con otras filtraciones, proveedores de acceso (ISP) y ventanas temporales de actividad. La última fecha de registro en la base es el 11 de agosto de 2025, el mismo día en que la versión alojada en breachforums[.]hn dejó de operar tras el arresto de varios presuntos operadores, lo que refuerza la conexión entre el dump y los eventos de finales de verano de 2025.
Versión de la administración y fallo clásico de seguridad operacional
El actual administrador de BreachForums, bajo el alias N/A, reconoció la filtración, pero sostiene que no se trata de un nuevo ataque. Según su relato, la exposición se originó en agosto de 2025, durante las labores de restauración del foro tras la pérdida del dominio .hn. En ese proceso, una copia de respaldo de la tabla de usuarios y la clave PGP del foro quedaron temporalmente en un directorio sin protección del servidor web, del que —afirman— solo se registró una descarga.
Desde el punto de vista técnico, este escenario encaja con un error clásico de seguridad operacional (OPSEC): copias de seguridad y claves criptográficas temporales alojadas en rutas accesibles vía web, fácilmente localizables por escáneres automatizados, motores de búsqueda o actores que monitorizan de forma sistemática este tipo de fallos. Incidentes similares se observan con frecuencia en entornos corporativos (por ejemplo, buckets de almacenamiento mal configurados o repositorios de código expuestos) y suelen convertirse en vectores de compromiso de alto impacto.
Riesgos para usuarios, valor de inteligencia y lecciones de ciberseguridad
La filtración de datos de BreachForums ilustra cómo la infraestructura del cibercrimen es tan vulnerable como las víctimas a las que apunta. La combinación de IP públicas, direcciones de correo y marcas temporales de registro facilita la desanonimización de usuarios, la elaboración de perfiles de actividad y el cruce con otros incidentes de filtración de datos. Aunque la administración recomienda el uso de emails desechables, en la práctica muchos actores repiten alias, contraseñas y buzones, lo que simplifica la labor de atribución.
Para defensores y equipos de seguridad corporativa, estos dumps representan una fuente de threat intelligence de alto valor. Permiten identificar posibles atacantes que ya han operado contra determinadas organizaciones, mapear infraestructuras recurrentes y vigilar si cuentas o dominios corporativos aparecen asociados a foros de cibercrimen. A nivel interno, el incidente refuerza la importancia de una gestión rigurosa de copias de seguridad y claves de cifrado, con controles de acceso estrictos, cifrado en reposo, revisión periódica de configuraciones y procedimientos claros de eliminación segura.
Este nuevo episodio en la historia de BreachForums envía un mensaje nítido: la apuesta por el anonimato y la impunidad en el cibercrimen es cada vez menos sostenible frente a la mejora continua de capacidades policiales y de análisis de datos. Tanto organizaciones como particulares deberían aprovechar este tipo de incidentes para revisar sus prácticas: monitorizar de forma proactiva foros y mercados clandestinos, reforzar sus políticas de contraseñas y autenticación multifactor, y aplicar principios de mínimo privilegio y “need to know” en la gestión de información sensible. La ventaja en ciberseguridad tiende a estar del lado de quien aprende más rápido de las brechas, aunque estas ocurran en el corazón del propio ecosistema criminal.
