IntermediodetencionesBreachForumsIntelBrokerdark webdata breachmediático

IntelBroker y BreachForums: El Mercado Negro de Datos Robados

Historia de BreachForums, el mayor mercado de datos robados de Internet, sus administradores (Pompompurin, ShinyHunters, IntelBroker), las detenciones del FBI y cómo el foro renace una y otra vez a pesar de los takedowns policiales.

MalwareIntel Research··9 min lectura
Serie: Malware y Personajes que Hicieron Historia — Parte 15

El bazar de los datos robados

En el ecosistema del cibercrimen existe una infraestructura que la mayoría del público no conoce pero que es fundamental para que los ataques sean rentables: los foros de venta de datos robados. Si el ransomware es el crimen, los foros de brechas son el mercado donde se monetiza la información.

Y en el centro de ese mercado, desde 2022, ha estado BreachForums: el mayor foro de compraventa de bases de datos robadas, credenciales comprometidas y herramientas de hacking del mundo. Un foro que ha sido decomisado por el FBI múltiples veces, cuyo creador fue arrestado, y que sin embargo sigue resurgiendo como un fénix digital.

Esta es la historia de BreachForums, de sus administradores, y de IntelBroker, el actor de amenazas que se convirtió en su figura más prolífica.

La genealogía: de RaidForums a BreachForums

RaidForums (2015-2022)

Antes de BreachForums existía RaidForums, fundado en 2015 por un adolescente portugués conocido como "Omnipotent" (Diogo Santos Coelho). RaidForums se convirtió en el principal foro anglófono para la compraventa de bases de datos robadas.

En su apogeo, RaidForums tenía más de 530.000 usuarios registrados y albergaba la venta de miles de millones de registros robados: credenciales, datos personales, información financiera, bases de datos de empresas de todo el mundo.

En abril de 2022, Operation TOURNIQUET (coordinada por Europol, FBI, NCA y las policías de Portugal, Rumania y Suecia) decomisó RaidForums y arrestó a Coelho, que tenía 21 años. El vacío de poder fue inmediato.

El nacimiento de BreachForums (marzo 2022)

Menos de dos semanas después del takedown de RaidForums, un usuario llamado "Pompompurin" lanzó BreachForums como sucesor directo. La migración fue rápida: la comunidad de RaidForums necesitaba un nuevo hogar, y BreachForums lo proporcionó con una interfaz familiar y las mismas funcionalidades.

Pompompurin ya era conocido en la comunidad. Antes de crear BreachForums, había realizado acciones notorias como explotar una vulnerabilidad en el sistema de email del FBI en noviembre de 2021 para enviar emails falsos desde una dirección legítima del FBI (ic.fbi.gov) a miles de destinatarios.

Pompompurin: el creador adolescente

Conor Brian Fitzpatrick

Detrás de Pompompurin estaba Conor Brian Fitzpatrick, un joven de Peekskill, Nueva York. Fitzpatrick administraba BreachForums desde su casa, gestionando el foro, moderando contenido, y participando activamente en la venta de datos robados.

Bajo su administración, BreachForums se convirtió en el marketplace de referencia para:

  • Bases de datos robadas: Desde pequeñas empresas hasta corporaciones Fortune 500
  • Credenciales comprometidas: Millones de pares usuario/contraseña
  • Datos de tarjetas de crédito: Dumps y CVVs
  • Herramientas de hacking: Exploits, RATs, stealers
  • Servicios: DDoS-as-a-Service, hosting bulletproof, lavado de criptomonedas

Detención (marzo 2023)

El 15 de marzo de 2023, el FBI arrestó a Fitzpatrick en su domicilio en Peekskill. Tenía 20 años. La detención fue casi cinematográfica: agentes del FBI llegaron a su casa y Fitzpatrick confirmó su identidad como Pompompurin.

Los cargos incluían conspiración para solicitar a individuos para vender dispositivos de acceso no autorizados (una forma legal de describir la venta de datos robados y credenciales comprometidas).

