Ajuste de cuentas en la darknet: XSS se hunde en estafas y los mercados migran

El arresto del presunto administrador del foro en ruso XSS[.]is con el apodo Toha se convirtió en punto de bifurcación para todo el mercado subterráneo. Según las fuerzas del orden, el 22 de julio de 2025 en Ucrania fue detenido un hombre de 38 años en el marco de una investigación que durante varios años llevaron la policía francesa, Europol y los servicios ucranianos. Para la investigación es relevante como organizador del comercio de herramientas maliciosas, bases de datos y accesos ilegales, así como beneficiario de esquemas con software de rescate. La estimación de las ganancias posibles suena alta y provoca debates, pero figura la suma de más de siete millones de euros. El propio foro XSS funciona desde 2013 y en su momento se llamaba DaMaGeLaB. Lo presentaban como una plataforma con mecanismos de reputación y una estricta prohibición de ataques contra países de la CEI. A Toha en el entorno lo consideran un veterano de los años dos mil, procedente de antiguas plataformas como Hack-All y Exploit[.]in, implicado en el relanzamiento de DaMaGeLaB bajo la marca XSS en 2018 tras el arresto del anterior administrador con el apodo Ar3s. Los investigadores vinculan a Toha con el nombre Anton Avdeev, pero no hay confirmaciones oficiales por parte de las fuerzas, algo que se explica por las acciones de investigación en curso y los intentos de identificar a otros participantes.

El arresto afectó no solo la imagen de XSS, sino también la lógica habitual de confianza. El dominio público en la internet abierta dejó de estar disponible rápidamente, sin embargo el espejo onion permaneció activo. En el foro se inició una «limpieza» nerviosa de hilos antiguos, los moderadores guardaron silencio largo tiempo y los usuarios empezaron a discutir quién controla la infraestructura. El 3 de agosto un nuevo administrador anunció que todos los servicios se habían trasladado a otros servidores, que se habían activado nuevas direcciones en clearweb y en la darknet, y que el backend y Jabber supuestamente no habían sido interceptados. Afirmó que ya el 27 de julio había informado a los moderadores en un tema cerrado sobre el estado actual, pero que estos ignoraron el aviso. Según esa versión, parte de los moderadores abandonó el proyecto y lanzó su propio foro onion llamado DamageLib, enviando invitaciones personales a usuarios de XSS y afirmando que el sitio antiguo estaba completamente bajo control policial.

Precisamente DamageLib se convirtió en el principal beneficiario de la primera ola de migración. Para el 27 de agosto allí se registraron 33 487 cuentas, es decir casi dos tercios de la base de XSS, donde figuran 50 853 usuarios. Al mismo tiempo no se produjo un debate animado. En el primer mes en DamageLib aparecieron 248 temas y 3 107 mensajes, mientras que en XSS en el último mes completo antes de la incautación del dominio se registraban más de 14,4 mil publicaciones públicas. Otra reacción notable del mercado se manifestó en las estadísticas de tráfico. Según SimilarWeb, Exploit tuvo un repunte de casi el 24 por ciento en el periodo de mayor turbulencia alrededor de XSS, con un pico el 24 de julio; luego la afluencia bajó a valores habituales, y la de XSS se redujo. Los usuarios evitan de forma demostrativa el nuevo dominio XSS[.]pro en la internet abierta, y es importante recordar que se trata precisamente del tráfico en clearweb.

El cambio de equipo de XSS añadió leña al fuego. Moderadores antiguos fueron baneados y en su lugar se pusieron los nicks Flame, W3W y locative. La reputación de los dos primeros en la plataforma era casi nula, lo que provocó una reacción intensa. Comenzaron disputas y bloqueos por comentarios críticos; participantes experimentados desaparecieron de las discusiones o empezaron a escribir menos. Para bajar la tensión, el administrador incorporó a la moderación a una figura conocida del submundo con el apodo Stallman, activo en Exploit, XSS, RAMP, Rutor y Runion. En una publicación del 18 de agosto se afirmaba que Stallman de facto dirige la comunidad en temas de ransomware y que supervisaría las secciones de vendedores y filtraciones. Esto inmediatamente reavivó el viejo conflicto de la época de Toha, cuando en XSS banearon a LockBit tras amenazas personales hacia la administración. En el foro empezaron a aparecer llamados a devolver el avatar de LockBit, y los comentaristas discutían si el nuevo equipo podría flexibilizar la prohibición previa de hablar sobre extorsionadores. No hay confirmaciones de un cambio de rumbo así, pero el hecho del nombramiento de Stallman avivó sospechas.

