Underc0de - La Casa de los Informáticos

Una operación internacional coordinada entre agencias de seguridad ha logrado desmantelar LeakBase, uno de los foros clandestinos más grandes utilizados por ciberdelincuentes para comprar y vender bases de datos robadas, credenciales filtradas y herramientas de cibercrimen. La acción forma parte de un esfuerzo global para frenar el comercio ilegal de información sensible en Internet y marca un golpe significativo contra el ecosistema de mercados clandestinos.

La plataforma, que operaba en la web abierta (clearnet) bajo el dominio leakbase[.]la, contaba con más de 142.000 miembros registrados y más de 215.000 publicaciones activas hasta diciembre de 2025, según información proporcionada por el Departamento de Justicia de Estados Unidos. Tras la intervención de las autoridades, quienes intentan acceder al sitio ahora se encuentran con una pancarta de incautación que confirma la confiscación del dominio por parte del Buró Federal de Investigaciones.

El aviso oficial indica que todo el contenido del foro ha sido preservado como evidencia, incluyendo cuentas de usuario, publicaciones, mensajes privados, registros de IP y datos financieros, lo que podría derivar en futuras investigaciones y procesos judiciales contra los implicados.

LeakBase: un mercado clandestino de datos robados

LeakBase se había consolidado en los últimos años como uno de los principales centros de intercambio de información filtrada en Internet. El foro permitía a los usuarios comprar y vender grandes volúmenes de datos obtenidos mediante brechas de seguridad, ataques de malware o campañas de robo de credenciales.

Entre la información comercializada se encontraban:

• Bases de datos completas de empresas hackeadas
• Credenciales de acceso (usuario y contraseña)
• Números de tarjetas de crédito y débito
• Datos bancarios y números de enrutamiento
• Información personal de usuarios
• Registros de malware infostealer

Estos datos robados se utilizan con frecuencia para llevar a cabo tomas de control de cuentas (ATO), fraudes financieros, phishing y ataques de suplantación de identidad. En muchos casos, las credenciales filtradas permiten a los atacantes acceder a servicios corporativos, plataformas de comercio electrónico o cuentas personales.

La investigación también reveló que LeakBase operaba desde junio de 2021, y con el tiempo logró consolidar una comunidad activa dedicada a la distribución de datos comprometidos provenientes de organizaciones de todo el mundo.

El administrador del foro: el alias "Chucky"

Las autoridades también identificaron al principal responsable detrás del foro. El administrador de LeakBase utilizaba el alias "Chucky", aunque también era conocido en la escena clandestina como Chuckies y Sqlrip.

Según informes de la empresa de inteligencia de amenazas SOCRadar, este actor llevaba años compartiendo grandes colecciones de bases de datos robadas, muchas de ellas con información sensible de organizaciones internacionales y usuarios de distintos países.

Además, LeakBase mantenía ciertas reglas internas para reducir la atención de las autoridades. Un informe de la firma de inteligencia digital Flare publicado en abril de 2023 reveló que el foro prohibía explícitamente la publicación de bases de datos provenientes de Rusia, una estrategia que algunos foros clandestinos utilizan para evitar conflictos con actores locales o vigilancia estatal.

Problemas técnicos antes del cierre

Curiosamente, semanas antes de la operación policial, el foro había experimentado interrupciones en su servicio. La empresa de seguridad SpyCloud informó que LeakBase había estado fuera de línea durante varios días, mientras su administrador buscaba un nuevo proveedor de alojamiento.

Este movimiento levantó sospechas dentro de la comunidad de ciberseguridad, ya que los cambios frecuentes de hosting suelen ser indicio de presión policial o intentos de evitar rastreo por parte de investigadores.

Entre los otros moderadores y administradores identificados en la plataforma se encontraban usuarios conocidos en la escena underground como BloodyMery, OrderCheck y TSR.

Operación internacional contra el cibercrimen

El derribo del foro se realizó como parte de una operación internacional denominada "Operación Fuga", ejecutada entre los días 3 y 4 de marzo de 2026.

Durante esta acción coordinada, las autoridades llevaron a cabo:

• Órdenes de registro
• Arrestos
• Interrogatorios a sospechosos
• Medidas de intervención digital

Las acciones se desarrollaron en múltiples países, entre ellos:

• Estados Unidos
• Australia
• Bélgica
• Polonia
• Portugal
• Rumanía
• España
• Reino Unido

La coordinación internacional fue liderada por la agencia policial europea Europol, que colaboró con agencias de seguridad nacionales para desarticular la red de usuarios vinculados al foro.

Según el organismo europeo, LeakBase se especializaba especialmente en la venta de "registros de infostealers", es decir, archivos que contienen credenciales robadas mediante malware diseñado para capturar información almacenada en navegadores, sistemas o aplicaciones.

100 acciones policiales y usuarios bajo investigación

Durante la operación, las autoridades realizaron alrededor de 100 acciones de cumplimiento a nivel mundial, incluyendo medidas contra 37 de los usuarios más activos del foro.

Esto podría significar que los investigadores ahora cuentan con datos completos de actividad criminal, incluyendo direcciones IP, historiales de transacciones y comunicaciones privadas dentro de la plataforma.

El subdirector de la División de Ciberseguridad del Buró Federal de Investigaciones, Brett Leatherman, confirmó el alcance de la intervención:

Citar"El FBI, Europol y agencias de seguridad de todo el mundo llevaron a cabo el derribo de LeakBase, una de las mayores plataformas de ciberdelincuencia en línea, confiscando cuentas, publicaciones, datos de crédito, mensajes privados y registros de IP de usuarios con fines probatorios".

Esta información podría ser utilizada para identificar redes criminales, rastrear operaciones de fraude y procesar a los responsables de ataques cibernéticos.

Un golpe importante al ecosistema de foros clandestinos

El cierre de LeakBase representa un golpe significativo al mercado global de datos robados, pero los expertos advierten que el ecosistema del cibercrimen continúa evolucionando.

Cuando una plataforma clandestina es desmantelada, los actores maliciosos suelen migrar hacia nuevos foros, mercados de la dark web o canales privados en aplicaciones de mensajería.

Aun así, este tipo de operaciones internacionales demuestran que la cooperación entre agencias policiales y organizaciones de ciberseguridad puede interrumpir significativamente la infraestructura del cibercrimen, reducir la disponibilidad de datos robados y aumentar el riesgo para los delincuentes digitales.

Con la información incautada en LeakBase, es probable que en los próximos meses se produzcan nuevas detenciones, imputaciones y operaciones policiales, ampliando el impacto de la investigación iniciada con la Operación Fuga.

Fuente: https://thehackernews.com/