Fitzpatrick fue liberado bajo fianza con restricciones de acceso a Internet. En enero de 2024, se declaró culpable. Fue sentenciado a 17 años de libertad supervisada sin prisión efectiva, una sentencia que generó controversia por su lenidad.

ShinyHunters y la sucesión

El relevo

Tras la detención de Pompompurin, el foro fue brevemente administrado por "Baphomet", un moderador de confianza. Pero en junio de 2023, el FBI decomisó BreachForums por primera vez, incautando el dominio y la infraestructura.

BreachForums resurgió bajo la administración de ShinyHunters, un grupo de cibercrimen conocido por una larga lista de brechas de datos, incluyendo:

  • Tokopedia (2020): 91 millones de cuentas
  • Wattpad (2020): 270 millones de cuentas
  • Pixlr (2021): 1,9 millones de cuentas
  • AT&T (2024): 73 millones de registros de clientes
  • Ticketmaster/Live Nation (2024): 560 millones de registros

ShinyHunters operaba BreachForums como una empresa: estructura de moderadores, reglas claras, sistema de reputación para vendedores, y un modelo de ingresos basado en membresías premium y comisiones de ventas.

Segundo takedown (mayo 2024)

En mayo de 2024, el FBI y sus socios internacionales decomisaron BreachForums por segunda vez, incautando el dominio y la infraestructura. ShinyHunters (identificado como Sébastien Raoult, un francés de 22 años) ya había sido arrestado en Marruecos en 2022 y extraditado a EEUU, donde fue sentenciado a 3 años de prisión en enero de 2024.

IntelBroker: el actor más prolífico

Perfil

IntelBroker emergió como una de las figuras más prominentes de BreachForums entre 2022 y 2024. A diferencia de muchos actores que se limitan a vender datos de brechas pequeñas, IntelBroker se especializó en objetivos de alto perfil:

Brechas atribuidas a IntelBroker:

  • Europol (mayo 2024): Filtración del portal EPE (Europol Platform for Experts)
  • AMD (junio 2024): Datos internos y credenciales de empleados
  • Apple (junio 2024): Código fuente de herramientas internas
  • T-Mobile (2023): Herramientas internas y datos
  • HPE (Hewlett Packard Enterprise, 2024): Código fuente y datos internos
  • Home Depot (2024): Datos de empleados
  • Acuity (2024): Contratista del gobierno de EEUU con datos sensibles
  • General Electric (2023): Datos de DARPA y militares
  • DC Health Link (2023): Datos del programa de salud de miembros del Congreso de EEUU

Modus operandi

IntelBroker se diferenciaba por:

  1. Selección de objetivos de alto perfil: Gobierno, defensa, Big Tech
  2. Publicación gratuita o a bajo precio: Muchas filtraciones se publicaban gratuitamente para ganar reputación
  3. Verificabilidad: Las filtraciones solían incluir muestras verificables que demostraban la autenticidad
  4. Prolificidad: Docenas de filtraciones en periodos cortos

Administrador del foro

Tras los takedowns de 2023-2024, IntelBroker asumió un rol de administrador en las versiones resurrectas de BreachForums, participando activamente en mantener el foro operativo y en la migración de la comunidad.

Arresto (2024-2025)

En 2024, las fuerzas del orden identificaron y arrestaron a la persona detrás de IntelBroker. Según reportes, se trataba de un ciudadano serbio. Los detalles del arresto y el proceso judicial se han mantenido parcialmente bajo secreto.

