Una operación internacional de las fuerzas de seguridad, denominada Operación Leak, ha culminado con el cierre de LeakBase, uno de los foros cibercriminales más activos desde 2021, que contaba con más de 142 000 usuarios registrados. El elemento más significativo de la operación es la incautación de la base de datos completa del foro, un activo que permitirá investigaciones en profundidad contra miles de participantes del ecosistema de ciberdelincuencia.
Operación Leak: cómo el FBI y Europol tomaron el control de LeakBase
Entre los días 3 y 4 de marzo, el FBI, en coordinación con autoridades de 14 países, ejecutó una acción simultánea para tomar el control de la infraestructura de LeakBase. Como resultado, se confiscaron dos dominios asociados al foro y se obtuvo un volcado íntegro de su base de datos, que incluye cuentas de usuario, mensajes públicos y privados, registros de IP y otros metadatos técnicos críticos para la atribución.
Según la información disponible, la base de datos contenía alrededor de 215 000 mensajes privados y unos 32 000 posts públicos. En el dominio intervenido leakbase[.]la se muestra ahora el clásico banner del FBI notificando la incautación y advirtiendo de que todos los datos se utilizarán como prueba en investigaciones penales. Los nameservers se han redirigido a ns1.fbi.seized.gov y ns2.fbi.seized.gov, una práctica habitual en operaciones contra infraestructuras de ciberdelincuencia documentada en casos previos por el propio Departamento de Justicia de EE.UU.
Acciones globales y explotación de la base de datos incautada
La Operación Leak no se limitó al derribo de la infraestructura online. Se llevaron a cabo alrededor de 100 actuaciones operativas —entre registros, detenciones e interrogatorios formales— en países como Estados Unidos, Australia, Bélgica, Polonia, Portugal, Rumanía, España y Reino Unido. Las autoridades centraron medidas específicas en 37 de los usuarios más activos del foro, considerados piezas clave en la operación de la plataforma y en la venta de datos robados y herramientas de ataque.
La posesión de la base de datos completa de LeakBase permite a los analistas de las fuerzas de seguridad aplicar técnicas de análisis de grafos y correlación similares a las empleadas en los casos de RaidForums, Breached/BreachForums y Genesis Market, donde, según Europol, los datos intervenidos dieron lugar a cientos de investigaciones y arrestos posteriores. Información como historiales de pago, reputación interna, IPs y relaciones entre cuentas permite mapear redes, identificar organizadores, proveedores de datos y clientes recurrentes.
LeakBase: funcionamiento del foro de hacking y papel en el mercado de datos robados
LeakBase surgió vinculado al grupo de hacking ARES y ganó tracción después del cierre del conocido foro Breached. El registro era gratuito y ofrecía acceso a un amplio catálogo de servicios cibercriminales: bases de datos robadas, un marketplace para la compraventa de credenciales y vulnerabilidades, un servicio de escrow (depósito en garantía) para transacciones entre delincuentes, además de secciones sobre programación, hacking, ingeniería social, criptografía y OPSEC (seguridad operacional).
De acuerdo con comunicados de Europol sobre foros similares, LeakBase integraba un sistema de crédito y reputación que emulaba el modelo de las plataformas de comercio electrónico legítimas. Estos mecanismos permiten construir confianza entre identidades anónimas, reducir el fraude interno y premiar a los proveedores más activos de datos filtrados y malware, reforzando la estabilidad del mercado negro.
Una norma interna especialmente relevante prohibía la venta o publicación de datos relacionados con Rusia. Restricciones de este tipo son habituales en comunidades originadas en una determinada jurisdicción, donde los operadores buscan minimizar el interés de las fuerzas de seguridad locales limitando los objetivos “domésticos”. Esta pauta se ha observado en múltiples foros de la dark web analizados en informes de inteligencia de amenazas comerciales.
Impacto para los ciberdelincuentes: deanonimización y erosión de la confianza
Errores de OPSEC y exposición de identidades
Para los usuarios de LeakBase, la incautación de la base de datos supone un riesgo elevado de deanonimización. Aunque muchos emplean VPN, proxies o identidades desechables, en la práctica abundan los errores de OPSEC: reutilización de contraseñas, acceso desde redes domésticas o corporativas, reutilización de alias entre foros, inclusión de detalles personales en conversaciones o uso de los mismos monederos de criptomonedas. Combinados con datos de proveedores de Internet y servicios de pago, estos fallos facilitan la atribución individual.
Golpe al mercado negro de datos y a los foros de hacking
El cierre de LeakBase confirma una tendencia consolidada: las fuerzas de seguridad ya no se conforman con derribar servidores, sino que buscan desarticular comunidades y cadenas de confianza. Cada base de datos de foro incautada incrementa la percepción de riesgo entre los delincuentes, dificulta encontrar socios “fiables” y reduce, al menos temporalmente, el volumen de operaciones en el mercado de datos filtrados. Tras operaciones contra RaidForums, Breached y Genesis Market, distintas fuentes de la industria observaron descensos puntuales en la actividad de compraventa de credenciales y accesos iniciales a redes corporativas.
Lecciones de ciberseguridad para organizaciones y usuarios
Para empresas y usuarios finales, la Operación Leak subraya que una filtración de datos en un solo servicio puede circular durante años por múltiples foros de la dark web. Mitigar ese riesgo exige una combinación de medidas técnicas y de gestión: políticas estrictas de contraseñas y no reutilización, implantación de autenticación multifactor (MFA), segmentación de redes, procesos maduros de gestión de incidentes y formación continua frente a ingeniería social y phishing dirigido.
Además, cada vez más organizaciones incorporan servicios de monitorización de fugas en la dark web para detectar credenciales y datos corporativos en foros, canales de mensajería cifrada y mercados clandestinos. Integrar estas alertas en los flujos de respuesta a incidentes permite reducir el tiempo entre la filtración y la contención, limitando el daño reputacional y operativo.
La Operación Leak demuestra que la cooperación internacional en ciberseguridad es cada vez más efectiva y que los grandes foros cibercriminales son entornos crecientemente inseguros para sus propios usuarios. Es un momento oportuno para que las organizaciones revisen su postura de seguridad: reforzar controles de acceso, actualizar planes de respuesta a incidentes, invertir en detección de fugas y, sobre todo, elevar el nivel de concienciación interna. Comprender cómo funcionan foros como LeakBase no solo ayuda a evitar ser una víctima más, sino también a anticipar amenazas y construir una defensa más resiliente frente al próximo gran mercado negro de datos.
