El 25 de junio de 2025, las autoridades francesas anunciaron que cuatro miembros del grupo ciberdelincuente ShinyHunters (también conocido como ShinyCorp) habían sido detenidos en varias regiones francesas por actividades ciberdelictivas y por su participación en el foro clandestino en inglés conocido como BreachForums. La operación policial coordinada a nivel mundial contra los alias «ShinyHunters», «Hollow», «Noct» y «Depressed» se produjo tras la detención en febrero de Kai West (también conocido como «IntelBroker»), antiguo administrador de BreachForums.
El grupo de amenazas ShinyHunters lleva activo desde 2020 y ha comprometido organizaciones de sectores como las telecomunicaciones, el comercio electrónico, la tecnología y el comercio minorista. El grupo es conocido por vender datos robados exclusivamente en RaidForums y BreachForums. El personaje ShinyHunters era un participante clave en estos foros como colaborador y administrador.
Desde su creación original como RaidForums en 2015, BreachForums había sido cerrado en numerosas ocasiones y había sido administrado por múltiples personas. La tabla 1 muestra una cronología de los acontecimientos más destacados en la historia del foro.
|
Fecha |
Acontecimiento |
Detalle |
|
19 de marzo de 2015 |
Lanzamiento de RaidForums |
Diogo Santos Coelho (también conocido como «Omnipotent») fundó RaidForums. Se convirtió en uno de los foros de filtración de datos más grandes, con un pico de más de 530 000 usuarios. |
|
31 de enero de 2022 |
Arresto |
Coelho fue arrestado en el Reino Unido a petición de las autoridades estadounidenses. |
|
25 de febrero de 2022 |
Foro desconectado |
RaidForums dejó de estar accesible y apareció un clon sospechoso de recopilar credenciales. |
|
4 de marzo de 2022 |
Lanzamiento de BreachForums (v1) |
Conor Fitzpatrick (también conocido como «Pompompurin») lanzóBreachForums como sucesor de RaidForums. |
|
12 de abril de 2022 |
Incautación de dominios |
Las autoridades estadounidenses anunciaron la incautación de los dominios de RaidForums como parte de la Operación TOURNIQUET. |
|
15 de marzo de 2023 |
Arresto |
Fitzpatrick fue arrestado en Peekskill, Nueva York. |
|
21 de marzo de 2023 |
Un administrador conocido como «Baphomet» cerró el foro, alegando preocupaciones sobre las acciones de las fuerzas del orden. |
|
|
12 de junio de 2023 |
Lanzamiento de BreachForums (v2) |
El personaje ShinyHunters y Baphomet relanzaron BreachForums (breachforums . vc) |
|
18 de junio de 2023 |
Compromiso del foro |
BreachForums fue comprometido por «OnniForums» y se filtraron los datos de aproximadamente 4000 miembros. |
|
15 de mayo de 2024 |
Incautación de dominios |
Las autoridades estadounidenses incautaron varios dominios de BreachForums. |
|
29 de mayo de 2024 |
Lanzamiento de BreachForums (v3) |
BreachForums resurgió (breachforums . st). Los usuarios sospecharon que se trataba de un honeypot, pero finalmente se consideró legítimo. |
|
14 de junio de 2024 |
Cambio de liderazgo |
ShinyHunters se retiró y «Anastasia» asumió la propiedad. |
|
1 de agosto de 2024 |
Cambio de liderazgo |
IntelBroker asumió el control. |
|
1 de enero de 2025 |
Cambio de liderazgo |
IntelBroker dimitió como propietario y Anastasia continuó como administradora del foro |
|
Febrero de 2025 |
Arresto |
Las fuerzas del orden internacionales arrestaron a Kai West (IntelBroker) en Francia. |
|
28 de abril de 2025 |
Foro desconectado |
A pesar de las numerosas afirmaciones y rumores, no está claro si los administradores del foro, otro grupo de amenazas o las fuerzas del orden fueron los responsables de su desaparición. |
|
4 de junio de 2025 |
Lanzamiento de BreachForums (v4) |
ShinyHunters relanzó el foro (breach-forums . st). |
|
9 de junio de 2025 |
Foro en venta |
ShinyHunters anunció que el foro estaba en venta. |
|
22 de junio de 2025 |
Arresto |
Las autoridades francesas detuvieron a miembros del grupo de amenazas ShinyHunters durante una operación policial coordinada. |
|
25 de junio de 2025 |
Cargos federales |
Las autoridades estadounidenses hicieron pública una acusación formal contra Kai West (IntelBroker) por múltiples delitos cibernéticos |
Tabla 1: Cronología de los principales acontecimientos de BreachForums.
El personaje ShinyHunters se asoció con Baphomet para relanzar la segunda instancia de BreachForums (v2) en junio de 2023 y, posteriormente, lanzó la instancia de junio de 2025 (v4) por su cuenta. La versión provisional (v3) desapareció repentinamente en abril de 2025, y la causa no está clara. El «Dark Storm Team» afirmó que había derribado el foro mediante un ataque de denegación de servicio distribuido (DDoS) (véase la figura 1). Otros personajes informaron de que los operadores del ransomware Qilin habían provocado la interrupción del servicio en represalia por su expulsión de BreachForums. También circularon rumores de que las fuerzas del orden eran las responsables.
El 4 de junio, los investigadores de Counter Threat Unit™ (CTU) identificaron el relanzamiento de BreachForums (v4) bajo la administración del personaje ShinyHunters. Una de las primeras publicaciones fue supuestamente de IntelBroker, un destacado colaborador de BreachForums que tomó el control de BreachForums (v3) en 2024. Este personaje se había ganado la reputación de vender acceso a volcados de bases de datos y sistemas comprometidos, y estaba relacionado con los grupos de ciberdelincuencia CNZ (redactado) y GOLD PUMPKIN (también conocido como HELLCAT). En enero de 2025, dimitió como propietario de BreachForums (véase la figura 2) y comenzaron a circular rumores sobre su detención. Estos rumores se confirmaron el 25 de junio, cuando el Departamento de Justicia de los Estados Unidos (DOJ) anunció la acusación contra Kai West, que operaba bajo el alias IntelBroker. West fue detenido en febrero, por lo que la publicación de BreachForums de junio fue enviada por alguien que se hacía pasar por él.
El relanzamiento de BreachForums (v4) fue efímero. El 9 de junio, el tablón de anuncios mostró un aviso de que se cerraba y que el foro estaba a la venta por 2500 dólares estadounidenses (véase la figura 3). El mensaje advertía explícitamente a los estafadores que «se mantuvieran alejados». Los miembros de ShinyHunters fueron detenidos dos semanas después.
En el momento de esta publicación, BreachForums sigue fuera de línea. El futuro del foro es incierto, pero es posible que continúe el patrón de relanzamientos.
Estas detenciones reflejan la creciente presión de las fuerzas del orden sobre la infraestructura y las operaciones de los ciberdelincuentes. En el anuncio del Departamento de Justicia de los Estados Unidos sobre la detención y acusación de Kai West, el director adjunto del FBI Christopher G. Raia declaró que las detenciones «deberían servir de advertencia a cualquiera que piense que puede esconderse detrás de un teclado y cometer delitos cibernéticos con impunidad; el FBI te encontrará y te hará responsable, estés donde estés». Los investigadores de CTU™ siguen vigilando las acciones de las fuerzas del orden y su impacto en el panorama de la ciberdelincuencia.
