El FBI incauta BreachForums: ShinyHunters pierde su dominio

El FBI ha incautado oficialmente el dominio BreachForums, una de las plataformas más reconocidas del cibercrimen, utilizada por el grupo ShinyHunters como sitio de filtración y extorsión de datos. La acción coordinada entre Estados Unidos y Francia desmanteló la infraestructura web que servía como punto central para publicar las filtraciones derivadas de los recientes ataques de robo de datos a Salesforce, afectando a grandes corporaciones internacionales.

La operación se produce después de meses de seguimiento digital, durante los cuales los investigadores detectaron que el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login había sido reutilizado por una alianza de actores conocida como Scatter Lapsus$ Hunters, compuesta por miembros de ShinyHunters, Scatter Spider y Lapsus$. Este grupo había convertido el sitio en un portal de extorsión, exigiendo rescates a empresas comprometidas con la amenaza de publicar información robada.

El dominio BreachForums y su caída definitiva

El dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que había reaparecido en el verano de 2025 como un intento de revivir la comunidad original de BreachForums, volvió a desconectarse tras el arresto de varios administradores. Posteriormente, en octubre, se transformó en una plataforma de fuga de datos vinculada a los ataques masivos contra Salesforce.

El martes 8 de octubre, tanto la versión clearnet como la instancia en la red Tor del sitio fueron desconectadas simultáneamente. Aunque el portal de Tor regresó brevemente, el dominio principal quedó inaccesible y fue redirigido a servidores de Cloudflare asociados con dominios previamente incautados por el gobierno de Estados Unidos.

Horas después, el FBI completó la operación, colocando el clásico banner de incautación y redirigiendo los servidores de nombres a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, confirmando la toma de control oficial. Según el aviso publicado, la acción fue coordinada con autoridades francesas antes de que el grupo cibercriminal iniciara la filtración de los datos sustraídos de Salesforce.

Copias de seguridad y bases de datos bajo control del FBI

Tras la incautación, el propio grupo ShinyHunters confirmó que las fuerzas del orden accedieron y confiscaron copias de seguridad completas de las bases de datos de BreachForums, incluyendo todas las versiones almacenadas desde 2023.

En un mensaje difundido por Telegram y autenticado mediante la clave PGP oficial del grupo, los atacantes reconocieron que la caída del foro era "inevitable", declarando que "la era de los foros ha terminado". Según el comunicado, todos los servidores backend y las bases de datos de custodia fueron incautados, aunque el sitio de filtración en la dark web de ShinyHunters continúa operativo.

Los ciberdelincuentes también aseguraron que ningún miembro central ha sido arrestado hasta el momento, pero descartaron por completo relanzar otro foro, advirtiendo que cualquier futura instancia de BreachForums debe considerarse un honeypot operado o monitoreado por las autoridades.

La campaña de Salesforce sigue activa

A pesar del golpe operativo, el grupo Scatter Lapsus$ Hunters afirmó que la campaña de filtraciones vinculada a Salesforce no se ha detenido. En un nuevo mensaje, los actores de amenazas advirtieron que comenzarán a publicar los datos robados a las 11:59 p. m. EST, centrándose en las empresas que se nieguen a pagar los rescates exigidos.

Entre las compañías incluidas en la lista de víctimas figuran grandes nombres como:
FedEx, Disney / Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France, KLM, TransUnion, HBO Max, UPS, Chanel e IKEA.

Según los propios hackers, el volumen de información comprometida supera los mil millones de registros que contienen datos de clientes, empleados y detalles de transacciones corporativas.

BreachForums: el fin de una era del cibercrimen

El cierre de BreachForums marca el fin de uno de los foros más influyentes del ecosistema cibercriminal. Desde su creación, el sitio sirvió como sucesor espiritual de RaidForums, ofreciendo un mercado para la compraventa de bases de datos filtradas, accesos comprometidos y herramientas de hacking.

El último relanzamiento oficial de BreachForums fue anunciado en julio de 2025 por ShinyHunters, poco después del arresto de cuatro administradores en Francia, entre ellos los usuarios ShinyHunters, Hollow, Noct y Depressed. Paralelamente, el Departamento de Justicia de EE. UU. presentó cargos contra Kai West, alias IntelBroker, otro miembro prominente del ecosistema.

A mediados de agosto, el foro desapareció nuevamente, y ShinyHunters emitió un comunicado firmado digitalmente informando que la unidad francesa BL2C y el FBI habían incautado su infraestructura. Ese mensaje incluía una advertencia clara: "No habrá más reinicios de BreachForums."

Impacto y consecuencias

La incautación de BreachForums representa una victoria significativa para las fuerzas del orden internacionales y un golpe directo a la economía del cibercrimen. Al tomar control de los dominios, servidores y copias de seguridad, el FBI no solo interrumpe las operaciones de extorsión de ShinyHunters, sino que obtiene inteligencia clave sobre sus colaboradores, clientes y canales de monetización.

Sin embargo, el hecho de que el sitio de fugas en la dark web siga en línea demuestra que los grupos afiliados continúan activos y potencialmente listos para mover sus operaciones a nuevos dominios o infraestructuras descentralizadas.

Los expertos en ciberseguridad advierten que, pese a la caída del foro, los datos robados de Salesforce podrían ser distribuidos a través de canales alternativos, como foros emergentes, mercados cerrados o redes peer-to-peer.

Una operación histórica contra el cibercrimen

La incautación de BreachForums por parte del FBI y las autoridades francesas consolida una tendencia clara: los organismos internacionales están aumentando su cooperación y capacidad de respuesta ante foros de hacking y extorsión de alto perfil.

Mientras ShinyHunters y sus aliados de Scatter Lapsus$ Hunters intentan mantener su campaña de filtraciones, la pérdida de sus dominios y bases de datos marca un punto de inflexión en la guerra digital entre ciberdelincuentes y agencias de seguridad.

Este caso no solo simboliza el colapso de una infraestructura clave del crimen cibernético, sino también la evolución de la respuesta global frente a amenazas complejas, cada vez más organizadas y transnacionales.

Actualización 10/10/2025: El FBI confirma que continúa analizando la información incautada y que se prevén nuevas detenciones relacionadas con la red internacional de ShinyHunters.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login