Explorar el foro de cibercriminalidad más famoso de la Dark Web en el ámbito de las criptomonedas

Hemos obtenido acceso a BreachForums, un foro cerrado con una comunidad de cibercriminales muy activa, para entender qué productos y servicios se venden en el mercado negro digital, es decir, el dark web.

Aquí está lo que hemos descubierto.

Este artículo tiene fines educativos y no fomenta el uso del dark web.

¿Qué es el dark web?

Para un breve contexto, expliquemos lo que entendemos por dark web y foros de ciberdelincuentes. La dark web es una parte oculta de internet, accesible únicamente a través de navegadores especializados como Tor, que se centra en el anonimato de los usuarios.

El dark web sirve como un centro tanto para usos legítimos, como la navegación privada, como para actividades ilegales, incluyendo la venta de datos robados, drogas, armas, servicios y otros productos de contrabando.

Los foros de cibercriminales en el dark web son comunidades donde los piratas, los estafadores y otros criminales intercambian información, herramientas y servicios, utilizando a menudo las criptomonedas para facilitar transacciones anónimas.

¿Qué es BreachForums?

BreachForums se lanzó bajo el nombre de RaidForums en 2015 por un hacker portugués, Diogo Santos Coelho. RaidForums fue creado como una comunidad centrada en el “raid” de sitios web y espacios en línea como una forma de broma, trolling o perturbación de las actividades en línea.

Sin embargo, cuando los piratas del sitio comenzaron a hackear plataformas de redes sociales y sitios web y a robar millones de datos de usuarios, empezaron a vender estos datos al mejor postor. RaidForums se transformó rápidamente en uno de los centros más sofisticados y bien establecidos de actividades criminales organizadas en el dark web.

Cuando Gate fue hackeado en febrero de 2024, BreachedForums fue el primer lugar donde los datos KYC de los usuarios aparecieron a la venta, y lo mismo ocurrió con el código de los cajeros automáticos de Bitcoin utilizados en El Salvador que apareció a la venta en BreachForums en abril del mismo año.

El sitio ha comenzado a atraer a cibercriminales en busca de información sensible proveniente de violaciones de seguridad de empresas, e incluso de documentos gubernamentales filtrados, lo que lo ha convertido en un objetivo de esfuerzos internacionales de las fuerzas del orden.

En 2022, Europol y las agencias de inteligencia estadounidenses colaboraron para incautar el sitio e identificar y arrestar al fundador Diogo Santos Coelho, quien actualmente está detenido en el Reino Unido a la espera de extradición a los Estados Unidos por cargos de ciberdelincuencia.

RaidForums fue rápidamente relanzado bajo el nombre de BreachForums por un usuario llamado PomPomPurin, quien fue arrestado por el FBI en 2023, y el sitio fue asumido por otro usuario llamado Baphomet. BreachForums fue incautado por el FBI en mayo de 2024, aunque versiones clonadas del sitio han reaparecido.

Aunque el sitio sigue siendo muy activo, como vamos a mostrar, muchos usuarios en línea especulan que el sitio podría ser una “trampa” establecida por el FBI para vigilar a los ciberdelincuentes y exponerlos a enjuiciamientos.

Lo que encontramos en el dark web en el hub criminal BreachForums

Al ingresar a BreachForums, nos enfrentamos de inmediato a una ola de actividades ilegales ofrecidas. Mientras que algunos foros de cibercriminales adoptan un enfoque más sutil al hacerse pasar por comunidades de entusiastas de la informática y la ciberseguridad, BreachForums nunca ha hecho tales esfuerzos para ocultar su verdadera naturaleza, y la página de inicio en el momento de nuestra conexión mostraba a usuarios ofreciendo servicios brutales de la pandilla MS13 o La Mara Salvatrucha por 10 000 dólares.

