El adiós al foro cibercriminal más popular: ¿cómo impacta en Uruguay?
Durante años, BreachForums fue un foro en internet donde se ofrecían datos robados: contraseñas filtradas, correos hackeados, documentos de empresas. Todo eso circulaba en esta plataforma, acces...
Durante años, BreachForums fue un foro en internet donde se ofrecían datos robados: contraseñas filtradas, correos hackeados, documentos de empresas. Todo eso circulaba en esta plataforma, accesible sin necesidad de entrar a la dark web.
Su popularidad, tal como se la ha conocido, parece haber llegado a su final, explicaron fuentes vinculadas a la ciberseguridad.
El periodista especializado en ciberseguridad Juan Brodersen explicó en la última semana el paso a paso que explica la caída de este portal en su newsletter BrodersenDarkNews.
El creador del foro usaba el nombre “Pompompurin”, aunque su verdadera identidad era Conor Brian Fitzpatrick. En 2023, fue arrestado por el FBI, acusado de delitos informáticos. Tras su detención, otro administrador llamado Baphomet asumió el control y prometió reforzar la seguridad del foro.
Sin embargo, durante su gestión, el foro volvió a ser dado de baja. Desde entonces, el control pasó a manos de dos nuevos operadores: ShinyHunters e IntelBroker, nombres usados en la comunidad para ocultar sus verdaderas identidades. Como el sitio seguía caído, los usuarios habituales se organizaron a través de un canal de Telegram llamado “El Jacuzzi”, que funcionó como espacio alternativo.
Tiempo después, el foro fue reactivado por estos nuevos administradores. Volvió a funcionar con normalidad durante dos meses. Pero en julio de 2024 se filtró una base de datos que encendió las alarmas. Aunque sus responsables aseguraron que no había problemas graves, la información parecía vieja, como si estuviera congelada desde la época en que arrestaron al fundador original.
BreachForums tuvo distintos tipos de alojamientos, siempre accesible en la "clearnet": la internet que se puede indexar, se puede buscar en Google. Los dominios .cx, .st, .is fueron algunos, reportó Brodersen.
En abril de 2025, BreachForums volvió a desaparecer sin explicación. Esto generó especulaciones sobre una posible intervención de agencias de seguridad como el FBI. Sin embargo, los datos técnicos del dominio indicaban que no había sido incautado.
El 28 de abril, apareció un mensaje en la web del foro. Estaba firmado digitalmente, lo que permitía confirmar su autenticidad. En él, se explicaba que el cierre se debía a un problema técnico grave: una vulnerabilidad “zero-day” en el software MyBB, que es el sistema gratuito que usaban para operar el foro. Una vulnerabilidad “zero-day” es una falla desconocida que puede ser aprovechada por atacantes antes de que haya una solución disponible. En este caso, ponía en riesgo toda la plataforma.
Pocos días después, apareció otro mensaje más definitivo. Esta vez sin ningún diseño visual, y firmado por Anastasia, la última persona a cargo del foro. En ese texto, Anastasia afirmaba que ShinyHunters e IntelBroker habían sido arrestados, y que ella misma decidía renunciar al proyecto. Agregó que no estaba interesada en seguir con BreachForums, ni en resolver sus problemas de seguridad.
Antes de cerrar todo, ofreció a la venta una copia de la base de datos del foro (actualizada al 10 de abril de 2025), junto con el código fuente, por 2.000 dólares. Esa base contiene información interna del sitio, probablemente incluyendo registros de actividad y mensajes de los usuarios.
Actualmente, el sitio sigue estando online bajo un nuevo dominio, pero funciona de manera intermitente. Según el especialista Mauro Eldritch, Anastasia le confirmó que la falla técnica fue identificada, pero que no tiene intención de seguir al frente del foro.
Aunque la comunidad que operaba allí ya migró a otras plataformas, esta secuencia de mensajes sugiere que BreachForums no volverá a ser lo que fue, concluyó Brodersen.
Qué impacto tiene en UruguayMauro Eldritch detalló que los grupos cibercriminales migraron a otros espacios. GODHAND, destacándose por su enfoque en la extorsión de datos en Uruguay, se desplazó a los foros Dread y Exploit.
ExPresidents, que ha sido responsable de una serie de ataques en Uruguay desde 2024, dirigidos a instituciones públicas, partidos políticos y empresas privadas, reapareció en un foro llamado Cracked.
En paralelo, los grupos de ransomware continúan en sus propios entornos.
El especialista en ciberseguridad de Nexa, Andrés Gómez, señaló que el cierre de BreachForums redujo la visibilidad pública de ataques.
“El impacto directo que tiene en Uruguay es que publicaciones de ataques que se hacían en BreachForums no están sucediendo”.
Según Gómez, esto provoca que “se reduce la cantidad de información pública que hay de ataques”, aunque los incidentes continúan ocurriendo.
“No quiere decir que hayan menos ataques. De hecho, estamos viendo una tendencia al alza en los últimos días”, afirmó.
El experto advirtió que la falta de acceso a la dark web limita el conocimiento sobre incidentes: “La gente no tiene acceso donde se publican estos ataques”.
Gómez indicó que el cierre de un foro no implica una disminución del riesgo: “Siguen existiendo otros más under y más peligrosos”.
