LeakBase cerrado: el mercado de datos robados

Durante cuatro años, hubo un lugar en internet donde cualquier delincuente podía comprar las contraseñas de tu correo, los datos de acceso a tu banco o la información de tus clientes. Se llamaba LeakBase, tenía más de 147.000 usuarios registrados, y acaba de ser cerrado por una operación internacional coordinada por el FBI y Europol.

La noticia parece tranquilizadora. Pero conviene entender qué era exactamente ese foro, qué se vendía dentro y por qué su cierre no significa que los datos que allí circulaban hayan desaparecido.

Qué era LeakBase y cómo funcionaba

LeakBase era un foro en inglés activo desde 2021 que combinaba funciones de tienda y de comunidad para ciberdelincuentes. Los usuarios podían comprar y vender bases de datos filtradas, credenciales robadas y los llamados “stealer logs”: paquetes de información extraída por malware como RedLine o similares, que incluyen contraseñas, cookies de sesión y datos de formularios capturados de ordenadores infectados.

No era un rincón oscuro de acceso difícil. Funcionaba de forma relativamente abierta, con un sistema de reputación para vendedores, categorías organizadas por tipo de dato y soporte para compradores. Era, en la práctica, un mercado con sus propias reglas de negocio.

Qué hacer: Esto confirma que existe una economía organizada alrededor de los datos robados. La pregunta relevante para tu negocio no es “¿alguien me atacará?” sino “¿algún dato mío ya está en circulación?“.

Cómo lo cerraron

La operación fue bautizada como “Operation Leak” y coordinada por Europol con la participación de autoridades de 14 países. A principios de marzo de 2026, se realizaron acciones simultáneas en varios países: detenciones, registros domiciliarios y alrededor de 100 intervenciones dirigidas a los 37 usuarios más activos del foro.

El 4 de marzo, los agentes tomaron control del dominio del foro y publicaron un aviso de incautación en su lugar. Días después, las autoridades rusas detuvieron en Taganrog al supuesto administrador de la plataforma, a quien incautaron equipos y evidencias relacionadas con la operación. Según las autoridades, llevaba gestionando la plataforma desde su lanzamiento en 2021.

Europol contribuyó mapeando la infraestructura del foro y analizando la actividad de los usuarios para relacionar sospechosos con víctimas y evidencias en distintos países. Los investigadores accedieron a la base de datos del foro, lo que les permitió identificar a usuarios que creían operar de forma anónima. En algunos casos, los propios agentes contactaron con los sospechosos a través de los mismos canales que usaban para sus actividades delictivas, enviando un mensaje claro: el anonimato en internet tiene límites.

Qué hacer: Si alguna vez has recibido un correo o mensaje inusual relacionado con contraseñas o accesos a tus cuentas, no lo descartes. Podría ser una señal de que algún dato tuyo ha estado en circulación.

Por qué el cierre no resuelve el problema de raíz

Aquí está la parte incómoda: cerrar el foro no borra los datos que pasaron por él durante cuatro años.

Las bases de datos que se vendían en LeakBase no desaparecen porque el mercado cierre. Los compradores ya tienen copias. Los datos siguen en manos de personas que los usarán para intentar acceder a cuentas, suplantar identidades, enviar campañas de phishing personalizadas o cometer fraude.

Además, la experiencia con plataformas similares muestra que cuando un foro así se cierra, su comunidad migra a alternativas. Ya ocurrió con RaidForums, con BreachForums y con otros mercados desmantelados en los últimos años. El ecosistema se fragmenta pero no desaparece.

Qué hacer: No interpretes esta noticia como una señal de que la amenaza ha pasado. Es un buen recordatorio para revisar si tus contraseñas corporativas son únicas y si tienes activada la verificación en dos pasos en tus cuentas más críticas.