El ecosistema de los foros de brechas

Cómo funciona el mercado

Los foros de brechas son el eslabón entre el robo de datos y su monetización:

  1. Un atacante compromete una empresa y roba su base de datos
  2. Publica una muestra en el foro para demostrar la autenticidad
  3. Fija un precio (puede variar de cientos a cientos de miles de dólares)
  4. Los compradores (otros criminales, servicios de fraude, competidores) adquieren los datos
  5. Los datos se explotan para fraude de identidad, phishing dirigido, acceso a cuentas, extorsión

La economía de los datos robados

Los precios dependen de:

  • Tipo de datos: Datos financieros (tarjetas de crédito, cuentas bancarias) valen más que emails
  • Frescura: Datos recientes valen más que datos antiguos
  • Exclusividad: Datos no publicados previamente ("freshly breached") tienen premium
  • Volumen: Bases de datos masivas se venden a precios por registro
  • Objetivo: Datos de gobierno o militar tienen compradores especializados

La resiliencia del modelo

Lo más notable de BreachForums es su resiliencia. A pesar de:

  • Tres takedowns policiales (2022, 2023, 2024)
  • El arresto de tres administradores sucesivos
  • Múltiples decomisaciones de dominios e infraestructura

El foro ha resurgido cada vez. La demanda de un marketplace centralizado para datos robados es tan fuerte que la comunidad criminal invierte el esfuerzo necesario para reconstruirlo.

Lecciones aprendidas

1. Los takedowns de foros son necesarios pero insuficientes

Cada takedown interrumpe temporalmente las operaciones, genera inteligencia sobre los usuarios, y envía un mensaje disuasorio. Pero la comunidad se reconstituye en semanas. La lucha contra los foros de cibercrimen es una guerra de desgaste, no una batalla decisiva.

2. La cadena de monetización es el punto de intervención

Los datos robados tienen valor solo si pueden venderse y explotarse. Intervenir en la cadena de monetización (foros, servicios de cashout, mixers de criptomonedas) es tan importante como prevenir las brechas.

3. La edad de los administradores es reveladora

Pompompurin (20 años), ShinyHunters/Raoult (22 años), el administrador de RaidForums (21 años): los administradores de estos foros son consistentemente jóvenes adultos. Esto tiene implicaciones para la prevención, la educación y la sentencia judicial.

4. La verificabilidad es clave para la credibilidad

Foros como BreachForums funcionan porque los vendedores pueden demostrar la autenticidad de sus datos. Los sistemas de reputación y las muestras verificables crean un mercado "funcional" de datos robados. Disrumpir estos mecanismos de confianza es una estrategia viable.

5. Los actores individuales pueden causar daño desproporcionado

IntelBroker, operando aparentemente como un individuo o grupo pequeño, filtró datos de algunas de las organizaciones más grandes del mundo. En la economía del cibercrimen, los actores solitarios con habilidades y motivación pueden tener un impacto comparable al de grupos organizados.

Estado actual (2026)

BreachForums

Ha seguido resurgiendo tras cada takedown. Las versiones actuales operan con mayor cautela operacional: dominios múltiples, infraestructura distribuida, y mecanismos de respaldo ante futuros takedowns. La comunidad ha aprendido de cada decomiso.

El mercado de datos robados

El ecosistema se ha fragmentado parcialmente. Además de BreachForums, existen mercados alternativos en Telegram, canales de Discord, y foros más pequeños especializados por tipo de dato o región geográfica. La descentralización dificulta los takedowns pero también fragmenta la liquidez del mercado.

La respuesta de las fuerzas del orden

Las agencias policiales han adoptado una estrategia de "disruption by design": no esperan eliminar permanentemente los foros sino interrumpirlos repetidamente, aumentar los costes operativos y reducir la confianza de los usuarios.

Recursos y referencias

  • DOJ Press Release (marzo 2023): "U.S. Citizen Arrested for Operating BreachForums"
  • DOJ Press Release (mayo 2024): "FBI Seizes BreachForums Website"
  • FBI Flash (2023): "BreachForums Marketplace Indicators"
  • Europol (abril 2022): "Operation TOURNIQUET: Major online marketplace for stolen data dismantled"
  • DOJ (enero 2024): Sentencia de Sébastien Raoult (ShinyHunters)
  • BleepingComputer: Cobertura continua de actividad de BreachForums e IntelBroker
  • Recorded Future: "The Rise and Fall (and Rise) of BreachForums" (análisis)

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.