La crisis de confianza se agravó con la cuestión de los depósitos. En XSS desempeñaban el papel de ancla financiera de la reputación, y tras el arresto la pregunta «quién y cómo devolverá el dinero» se volvió central. Los usuarios calculan obligaciones totales de 50–55 bitcoins, lo que a finales de agosto equivale aproximadamente a 6,17 millones de dólares. El nuevo administrador reconoció que no hay fondos para el reembolso total y sometió a votación varias opciones de pagos parciales. En la discusión ganó terreno la idea de liquidar con un porcentaje igual sobre la suma a cada uno que hubiera solicitado retirada; obtuvo alrededor del 40,8 por ciento de los votos. En un resumen aparte figuraban solicitudes tramitadas por 7,015942 BTC y 480,527 LTC, recalculadas aproximadamente en 788 000 y 54 700 dólares. El 28 de agosto el administrador comunicó que había transferido sumas proporcionales a los solicitantes, y algunos destinatarios lo confirmaron públicamente. Paralelamente, los participantes se quejaban de que las secciones comerciales se llenaron de ofertas de recién llegados sin verificación, y que los anuncios dirigidos a países de la CEI volvieron sin la moderación adecuada, aunque antes esto estaba prohibido por las normas.

En DamageLib, por su parte, se fue formando un modelo propio de confianza. En las primeras semanas los moderadores cryptocat, fenix, sizeof, zen, stringray, rehub y otros pidieron a los recién llegados que no usaran nicks antiguos para reducir riesgos de atribución. Más tarde el equipo habló de «cuentas fantasma». Según su idea, se trata de una reserva de nombres conocidos con verificación posterior, para que los propietarios anteriores puedan recuperar los nicks y la reputación acumulada. El mecanismo suscitó preguntas, pero hubo informes de que algunos participantes ya habían restablecido identidades. En la discusión sobre la legitimidad de los moderadores se citaba correspondencia con el equipo de Exploit. Un usuario con el nick Fax se remitía a un mensaje del moderador de Exploit llamado Quake3, donde se confirma que el antiguo equipo de XSS está detrás del lanzamiento de DamageLib. Al mismo tiempo en ambas plataformas se notaban nicks antiguos como antikrya y Ar3s, aunque la verificación de estos en DamageLib no siempre es posible. El propio Stallman se registró en DamageLib como Stallman2 el 27 de agosto y afirma que sigue moderando XSS[.]pro solo para recuperar el depósito, mientras que califica a XSS como un proyecto bajo control policial.

El contorno técnico de XSS también cambió sobre la marcha. El administrador alegó colaboración con el equipo de darkcode.technology, que bajo el nick forero DCT se presentaba como desarrollador y proveedor de la solución anti-DDoS Ghost FastFlux para nuevas direcciones en clearweb y en la darknet. Según ellos, la tecnología está en pruebas y teóricamente puede convertirse en un producto, pero no la ofrecen a la venta. A nivel de usuario esto poco influyó en la sensación de orden. El mercado siguió funcionando, pero cada vez más anuncios parecían de mala calidad o estafa, y el intento de introducir una suscripción de pago para filtrar el spam se desvaneció rápidamente. En los hilos surgieron ideas de eliminar por completo la sección comercial. En DamageLib, en paralelo, se debatía si permitir conversaciones sobre extorsionadores. Predominaron posturas cautelosas a favor, lo que refleja el intento de ocupar la agenda donde XSS no puede o no se atreve a dar una respuesta clara.

Permanece la capa de personalidades y símbolos, que en el submundo siempre pesa más que las interfaces. Los usuarios expresan abiertamente la pérdida de viejos referentes y señalan apariciones esporádicas de nicks como c0d3x, lisa99, stepany4, proexp, y además escriben que es imposible verificar cuándo otros participantes conocidos accedieron por última vez a sus cuentas. La desconfianza se intensifica con baneos puntuales por posts críticos y con la propia incertidumbre sobre quién y por qué toma decisiones. En este contexto parte de la audiencia mantiene rutas alternativas como Exploit, RAMP y Verified, aunque allí tampoco faltan rumores sobre «cebos» y control externo.

Si se contempla el panorama en su conjunto, XSS[.]pro parece una plataforma con calidad de comercio en degradación, una mecánica financiera dolorosa y una motivación de la nueva administración no del todo clara. DamageLib reunió con rapidez un gran volumen de registros, pero aún no lo ha convertido en un flujo estable de discusiones sustantivas. La intersección de las bases de usuarios es enorme, y la atención de la comunidad está centrada no en las transacciones sino en cuestiones básicas de confianza. Precisamente la transparencia en la gestión, reglas claras sobre temas sensibles como los extorsionadores, un reglamento predecible de verificación y un cierre honesto del asunto de los depósitos definirán quién será el punto de atracción. Por ahora resulta más apropiado hablar de una fractura y de la búsqueda de un nuevo equilibrio, y no de un vencedor.