Como todos los anuncios del dark web sobre la violencia, probablemente se trate más de una estafa que de una oferta auténtica, pero las actividades ilegales no se detienen ahí. El chat en vivo en el sitio también mostraba a usuarios discutiendo en tiempo real sobre la venta en el mercado del foro, que zumbaba con vendedores ofreciendo productos ilegales como datos robados, tutoriales sobre fraudes bancarios y estafas con tarjetas de crédito, el rastreo de IP y mucho más.

También había, por supuesto, un hilo de discusión dedicado al anime y manga, ya que incluso los cibercriminales tienen aficiones.

Todos los mensajes mostrados en este artículo se publicaron en las horas siguientes a nuestra primera conexión, mostrando una gran actividad en la comunidad en línea que sigue muy activa, aunque se puede suponer que está bajo estrecha vigilancia de las fuerzas del orden.

La imagen de arriba muestra a usuarios vendiendo acceso a todo, desde plataformas de streaming de video en línea como Paramount Plus y Netflix hasta cuentas de OnlyFans pirateadas.

Los mensajes en el subforo de filtraciones de datos mostraban a usuarios vendiendo filtraciones de datos, incluidos conjuntos de identificadores de correo electrónico para directivos de varias empresas, así como documentos de identidad de los Emiratos Árabes Unidos, India, Qatar y Arabia Saudita, así como una filtración de archivos e imágenes robadas de correos electrónicos militares saudíes.

Esta última filtración que contiene documentos militares parece auténtica según nuestro análisis preliminar, pero también se ha demostrado que data de 2016, lo que indica que este usuario intenta presentar información filtrada antigua como nueva, lo cual es uno de los muchos ejemplos de los tipos de fraudes que ocurren incluso entre los cibercriminales en línea.

Un usuario afirmaba tener acceso exclusivo a una filtración de datos de la aseguradora de salud australiana MedBank, y MedBank Australia fue efectivamente pirateada por cibercriminales rusos en 2022, cuando se robaron las informaciones personales de 9,7 millones de australianos.

A diferencia de los mensajes sobre los asesinos a sueldo, que se sabe que son estafas en el dark web, estas filtraciones de documentos e identidades son lamentablemente muy probables, ya que el objetivo principal de BreachForums es efectivamente vender datos robados de este tipo, y los negocios prosperan desde hace años.

Sin embargo, con las incautaciones y arrestos repetidos por parte de las fuerzas del orden, es posible que algunos de estos mensajes también sean trampas del FBI u otras agencias que buscan atrapar a criminales en flagrante delito.

Servicios encontrados en BreachForums

Además de los datos robados, los cibercriminales industriosos también ofrecen varios servicios en alquiler en el dark web, aceptando invariablemente las criptomonedas como pago.

En BreachForums, encontramos inmediatamente usuarios que afirmaban ofrecer servicios DDoS, acceso a ataques de denegación de servicio distribuido, donde los criminales utilizan un botnet para bloquear las operaciones de un sitio web, ya sea para extorsionar dinero a la víctima, atacar a empresas competidoras, o simplemente hostigar a un enemigo.

Un grupo de cibercriminales en línea tenía un anuncio para servicios HNVC o Hidden Virtual Computer, que pueden ser utilizados para obtener acceso remoto al ordenador de una víctima.

Era interesante notar que, al igual que un anuncio para servicios legales en línea, el mensaje tenía una lista detallada de las características y opciones de precios disponibles y ofrecía soporte al cliente en ruso e inglés.

Otros servicios incluían servicios que proporcionaban números de teléfono que permitían a los criminales recibir códigos de acceso para activar cuentas en línea sin identificarse o revelar su propio número de teléfono.

Hemos encontrado remitentes de correos electrónicos masivos utilizados para campañas de marketing ilegales de productos, estafas de phishing u otro malware, y también hemos visto anuncios de inundadores de correos electrónicos utilizados para abrumar las bandejas de entrada de un enemigo para hacer que el correo electrónico sea inutilizable o para ocultar actividades maliciosas como alertas de intentos de inicio de sesión.