Qué tipo de datos se movían en foros como LeakBase

Para entender el riesgo concreto para un autónomo o pequeño negocio, conviene saber qué se compraba y vendía en plataformas de este tipo:

• Credenciales de correo corporativo: usuarios y contraseñas de cuentas de trabajo, obtenidas de filtraciones de servicios o de infecciones por malware en ordenadores de empresa.
• Accesos a paneles de administración: credenciales de WordPress, cPanel, herramientas de facturación, gestorías online y plataformas de comercio electrónico.
• Datos de clientes: nombres, correos, teléfonos y en algunos casos datos de pago procedentes de filtraciones de tiendas online o bases de datos de servicios.
• Cookies de sesión: archivos que permiten acceder a una cuenta sin necesidad de contraseña, capturados por malware en el momento en que el usuario tenía la sesión abierta.
• Información fiscal y contable: en algunos casos, datos extraídos de software de gestión o de comunicaciones con gestores y asesores.

Para quien compra, estos paquetes son una herramienta para acceder a cuentas, robar dinero, extorsionar o cometer fraude en nombre de otra persona o empresa.

Qué hacer: Si usas las mismas contraseñas en varios servicios, o si tus contraseñas son antiguas y nunca las has cambiado, estás asumiendo un riesgo innecesario. Cada cuenta con una contraseña única limita el daño en caso de que alguna credencial quede expuesta.

Cómo saber si mis datos están en la dark web

Esta es la pregunta más habitual entre autónomos y pequeños negocios: ¿cómo saber si mis datos están en la dark web? La respuesta corta es que, si alguna vez has usado un servicio que haya sufrido una filtración, es probable que al menos un email y una contraseña tuya estén circulando.

Puedes hacer una primera comprobación gratuita en Have I Been Pwned, una herramienta que cruza tu dirección de correo con filtraciones conocidas. Si aparece, cambia esa contraseña inmediatamente y activa la verificación en dos pasos.

Para empresas, la cuestión es más grave: si los datos de tu empresa están filtrados en internet, un atacante puede usarlos para acceder a tu correo corporativo, tu gestoría online o tu plataforma de facturación. No es algo teórico — es exactamente lo que se vendía en LeakBase.

Robo de contraseñas de empresa: qué hacer

Si sospechas que ha habido un robo de contraseñas de empresa, estos son los pasos inmediatos:

1. Cambia todas las contraseñas corporativas desde un dispositivo limpio (no desde el que sospechas que pudo estar infectado)
2. Activa la verificación en dos pasos (2FA) en todos los servicios críticos: correo, hosting, banca, gestoría
3. Revisa los accesos recientes en tu correo y paneles de administración — busca inicios de sesión desde ubicaciones desconocidas
4. Comunica el incidente a tu equipo para que nadie use credenciales comprometidas
5. Contacta con un profesional si crees que el acceso ya se ha producido — cada hora cuenta

La conexión con el malware infostealer

LeakBase no solo vendía filtraciones masivas de grandes empresas. Una parte importante de su inventario eran “stealer logs”: datos capturados directamente de ordenadores infectados por programas maliciosos como RedLine, Raccoon o Vidar.

Esto crea una cadena directa entre una infección de malware en el ordenador de un empleado o autónomo y la aparición de sus credenciales en un foro de este tipo. El proceso es rápido: el malware infecta el equipo, extrae los datos en cuestión de minutos, los envía al servidor del atacante, y en pocos días ese paquete puede estar disponible para su venta.

Que ahora hayan cerrado LeakBase no significa que esa cadena se haya roto. Los datos ya capturados circulan, y el malware que los genera sigue activo.

Qué hacer: La protección empieza por los dispositivos. Un ordenador de trabajo con un buen antivirus actualizado, sin software de origen dudoso y con las actualizaciones del sistema al día reduce significativamente el riesgo de infección.

Siguiente paso

Si no tienes claro si alguno de tus datos o los de tu empresa puede haber estado expuesto, o si quieres saber qué medidas de seguridad básicas debería tener tu negocio, podemos ayudarte. Pide una auditoría inicial y te damos una valoración honesta sin tecnicismos ni compromisos.