Una operación internacional liderada por Europol y el FBI ha logrado desmantelar LeakBase, uno de los mayores foros dedicados a la compraventa de datos robados en Internet. La plataforma, activa desde 2021, había reunido a más de 142.000 usuarios registrados y albergaba miles de publicaciones con bases de datos filtradas y credenciales robadas utilizadas en ciberataques.

La operación policial se desarrolló entre los días 3 y 4 de marzo, en un despliegue coordinado que involucró a fuerzas de seguridad de más de una docena de países. El resultado ha sido la incautación de la infraestructura del foro, la identificación de usuarios clave y el cierre definitivo de un espacio que durante años funcionó como un auténtico mercado negro digital.

Según las autoridades, la caída de LeakBase supone un golpe relevante contra la economía clandestina basada en datos robados, un ecosistema que alimenta ataques informáticos, fraude financiero y campañas masivas de phishing.

Un mercado digital para credenciales robadas

LeakBase se había consolidado como un punto de encuentro para ciberdelincuentes interesados en intercambiar información comprometida. En el foro se comercializaban bases de datos filtradas, listas de contraseñas y los denominados “stealer logs”, registros generados por malware especializado en robar credenciales.

Estos registros suelen incluir direcciones de correo electrónico, contraseñas, cookies de sesión y otros datos de autenticación, que posteriormente pueden emplearse para acceder de forma fraudulenta a cuentas personales o corporativas.

Una vez en manos de los atacantes, esta información permite realizar tomas de control de cuentas, fraudes financieros, campañas de spam o nuevos ataques informáticos, ampliando el impacto de una brecha de seguridad inicial.

El foro operaba abiertamente en la web y utilizaba principalmente inglés, lo que facilitó la creación de una comunidad internacional de usuarios. Con el paso del tiempo, LeakBase desarrolló una estructura interna que imitaba el funcionamiento de plataformas legítimas.

El sistema incluía una economía basada en créditos y un mecanismo de reputación, mediante el cual los usuarios podían ganar credibilidad dentro del foro. Cuanto mayor era su reputación, mayor acceso obtenían a datos valiosos o a secciones exclusivas del mercado.

Este modelo ayudó a consolidar el foro y a generar confianza entre delincuentes que, paradójicamente, necesitaban mecanismos de verificación para operar entre sí.

Otro detalle que llamó la atención de los investigadores fue una norma interna que prohibía vender o publicar datos relacionados con Rusia, una práctica relativamente habitual en ciertos foros de ciberdelincuencia vinculados a países del espacio postsoviético.

Más de 140.000 usuarios y miles de mensajes

Las cifras recopiladas por los investigadores reflejan la magnitud que había alcanzado la plataforma. En diciembre de 2025, LeakBase contaba con más de 142.000 usuarios registrados, cerca de 32.000 publicaciones y más de 215.000 mensajes privados intercambiados entre miembros.

Estos números situaban al foro entre los principales nodos de intercambio de datos robados en Internet.

Para los analistas de ciberseguridad, espacios como LeakBase funcionan como piezas clave del ecosistema del cibercrimen. No solo sirven para vender información robada, sino también para establecer contactos, compartir herramientas de ataque y coordinar actividades ilícitas.

En muchos casos, los datos que aparecen en estos foros provienen de brechas de seguridad sufridas por empresas, organismos públicos o plataformas digitales.

Una vez publicados o vendidos, esos datos pueden circular durante años en diferentes mercados clandestinos.

Una operación policial internacional

El desmantelamiento de LeakBase fue posible gracias a una operación coordinada a escala global en la que participaron autoridades de Australia, Bélgica, Canadá, Alemania, Grecia, Malasia, Países Bajos, Polonia, Portugal, Rumanía, España, Reino Unido y Estados Unidos, entre otros países.

El 3 de marzo las fuerzas de seguridad iniciaron acciones simultáneas que incluyeron detenciones, registros domiciliarios y visitas policiales conocidas como “knock-and-talk”, utilizadas para advertir o interrogar a sospechosos.

En total, se llevaron a cabo alrededor de 100 actuaciones policiales en distintos países, centradas especialmente en 37 de los usuarios más activos del foro.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre