El foro de carding B1ack’s Stash ha liberado esta madrugada 4,6 millones de registros completos de tarjetas de crédito. No lo ha hecho tras un hackeo a sus sistemas ni por una redada policial. Es un castigo ejemplar, la oscura versión del cibercrimen de quemar el género en la plaza del pueblo porque alguien se ha saltado las normas del mercado.
La historia, tal y como la reconstruye el análisis de SOCRadar, es casi mundana en su lógica interna. Varios vendedores que habían comprado lotes de datos robados en B1ack’s Stash fueron pillados revendiendo esa misma información en plataformas de la competencia. Una violación flagrante de los términos de servicio del foro. La respuesta de los operadores fue quirúrgica: congelaron ocho millones de registros CVV2 vinculados a esos vendedores y, en lugar de borrarlos sin más, soltaron una parte —los 4,6 millones que ahora circulan— de manera gratuita y pública. Un volcado disciplinario para escarmiento de revendedores y, de paso, un gancho promocional para atraer tráfico al foro, vieja estrategia que ya repitieron en abril de 2024 (un millón de tarjetas gratis) y en febrero de 2025 (más de cuatro millones). El foro convierte un castigo interno en propaganda y el resto de la red se convierte en víctima colateral.
Anatomía del dato: una ficha completa para el fraude
Cada registro filtrado es inusualmente rico. Incluye número completo de la tarjeta, fecha de caducidad, código CVV2, nombre del titular, dirección de facturación, correo electrónico, número de teléfono e incluso la dirección IP asociada a la transacción original. Una ficha que, como señala SOCRadar, apunta directamente a técnicas de recolección como el e-skimming o el phishing, métodos que capturan los datos en el mismo momento en que la víctima los introduce en una página comprometida. No estamos ante un volcado de bases de datos antiguas: la frescura de los registros —unos 4,3 millones tras filtrar duplicados y tarjetas caducadas— eleva el riesgo a niveles poco habituales.
La distribución geográfica confirma que no es producto de una sola operación regional. Estados Unidos concentra cerca del 70% de las tarjetas, pero Canadá, Reino Unido, Francia y Malasia completan los cinco primeros puestos, y centros financieros asiáticos como Hong Kong, Singapur y Tailandia aparecen en la lista de los quince países más afectados. La hipótesis más plausible: múltiples campañas de skimming o phishing dirigidas a mercados anglófonos y con alto poder adquisitivo, orquestadas por actores distintos que confluyen en el mismo bazar digital.
El daño potencial va mucho más allá del fraude con tarjeta no presente, esas compras online que se realizan antes de que el banco bloquee el plástico. La profundidad de los datos personales —nombre, correo, teléfono, IP— abre la puerta a la suplantación de identidad, a la apertura de nuevas líneas de crédito, a préstamos fraudulentos y, sobre todo, al phishing dirigido. Un atacante que conoce su nombre real, su banco y el detalle exacto de una compra reciente puede construir un señuelo muchísimo más verosímil que el genérico «estimado cliente». Lo explicaba SOCRadar con claridad: la riqueza de los registros crea riesgos compuestos que van mucho más allá del simple fraude con tarjeta.
Una ficha tan completa convierte a cada víctima en un blanco fácil para el phishing dirigido y la suplantación de identidad financiera.
Dossier Moncloa: Ojos en la Sombra
Lo escribí hace años en El quinto elemento: el próximo 11S no se anunciará con un avión, sino con un clic, y empezará por el sistema de alguien que no se ha actualizado. El volcado de B1ack’s Stash no es un ataque terrorista, pero ilustra a la perfección cómo se diluye la frontera entre el cibercrimen común y las herramientas que los servicios de inteligencia observan, recopilan y, llegado el caso, utilizan. El vector de amenaza aquí es una filtración masiva con origen en métodos de recolección activos —skimming y phishing—, no un pinchazo a una base de datos estática. Eso implica una capacidad operativa continuada y una infraestructura de monetización que, como tantas otras veces, se retroalimenta con los mismos actores que la vigilancia occidental tiene en el punto de mira.
Las agencias implicadas en este tablero son múltiples y difusas. El atacante directo es el foro B1ack’s Stash y la miríada de vendedores que nutren su inventario; no hay un Estado detrás con una bandera, pero sí una economía sumergida que cualquier agencia con capacidades HUMINT o SIGINT puede explotar. Los defensores son, en primer lugar, los usuarios cuyos datos han quedado expuestos y las entidades financieras que tendrán que asumir el coste del fraude. Los terceros interesados incluyen a los propios servicios de inteligencia: el CNI y el CCN-CERT monitorizan este tipo de amenazas para proteger infraestructuras críticas y anticipar campañas de desestabilización; la NSA y el GCHQ, a través de la red Five Eyes, tienen un largo historial de recolección de datos financieros con fines de inteligencia, como revelaron los documentos de Snowden sobre los programas Follow the Money. Para un analista, una base de datos con 4,3 millones de perfiles completos es oro puro: cruza patrones de gasto, geolocaliza, identifica relaciones personales. El material no tiene sello de «Clasificado» pero su valor táctico es innegable.
Estimo que el nivel de clasificación de este tipo de conjuntos de datos es Sin Clasificar pero Sensible. No se trata de secretos de Estado, pero su difusión pública compromete la privacidad de millones de ciudadanos y, a efectos prácticos, proporciona una capa de inteligencia económica que puede ser utilizada tanto por ciberdelincuentes como por actores estatales en operaciones de influencia o espionaje. No es la primera vez que un mercado delictivo libera material como medida disciplinaria o promocional; en febrero de 2025 el mismo foro ya soltó más de un millón de tarjetas, y en 2024 regaló otro millón a los nuevos registrados. La recurrencia del fenómeno apunta a una normalización de la exposición masiva de datos personales que debería preocuparnos a todos.
Para el lector español que se pregunte si esto le afecta, la respuesta es un sí matizado. El 70% de los registros son estadounidenses, pero la presencia de tarjetas de Reino Unido y Francia, países con los que compartimos flujos turísticos y transacciones comerciales constantes, eleva la probabilidad de que algún dato de un ciudadano español pueda estar en ese lote. Además, teniendo en cuenta que las campañas de phishing no entienden de fronteras, el riesgo de rebote es real. El CCN-CERT mantiene desde hace meses una alerta elevada sobre campañas de smishing y vishing que utilizan datos personales filtrados para saltarse los filtros de confianza. El patrón es conocido: un SMS que menciona su banco real, seguido de una llamada en la que el estafador conoce su nombre y su última compra. Con un volcado como este, esa verificación en dos pasos se convierte en un guion.
Mientras escribo esto, me consta que en la Casa de Castelló —como llamamos en el gremio a la sede del CNI— se sigue con atención la evolución de estas filtraciones. No por la operación en sí, sino por lo que representan: un océano de inteligencia de fuentes abiertas que cualquier servicio medianamente organizado puede explotar para perfilar objetivos, reclutar fuentes o anticipar movimientos. Ya en 2023, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) alertaba en uno de sus informes sobre el uso de datos comerciales filtrados en campañas de desinformación. El próximo informe anual del ODNI incluirá, según fuentes abiertas, un análisis detallado del riesgo que suponen los mercados de datos robados para la seguridad nacional. Ahí estaré para contarlo.
