FBI y Europol clausuran LeakBase: el mercado negro de datos robados con 142,000 usuarios
El desmantelamiento de LeakBase por parte de autoridades internacionales marca un hito en la lucha contra el comercio de datos robados, eliminando uno de los pilares de la economía del cibercrimen tras una operación coordinada entre el 3 y 4 de marzo de 2026.
Clausura de un gigante del mercado negro digital
Una acción conjunta entre el FBI y Europol, ejecutada entre el 3 y el 4 de marzo de 2026, ha logrado clausurar definitivamente LeakBase.
Este foro, operativo desde 2021, se había convertido en un centro neurálgico para la compraventa de información sensible, alcanzando una comunidad de más de 142,000 usuarios registrados.
La operación internacional
La intervención no solo supuso la incautación de los servidores, sino que incluyó cerca de 100 actuaciones policiales en más de doce países.
Entre las medidas se realizaron arrestos y registros, enfocándose especialmente en los 37 perfiles más activos de la plataforma.
Países participantes: La operación involucró a autoridades de España, Estados Unidos, Reino Unido, Alemania y otros ocho países, demostrando el alcance global tanto del foro como de la respuesta policial.
Funcionamiento y estructura de la plataforma
LeakBase destacaba por una organización interna que emulaba a las plataformas de comercio electrónico legítimas, lo que facilitaba las transacciones ilícitas.
Ecosistema de confianza basado en reputación
Utilizaba un sistema de reputación y créditos. Los delincuentes ganaban estatus según la calidad de los datos aportados, lo que les permitía acceder a filtraciones más exclusivas.
Este sistema de "gamificación" criminal incentivaba a los usuarios a compartir datos de mayor valor para subir de nivel en la jerarquía del foro.
Qué se comercializaba en LeakBase
El foro era un depósito masivo de contenido ilícito:
- Bases de datos filtradas: Credenciales de millones de usuarios de servicios populares
- Listas de claves: Contraseñas en texto plano procedentes de brechas de seguridad
- Stealer logs: Registros de malware con contraseñas y cookies de sesión robadas
Los stealer logs son archivos generados por malware que roba información del navegador: contraseñas guardadas, cookies de sesión, tarjetas de crédito autocompletadas y tokens de autenticación. Con estos datos, los criminales pueden acceder a cuentas bancarias, redes sociales y servicios sin necesidad de la contraseña original.
La peculiar norma rusa
Aunque el idioma principal era el inglés, su comunidad era internacional. Curiosamente, el foro mantenía una norma que prohibía la difusión de datos de origen ruso.
Esta política es común en ciertos círculos de la ciberdelincuencia postsoviética, donde existe un código no escrito de no atacar objetivos en países de la Comunidad de Estados Independientes (CEI).
Impacto en la ciberseguridad global
Para los expertos, la caída de este foro es un golpe estructural. LeakBase no era solo un mercado, sino un espacio de coordinación donde se compartían herramientas de ataque y se establecían contactos para futuras campañas.
Las dimensiones del sitio al momento de su cierre
Las cifras son masivas:
- Más de 32,000 publicaciones con información robada
- Cerca de 215,000 mensajes privados, reflejando una altísima actividad de coordinación criminal
- 142,000 usuarios registrados desde 2021
- 37 perfiles de vendedores de alto nivel identificados
Coordinación criminal: Los 215,000 mensajes privados revelan que LeakBase no solo era un mercado pasivo, sino un hub activo donde se planificaban campañas de phishing, fraude financiero y robo de cuentas a gran escala.
El mensaje para los usuarios de la red
Las autoridades advierten que los datos filtrados en estos foros suelen proceder de brechas de seguridad en empresas e instituciones.
La eliminación de este nodo dificulta la monetización inmediata de los robos de datos, aunque recuerdan que la información ya filtrada puede seguir circulando en otros mercados clandestinos.
Aunque LeakBase ha sido clausurado, los datos que ya fueron vendidos y descargados seguirán circulando en otros foros y mercados de la Dark Web. Si tus credenciales estaban en alguna de esas bases de datos, debes cambiar tus contraseñas inmediatamente y activar autenticación de dos factores.
La cooperación internacional funciona
Este desmantelamiento envía una señal clara: la cooperación internacional es capaz de alcanzar y desarticular las infraestructuras más profundas del ecosistema criminal en la web.
La coordinación entre FBI, Europol y las fuerzas de seguridad de 12 países demuestra que el cibercrimen globalizado requiere respuestas igualmente globales.
Conclusión: La clausura de LeakBase marca un hito en la lucha contra el comercio de datos robados. Con 142,000 usuarios, 32,000 publicaciones de filtraciones y 215,000 mensajes privados coordinando actividades criminales, este foro era uno de los pilares de la economía del cibercrimen. La operación conjunta de FBI y Europol con 100 actuaciones en 12 países demuestra que la cooperación internacional puede desmantelar incluso las infraestructuras más arraigadas del mercado negro digital. Sin embargo, el desafío persiste: los datos ya filtrados seguirán circulando, y otros foros intentarán llenar el vacío dejado por LeakBase.