Uno de los inundadores de correos electrónicos se tomó la molestia de crear lo que parece ser un banner publicitario y un logo generados por IA para su servicio, cuyo nombre hemos censurado para no hacer publicidad de sus servicios.

Hemos visto hilos enteros dedicados a servicios que venden acceso a servidores remotos en línea, servicios de desarrollo para crear sitios web, e incluso servicios gráficos que podrían ser utilizados para crear estafas sofisticadas como falsas páginas de destino para robar los datos de los usuarios víctimas.

Por supuesto, aunque algunos de estos servicios pueden ser legítimos, muchos son probablemente falsos, y dado que el sitio ha sido incautado y reabierto varias veces, las cuentas aquí tienen todas menos de dos años.

Los foros de cibercriminales a menudo funcionan sobre un sistema de depósito en garantía, o sobre la base de la confianza, donde un usuario tiene un historial documentado de ventas “honestas”, mientras que este nuevo sitio tiene pocas garantías contra el fraude.

Hemos visto varios servicios anunciando que aceptan pagos bajo custodia, lo que significa que un tercero verificado retiene los fondos hasta que ambas partes estén satisfechas con el pago, como en el caso de este desarrollador que ofrece páginas de phishing y páginas de destino listas para usar.

La voluntad de aceptar el escrow indica que este usuario podría efectivamente vender lo que dice vender, aunque probablemente haya muchas estafas que involucren pagos bajo custodia en este sitio también.

De hecho, el sitio tiene todo un hilo de estafa que muestra un registro de usuarios informando sobre fraudes en el sitio.

El usuario uuu732 informa que sus intentos de estafar a otros en línea se han vuelto en su contra al convertirse en víctima de una estafa en BreachForums. Pagaron al usuario PennyTrate-x 300 dólares por un software que les permitiría eludir los programas de detección de malware y enviar archivos PDF infectados por malware a sus víctimas desprevenidas.

El vendedor no entregó la mercancía, y cuando un moderador les pidió explicaciones, se negaron a responder, lo que llevó a la eliminación de su cuenta.

Otro usuario informó de una disputa con otro vendedor. En este caso, el usuario gastó 500 dólares intentando comprar una base de datos de usuarios robada a una compañía de seguros suiza, y 1,300 dólares adicionales intentando comprar una base de datos de un minorista suizo. Informaron que no recibieron sus datos ilegales en ninguna de las transacciones.

¿Qué hacen los criminales del dark web con los datos de usuarios robados?

Los cibercriminales compran credenciales de acceso y datos de usuarios para piratear cuentas de correo electrónico y redes sociales con el fin de acceder a las finanzas del usuario y robarlo, o para acceder a información sensible que pueden explotar aún más.

Por ejemplo, un criminal del dark web podría acceder a la cuenta de PayPal de un usuario y tratar de realizar compras no autorizadas o transferir directamente fondos a otra cuenta, o cometer un robo de identidad solicitando préstamos a nombre de otra persona utilizando sus datos de pasaporte.

Esta información también se utiliza comúnmente con fines de chantaje y extorsión, cuando los criminales encuentran información sensible al acceder a las cuentas de sus víctimas.

Cómo mantenerse seguro en línea

Como podemos ver, el dark web es una subsección peligrosa de internet por muchas razones. Incluso en este sitio que ha sido incautado y reabierto varias veces, encontramos un bazar abierto de actividades criminales, que van desde servicios y productos ilegales hasta fraudes cometidos contra otros usuarios. Es crucial tomar medidas para proteger su información personal y financiera en línea.

Utilice contraseñas únicas y complejas para cada cuenta, active la autenticación de dos factores siempre que sea posible y tenga cuidado con la información que comparte en línea. Revise regularmente sus extractos bancarios y de tarjetas de crédito para detectar cualquier actividad sospechosa. Al mantenerse alerta y adoptar buenas prácticas de ciberseguridad, puede reducir considerablemente el riesgo de que sus datos personales terminen en foros como BreachForums.