El zapatero va descalzo: hackers filtran por error la base de datos de sus propios usuarios
Parece que los cibercriminales tendrán que cambiar no solo sus alias, sino también el lugar donde viven.
La base de datos de usuarios del foro de hackers BreachForums se filtró en la red — uno de los recursos más conocidos donde se publican datos robados, se vende acceso a redes corporativas y se realizan otras actividades ilegales. La filtración afectó a casi 324.000 cuentas.
La plataforma no es la primera iteración — antes funcionó el foro RaidForums, que fue cerrado tras el arresto de su dueño. Desde entonces BreachForums se ha restaurado varias veces bajo distintos dominios, a pesar de las acciones de las fuerzas del orden y de los comprometimientos regulares. Según algunos participantes de la comunidad, la nueva versión del sitio podría haber sido utilizada como trampa para potenciales infractores de la ley.
La nueva filtración ocurrió en paralelo a la publicación de un archivo comprimido llamado «breachedforum.7z», que apareció en un sitio vinculado al grupo de extorsión ShinyHunters. Dentro del archivo había tres ficheros, incluido un volcado de la tabla de usuarios del foro, una clave PGP privada y un texto con la historia de un participante bajo el apodo James. Representantes de ShinyHunters declararon que no tienen relación con el sitio que publicó ese archivo.
El archivo con la base de datos contiene casi 324.000 registros: seudónimos de usuarios, fechas de registro, direcciones IP y otra información técnica. Un análisis realizado por periodistas mostró que una parte considerable de las direcciones IP apuntan a valores locales y son inútiles para la desanonimización. Sin embargo, más de 70.000 registros contienen direcciones IP públicas reales, lo que puede ser de interés para investigaciones policiales.
La fecha de registro más reciente en la base fue el 11 de agosto de 2025; ese mismo día se cerró el dominio anterior del foro breachforums[.]hn. El cierre se produjo tras el arresto de los presuntos administradores del recurso. Posteriormente ese dominio se utilizó para extorsionar a empresas afectadas por ataques organizados por ShinyHunters. En octubre de 2025 el dominio pasó definitivamente bajo el control de las fuerzas del orden.
El administrador de la versión actual de BreachForums, que actúa bajo el nombre «N/A», confirmó la filtración y explicó que se debió a un error en agosto de 2025 durante el proceso de restauración del foro tras el cierre anterior. Según él, la tabla de usuarios y la clave estuvieron temporalmente alojadas en una carpeta no protegida y se descargaron solo una vez. También recordó a los participantes del foro la necesidad de usar direcciones de correo temporales para reducir los riesgos.
Tras la divulgación la situación evolucionó. La empresa Resecurity declaró que en el mismo sitio donde se publicó el archivo ahora apareció la frase de contraseña de la clave PGP privada del foro. Un especialista independiente en seguridad de la información confirmó que esa contraseña sí funciona. Aunque la clave en sí está protegida, su revelación aumenta el riesgo de falsificación de mensajes en nombre de la administración del foro.