Cerraron uno, abrieron cinco: la caída de XSS dio lugar a toda una red de foros de hackers rivales.
Cinco foros, confianza nula y la eterna pregunta: ¿qué moderador trabaja para el FBI?
Durante dos décadas, el foro clandestino XSS se mantuvo como una de las principales plataformas para cibercriminales. Allí se buscaban cómplices, se vendían accesos, se discutían programas maliciosos, phishing, esquemas de fraude y otros servicios ilegales. Pero tras la acción de las fuerzas del orden, la plataforma ya no parece un centro único del submundo.
Según los datos de Flashpoint, el 23 de julio de 2025 el dominio XSS fue incautado en el marco de una operación internacional con la participación de las autoridades ucranianas, la policía francesa y Europol. Las autoridades francesas también informaron que en territorio de Ucrania arrestaron a un antiguo administrador del foro. Tras eso, la comunidad del cibercrimen se dividió rápidamente en varias plataformas competidoras.
XSS surgió del foro DaMaGeLaB y con el tiempo se transformó de una plataforma de nivel medio en uno de los nodos clave del entorno criminal. En el foro actuaban vendedores de loaders, kits de phishing, programas maliciosos, botnets para ataques distribuidos de denegación de servicio, documentos falsificados y accesos a redes ajenas. La plataforma también servía como lugar para contratar personal, buscar socios y resolver disputas entre participantes.
Cuando cerraron la infraestructura anterior, parte de los exmoderadores lanzó DamageLib. Consideraron que el antiguo XSS estaba comprometido y optaron por un modelo más cauteloso. En la nueva plataforma renunciaron al comercio, a las subastas y a cualquier trato para reducir los riesgos de vigilancia y rastreo de los participantes. En lugar de la actividad comercial, DamageLib se centró en materiales técnicos, guías y debates.
Otro espacio lo ocupó Rehub, que apareció poco después de DamageLib. Fue creado por un exmoderador de XSS que entendía que los participantes del submundo seguían necesitando una plataforma para realizar transacciones. Rehub añadió de inmediato una sección de comercio y atrajo a miembros destacados del entorno criminal al equipo de moderadores para ganar confianza más rápido. Aun así, el foro sigue llenándose y ganando audiencia activa.
A principios de agosto de 2025 surgió otro proyecto que se hizo pasar por la versión restaurada de XSS en un dominio en la zona .pro. Sus creadores utilizaron copias de seguridad antiguas con datos de usuarios, temas y depósitos del foro. Sin embargo, Exploit y DamageLib recibieron la nueva versión con desconfianza. Los participantes sospecharon que la plataforma podría ser una trampa de las fuerzas del orden.
Por separado, Flashpoint menciona XSSF Forum, creado por un grupo de hackers en Telegram. Esta plataforma declara objetivos contra la infraestructura digital de la Unión Europea y de Ucrania. Según las discusiones en DamageLib, el foro no está vinculado a XSS. Además, los ataques directos a la infraestructura ucraniana contradicen las normas anteriores de la comunidad original de XSS. La autenticidad de la plataforma y de las identidades de sus propietarios aún no ha sido confirmada.
El golpe contra XSS fue un éxito importante para las fuerzas del orden, pero no acabó con el submundo del cibercrimen. En lugar de un centro único surgió un entorno más fragmentado, donde los participantes migran entre plataformas, cambian las reglas y reconstruyen la confianza desde cero. Para quienes defienden sistemas, esa fragmentación no significa que la amenaza haya disminuido. Ahora hay que vigilar no un solo foro, sino toda una red de comunidades nuevas y en competencia.