El FBI confirmó la confiscación del dominio Breachforums[.]hn, la última iteración del conocido foro de compraventa de datos y filtraciones. La autoridad estadounidense redirigió los DNS del dominio a ns1.fbi.seized.gov y ns2.fbi.seized.gov, mostrando un banner de incautación de infraestructura. La acción llegó tras meses de actividad del foro, que en 2025 se utilizó para publicar resúmenes de compañías afectadas por supuestas fugas relacionadas con la ecosistema de Salesforce.
FBI confisca BreachForums: DNS y cooperación internacional
Según el anuncio oficial, la operación se realizó con apoyo de fuerzas del orden en Francia y se inició antes de que se intensificaran las publicaciones sobre Salesforce. En los días previos, el dominio principal quedó inaccesible y el espejo en Tor sufrió interrupciones temporales. El switch de DNS hacia servidores asociados históricamente a incautaciones del FBI funcionó como un claro indicador de la acción inminente.
Backups y datos de escrow comprometidos: riesgos de desanonimización
De acuerdo con BleepingComputer, miembros vinculados al foro afirman que las autoridades habrían accedido a archivos de backups de bases de datos de versiones anteriores de BreachForums, incluidos respaldos de 2023 y registros de escrow desde el último relanzamiento. Si se confirma, el impacto alcanza a operadores, compradores y vendedores que confiaban en el anonimato. En foros criminales, el escrow documenta transacciones y contrapartes; su exposición facilita la atribución retroactiva, el mapeo de redes y potenciales acciones legales.
Scattered Lapsus$ Hunters: “fin de la era de los foros públicos”
Un colectivo que se identifica como Scattered Lapsus$ Hunters —relacionado en su retórica con Scattered Spider, LAPSUS$ y ShinyHunters— aseguró en Telegram, con un mensaje firmado por PGP verificado por BleepingComputer, que los servidores de backend fueron incautados. Según su comunicado, no habrá relanzamiento de BreachForums y foros similares deben considerarse “honeypots” bajo control policial. Si bien esta postura beneficia a la narrativa delictiva, se alinea con precedentes de incautaciones coordinadas contra mercados y foros en 2022–2023, como Hydra Market (Alemania/EE. UU.) y Genesis Market (Operation Cookie Monster).
Extorsión vinculada a Salesforce: alcance y amenazas
A pesar de la toma del dominio, los actores afirman que la campaña de extorsión ligada a Salesforce sigue en curso. Entre las organizaciones citadas por los atacantes aparecen FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France/KLM, TransUnion, HBO Max, UPS, Chanel e IKEA, entre otras. Sostienen disponer de hasta 1.000 millones de registros con datos personales y exigen pagos para evitar la difusión completa. Estas afirmaciones no han sido verificadas de forma independiente y deben tratarse como claims de los actores de amenaza.
Por qué estos ataques funcionan en entornos SaaS
El foco en plataformas SaaS populares y en cadenas de suministro de datos multiplica el “poder de negociación” criminal. Incluso fugas parciales de metadatos de clientes pueden habilitar phishing dirigido, secuestro de sesiones, abuso de tokens OAuth e escalada de privilegios a través de aplicaciones integradas. Las operaciones internacionales de desmantelamiento muestran un patrón sostenido de tácticas proactivas y multijurisdiccionales, pero los actores se desplazan a canales privados y mensajería federada, reduciendo la visibilidad defensiva.
Recomendaciones: cómo blindar Salesforce y el ecosistema SaaS
Acciones inmediatas: revocar tokens OAuth y Connected Apps sospechosos; rotar contraseñas y secretos de integraciones; imponer listas de IP permitidas para accesos administrativos; activar MFA/SSO para cuentas privilegiadas; habilitar Salesforce Shield Event Monitoring (o equivalentes) para telemetría de logins y llamadas API; auditar políticas de DLP y exportación de datos.
Medidas a corto/medio plazo: crear detecciones de anomalías (consultas SOQL masivas, picos de uso de API, geolocalizaciones inusuales, horarios atípicos); segmentar integraciones con least privilege; realizar tabletop exercises de fuga de PII; acordar servicios de respuesta a incidentes y soporte legal; revisar planes de notificación a reguladores y clientes.
Mientras continúan las acciones contra infraestructura criminal, las organizaciones deben operar bajo el principio de “asume compromiso”: minimizar la exposición de datos en SaaS, reforzar el monitoreo y asegurar la capacidad de contención. La desaparición de foros no elimina el riesgo; lo desplaza. Conviene transformar estas lecciones en mejoras sostenibles de gobierno de identidades, control de accesos y observabilidad, y mantenerse informado para anticipar nuevas tácticas de extorsión y filtración.
