Vídeo | Detenido en A Coruña en golpe global contra mercado negro de datos robados LeakBase

Las fuerzas de seguridad españolas han ejecutado una detención en A Coruña y dos cacheos en las provincias gallega y vasca, donde se ha confiscado equipo informático abundante y papeles vinculados al manejo de la web ilegal. Estos sospechosos contaban con habilidades técnicas elevadas para esconder su rastro digital mediante capas complejas de anonimato.

Europol coordinó intervenciones en 14 naciones, como Estados Unidos, Reino Unido, Alemania y Portugal, entre el 3 y 4 de marzo, apuntando a 37 cabecillas activos del sitio con unas 100 medidas, incluyendo capturas y visitas sorpresa. En total, se han reportado más de 13 arrestos a nivel mundial y el secuestro del dominio y archivos del foro.

LeakBase, epicentro mundial de credenciales hurtadas

La plataforma, visible en la web convencional desde 2021 y con textos mayoritariamente en inglés, mezclaba debates y transacciones con un bazar oculto de información sensible. Prohibía explícitamente tratos con datos rusos para esquivar represalias y atraía a delincuentes occidentales menos expertos en la red oscura.

Su catálogo incluía stealer logs, registros de accesos robados por virus en ordenadores hogareños, y fugas de firmas grandes con nombres de usuario, claves y detalles bancarios. Estos paquetes servían luego para timos, falsificación de identidades y asaltos cibernéticos, con un archivo maestro que sumaba cientos de millones de contraseñas, como la compilación RockYou2024 de más de 10.000 millones.​

Crecimiento vertiginoso tras caída de rivales

LeakBase explotó desde 2024, tras el cierre de BreachForums, similar en su rol. Para finales de 2025 registraba 142.000 inscritos, unos 32.000 temas abiertos y más de 215.000 chats privados, según expertos en seguridad digital, consolidándose como eje del crimen online.​

La incautación de la base de datos ha expuesto a cientos de miembros anónimos, facilitando pesquisas futuras.

Autoridades insisten en que los datos filtrados no se evaporan, sino que circulan en estos sitios para nuevos delitos. Recomiendan claves robustas únicas y verificación en dos pasos para mitigar daños si hay robos de contraseñas.
 

Entre los días 3 y 4 de marzo se llevaron a cabo actuaciones coordinadas en múltiples jurisdicciones que permitieron desarticular la operativa del foro y actuar contra sus usuarios más activos. Entre los países participantes se encontraban autoridades de Australia, Estados Unidos, Canadá, Bélgica, Alemania, Grecia, Kosovo, Malasia, Países Bajos, Polonia, Portugal, Rumanía, España y Reino Unido.

En la fase operativa, las autoridades realizaron actuaciones coordinadas en múltiples jurisdicciones. Se llevaron a cabo cerca de 100 operaciones y medidas dirigidas contra 37 de los usuarios más activos de la plataforma.

En España se identificaron dos usuarios con avanzados conocimientos técnicos que, presuntamente implicados en la investigación, habían implementado complejos sistemas de anonimización y desarrollado técnicas avanzadas para ocultar su huella digital y dificultar su localización.

Una vez identificados se llevó a cabo el arresto de uno de ellos, permaneciendo el segundo pendiente de localización y detención, y el registro de sus domicilios en las provincias de A Coruña y Bizkaia, donde los agentes intervinieron numeroso material informático y documentación.

Como parte de la investigación, las autoridades incautaron la base de datos del foro, lo que permitió la desanonimización de numerosos usuarios que creían operar de manera anónima. Los agentes continúan rastreando activamente las huellas digitales para identificar a más infractores y establecer sus identidades en el mundo real.