Cae LeakBase, el gran foro abierto del cibercrimen donde se vendían las bases de datos y contraseñas robadas

LeakBase, uno de los principales mercados mundiales de compraventa de datos personales y contraseñas robadas, ha sido clausurado en una operación internacional en la que han participado la Policía Nacional y la Guardia Civil. La intervención se ha ejecutado de forma simultánea en 14 países para tumbar una plataforma que acumulaba más de 142.000 usuarios registrados desde su creación en el año 2021 y era accesible desde la web abierta.

La Policía describe a LeakBase como “un centro clave en el ecosistema del cibercrimen, especializado en el comercio de bases de datos filtradas”, así como en “los llamados stealer logs”, que son archivos de contraseñas y otras credenciales robadas programas maliciosos instalados en dispositivos infectados.

La información comercializada procedía fundamentalmente de brechas de seguridad en grandes compañías y del volcado de datos de equipos domésticos infectados con este tipo de malware. Los paquetes de datos expuestos incluían nombres de usuario, contraseñas y otros identificadores personales que posteriormente eran adquiridos por otros ciberdelincuentes “para ejecutar fraudes, suplantaciones de identidad o nuevos ciberataques”.

LeakBase había tenido un crecimiento exponencial desde 2024, cuando cayó otro foro similar llamado BreachForums. A finales de 2025 acumulaba ya unos 32.000 hilos públicos activos y 215.000 mensajes privados a diciembre 2025, según la información de diversos analistas de ciberseguridad. Su archivo maestro acumulaba cientos de millones de contraseñas robadas, incluyendo compilaciones como RockYou2024 (que agrupaba más 10.000 millones de contraseñas), que LeakBase revendía en paquetes segmentados por país o tipo de cuenta.

La plataforma surgió en 2021 como alternativa “fiable” a foros rusos como Exploit.in, posicionándose en la web para atraer a criminales no tan especializados en los ciberataques. “Entre sus normas internas destacaba la prohibición expresa de vender o publicar datos relacionados con Rusia”, recalca la Policía, una regla diseñada a evitar los contraataques de los grupos procedentes del país y hacer de LeakBase un “puerto seguro” para ciberdelincuentes occidentales.

Un detenido en España

En el despliegue realizado en España los agentes identificaron a dos personas y detuvieron a una de ellas. Estos individuos habían, presuntamente, “implementado complejos sistemas de anonimización y desarrollado técnicas avanzadas para ocultar su huella digital y dificultar su localización”. También se han efectuado dos registros domiciliarios en las provincias de A Coruña y Vizcaya, durante los que se ha intervenido abundante material informático y documentación relacionada con la gestión del portal.

“Como parte de la investigación, las autoridades incautaron la base de datos del foro, lo que permitió la desanonimización de numerosos usuarios que creían operar de manera anónima. Los agentes continúan rastreando activamente las huellas digitales para identificar a más infractores y establecer sus identidades en el mundo real”, detallan las autoridades.

Además de España, los países participantes en la operación han sido Australia, Estados Unidos, Canadá, Bélgica, Alemania, Grecia, Kosovo, Malasia, Países Bajos, Polonia, Portugal, Rumanía y Reino Unido.

“Esta operación también sirve como recordatorio de que, cuando se produce una filtración de datos, la información robada no desaparece automáticamente, sino que puede reaparecer en plataformas ilegales, donde podría ser utilizada para estafas, suplantaciones de identidad o intentos de acceso no autorizado a cuentas”, recuerda la Policía: “Proteger los datos personales sigue siendo esencial. Emplear contraseñas fuertes y únicas, junto con la activación de la autenticación multifactor, ayuda a reducir significativamente los riesgos si la información se ve comprometida”.