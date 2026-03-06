Policía Nacional

Especialistas de la Guardia Civil y de la Policía Nacional han participado en una operación internacional coordinada por Europol en la que se ha desactivado el mayor foro internacional de compraventa de datos robados en ciberataques. El operativo policial se desarrolló en 14 países, y en España se realizó una detención y se efectuaron dos registros, uno de ellos en la ciudad de A Coruña y el otro en Vizcaya. En ambos casos se intervino numerosa documentación y abundante material informático. El foro LeakBase era uno de los principales puntos de negocio de las mafias del ciberdelito en todo el mundo y que se nutría de información personal robada a particulares y a grandes empresas.

Los datos se obtenían en ataques cometidos contra las bases de datos de grandes compañías y contra ordenadores y dispositivos domésticos que eran infectados con diferentes tipos de archivos maliciosos (malware). Los datos robados eran empleados posteriormente para cometer fraudes, para suplantaciones y para nuevos ciberataques. Ese foro de información confidencial robada contaba con 142.000 usuarios ubicados en distintos países europeos.

Este foro era accesible desde internet y estaba activo desde el 2021. La mayoría del material que se ofrecía en esta red estaba escrito en inglés y, según los investigadores, operaba con las formas propias de un mercado de compraventa en internet, pero tenía una parte clandestina en la que se vendían los datos personales y confidenciales previamente robados. Este mercado agrupaba gran cantidad de información, incluyendo lo que se conoce como pares de credenciales, es decir correo electrónico y contraseña, que eran posteriormente utilizados para la comisión de nuevos hechos delictivos, como el robo de cuentas, fraudes o accesos ilícitos a sistemas informáticos.

La plataforma traficaba con bases de datos filtradas y credenciales sustraídas y se había consolidado como un centro clave en el cibercrimen, de forma que se había especializado en el comercio de información privada y los llamados stealer logs, que son archivos de credenciales robadas mediante un programa malicioso de robo. LeakBase mantenía un amplio almacén de datos que era permanentemente actualizado con bases de datos comprometidas, que abarcaban desde filtraciones antiguas hasta información recientemente vulnerada.

Operaba mediante un sistema interno que favorecía la generación de confianza entre los miembros y sostenía una activa comunidad clandestina. Entre sus normas internas destacaba la prohibición expresa de vender o publicar datos relacionados con Rusia, según fuentes policiales. En diciembre del 2025, LeakBase contaba con más de 142.000 usuarios registrados, cerca de 32.000 publicaciones y más de 215.000 mensajes privados, cifras que evidencian su dimensión y su proyección internacional.

La operación policial desarrolló su última fase esta misma semana, el martes y el miércoles, días en los que se llevaron a cabo actuaciones coordinadas en varios países, lo que permitió desarticular la operativa del foro y actuar contra sus usuarios más activos. Entre los países participantes se encontraban investigadores policiales de Australia, Estados Unidos, Canadá, Bélgica, Alemania, Grecia, Kosovo, Malasia, Países Bajos, Polonia, Portugal, Rumanía, España y el Reino Unido. A nivel mundial se llevaron a cabo cerca de 100 operaciones y medidas dirigidas contra 37 de los usuarios más activos de la red.

Una vez identificada la infraestructura del foro se analizó la actividad de sus usuarios cruzando la información con investigaciones en Europa y otros continentes. Los datos sensibles se compartieron de manera segura a través de la organización, lo que permitió a los investigadores vincular a sospechosos con las víctimas y encontrar pruebas digitales a nivel internacional. En la sede de Europol, en La Haya, se llevó a cabo un operativo de análisis de datos que reunió a especialistas para examinar rápidamente la información incautada y así poder identificar los objetivos de mayor relevancia. Además, se estableció un puesto de mando conjunto, que permitió a los países participantes compartir actualizaciones del operativo en tiempo real.

En España se identificaron dos usuarios que contaban con avanzados conocimientos técnicos que, presuntamente, estaban implicados en plataforma y que habían desarrollado unos complejos sistemas de anonimización y que trabajaban con técnicas avanzadas para ocultar su huella digital y de esa manera poder dificultar su localización e identificación. Como parte de la investigación, las autoridades se incautaron de la base de datos del foro, lo que permitió la desanonimización de numerosos usuarios que creían que estaban operando de manera anónima. Los agentes continúan rastreando activamente las huellas digitales para poder identificar a más infractores y establecer sus identidades en el mundo real.

Esta operación también sirve como recordatorio de que cuando se produce una filtración de datos la información robada no desaparece automáticamente, sino que puede reaparecer en plataformas ilegales, donde puede ser utilizada para cometer ciberestafas, para suplantaciones de identidad y para intentar acceder de forma no autorizada a cuentas bancarias. Por eso, las autoridades advierten de la necesidad de proteger los datos personales y de utilizar contraseñas fuertes y únicas, junto con la activación de la autenticación multifactor, lo que ayuda a reducir significativamente los riesgos en el caso de la que la información personal se vea comprometida.