Cierran BreachForums de nuevo: el FBI bloquea su dominio tras anunciar una filtración de Salesforce

El sitio BreachForums, anteriormente usado activamente para publicar datos robados, volvió a quedar inaccesible. Esta vez en su dominio apareció un banner oficial de bloqueo, acompañado por los logotipos del FBI de EE. UU., del Departamento de Justicia de EE. UU. y de la policía cibernética y la fiscalía francesas. Todo ocurrió varias horas después de que el grupo Scattered Spider anunciara la publicación de datos, presuntamente robados a Salesforce. Los delincuentes afirmaron que la toma del dominio confirmaba la pérdida de su infraestructura de servidores, aunque no se produjeron detenciones.

A pesar del bloqueo, los administradores del foro informaron en Telegram que la versión Tor del sitio sigue funcionando y que la publicación programada para el viernes se realizó con éxito. En este contexto, los hackers de Scattered Spider continúan chantajeando a clientes de Salesforce, que según ellos son 39 —entre las compañías afectadas se menciona a Google, que confirmó la filtración. Las demás organizaciones que figuran en la lista están verificando la veracidad de las reclamaciones. Según los delincuentes, el volumen de registros robados asciende a alrededor de mil millones.

Salesforce ya notificó a sus socios que no negociará ni pagará rescates. En una carta a los clientes, la empresa relacionó el incidente con la vulnerabilidad en Salesloft —un servicio externo que utilizan muchos de sus clientes—. En septiembre esta plataforma reconoció haber sido vulnerada y la compromisión de datos de usuarios relacionados con la atención al cliente. Representantes de Salesforce insisten en que el chantaje está vinculado bien a este incidente, bien a hechos del pasado que no han sido confirmados.

El FBI había advertido anteriormente sobre una campaña contra clientes de Salesforce que comenzó en octubre del año pasado. Entonces, los delincuentes accedían a la infraestructura de las empresas víctimas haciéndose pasar por personal de soporte técnico y operando a través de llamadas a centros de atención. La actividad actual agrupa a varias bandas anglófonas, incluidas Scattered Spider, ShinyHunters y Lapsus$, que actúan bajo la marca conjunta Scattered Lapsus$ Hunters.

La intervención actual supone el cuarto cierre de BreachForums por parte de las autoridades estadounidenses. La primera vez fue en 2023, cuando fue detenido el presunto administrador del sitio Conor Brian Fitzpatrick. Inicialmente cumplió solo 17 días en prisión, pero posteriormente la instancia apelativa modificó la decisión y la pena se aumentó a tres años. En ese momento la plataforma contaba con más de 340 000 usuarios y su funcionalidad permitía difundir datos confidenciales de millones de ciudadanos de EE. UU.

Tras eso se hicieron varios intentos de resucitar el foro, pero todos terminaron con la intervención del FBI. En junio de este año detuvieron en Francia a varias personas sospechosas de administrar una nueva versión de BreachForums, y uno de los participantes conocidos de la comunidad, identificado con el seudónimo IntelBroker, había sido detenido anteriormente.