Descubre quiénes son los brokers de acceso inicial a ciberataques y cómo facilitan los más sofisticados

En la actualidad, los ataques de ransomware continúan creciendo tanto en frecuencia como en complejidad, impactando a organizaciones de todos los tamaños y en todos los países. Los atacantes no sólo cifran los datos para exigir un rescate, sino que también amenazan con divulgar públicamente la información robada si no se cumplen sus demandas, una estrategia conocida como doble extorsión.

Esta práctica ha ocasionado pérdidas económicas significativas y ha comprometido datos sensibles en sectores clave como el de la salud, la educación, los servicios financieros y el gobierno. A ello se suma la proliferación del modelo Ransomware-as-a-Service (RaaS), que ha permitido que un mayor número de ciberdelincuentes accedan a herramientas para ejecutar este tipo de ataques, aumentando considerablemente el nivel de riesgo a nivel global.

En este sentido, el ecosistema del ransomware está compuesto por diversos actores que cumplen funciones especializadas para facilitar los ataques. Entre ellos se encuentran los desarrolladores del malware y los operadores o afiliados que ejecutan los ataques. También participan mulas que lavan el dinero del rescate, negociadores que establecen contacto con las víctimas y escrowers que actúan como intermediarios para garantizar las transacciones. A este grupo se suman proveedores de infraestructura, servicios de spam o phishing, traductores que localizan los mensajes de extorsión y testers que validan el funcionamiento del ransomware antes de su despliegue. Este modelo colaborativo ha hecho que el ransomware sea una amenaza altamente organizada y rentable.

Sin embargo, unos de los actores fundamentales en el ecosistema del ransomware son los brokers de acceso inicial, encargados de comercializar credenciales robadas o puntos de entrada a redes ya vulneradas.

Los brokers de acceso inicial se han convertido en actores fundamentales dentro de la economía delictiva digital, ya que estos intermediarios especializados facilitan la entrada de otros ciberdelincuentes a sistemas comprometidos, vendiendo accesos no autorizados a redes, servidores y dispositivos. Su papel es esencial en la cadena de ataques, desde robos de datos hasta despliegues de ransomware.

Los brokers de acceso inicial son atacantes que se especializan en infiltrarse en sistemas y redes corporativas o individuales. Una vez que logran el acceso, no suelen explotarlo directamente, sino que lo venden en mercados clandestinos de la dark web a otros criminales con intenciones específicas, como extorsión, espionaje o robo de información. Este modelo de negocio permite a los brokers de acceso inicial centrarse en perfeccionar sus técnicas de intrusión, mientras que los compradores se encargan de los ataques posteriores.

Los brokers de acceso inicial emplean diversas técnicas sofisticadas para comprometer redes y obtener acceso preliminar. Entre las más comunes se encuentran:

- Phishing y spear phishing. Envían correos electrónicos fraudulentos que engañan a los usuarios para que revelen credenciales o descarguen malware.

- Explotación de vulnerabilidades. Aprovechan fallos en software desactualizado, como servidores VPN o aplicaciones empresariales.

- Ataques de fuerza bruta. Intentan descifrar contraseñas débiles en servicios como RDP (Protocolo de Escritorio Remoto)

- Credenciales robadas. Compran o recolectan credenciales filtradas en brechas de datos previas para acceder a sistemas.

Estas técnicas suelen combinarse con tácticas de ingeniería social, lo que aumenta su efectividad.

El trabajo de los brokers de acceso inicial amplifica la escala y el impacto de los ciberataques. Al proporcionar accesos listos para usar, reducen la barrera técnica para los delincuentes menos experimentados, permitiendo que grupos de ransomware o ladrones de datos operen con mayor rapidez. Esto ha llevado a un aumento en la sofisticación y frecuencia de los ataques, afectando a empresas, gobiernos y usuarios individuales.

Por ejemplo, un acceso inicial vendido por un broker puede ser el punto de partida para un ataque de ransomware que paralice una organización, o para la extracción masiva de datos sensibles que luego se venden o utilizan para extorsión.

En México, aunque los casos específicos relacionados con brokers de acceso inicial no siempre se publican con detalle debido a la sensibilidad de la información, existen incidentes y tendencias documentadas que ilustran el impacto de estas vulneraciones, como por ejemplo:

1. Venta de acceso a infraestructura crítica en la dark web (2025): En abril y mayo de 2025, se reportaron publicaciones en foros de la dark web donde un actor malicioso, posiblemente vinculado al Cártel Jalisco Nueva Generación (CJNG), ofrecía acceso a sistemas críticos estatales de México por $30,000 USD. Los sistemas potencialmente comprometidos incluían infraestructuras de Petróleos Mexicanos (Pemex), el Servicio de Administración Tributaria (SAT), el Aeropuerto Internacional Felipe Ángeles (AIFA) o el Tren Maya. Estos accesos, según los anuncios, prometían un impacto “estratégico” y eran vendidos exclusivamente a compradores verificados.

Aunque no se detalla el método exacto, los brokers de acceso inicial suelen emplear técnicas como phishing, explotación de vulnerabilidades en VPN o RDP, o reutilización de credenciales obtenidas en filtraciones previas. En este caso, el acceso pudo haberse logrado mediante la explotación de sistemas mal configurados o credenciales robadas. La posible filtración de accesos a sistemas críticos representa un riesgo para la seguridad nacional, la economía y la continuidad de servicios esenciales. Si bien no se confirmó un ataque posterior, la sola oferta de estos accesos indica la presencia activa de brokers de acceso inicial en México.

2. Ciberataques a instituciones financieras (Grupo Lazarus, 2016-2025): El Grupo Lazarus, una amenaza persistente avanzada (APT) de Corea del Norte, activa desde 2016, ha atacado instituciones financieras en México y otros países de América Latina. Inicialmente, se enfocaron en la red SWIFT para transferencias internacionales, robando millones de dólares. Con el tiempo, evolucionaron hacia ataques a empresas fintech, exchanges de criptomonedas y cadenas de suministro (supply chain attacks), donde comprometen software de proveedores utilizados por bancos.

Los brokers de acceso inicial probablemente facilitaron el acceso inicial mediante troyanos bancarios, campañas de phishing dirigidas a empleados bancarios o explotación de vulnerabilidades en sistemas expuestos. Una vez dentro, vendían el acceso a grupos como Lazarus, quienes ejecutaban el ataque final. Estos incidentes han generado pérdidas millonarias y han expuesto la vulnerabilidad de las instituciones financieras mexicanas. Además, han dañado la confianza de los usuarios en los servicios digitales bancarios.

3. Filtración de datos personales y reutilización de credenciales. México ha enfrentado múltiples brechas de datos en los últimos años, como la filtración de información de la base de datos del Instituto Nacional Electoral (INE) en 2016 y otras filtraciones de datos gubernamentales y empresariales. Los brokers de acceso inicial recopilan estas credenciales robadas, a menudo disponibles en la dark web, y las utilizan para acceder a sistemas corporativos o gubernamentales mediante técnicas como el “credential stuffing” (reutilización de credenciales en múltiples plataformas).

Los brokers escanean plataformas expuestas (como servidores RDP o VPN) e intentan acceder con credenciales filtradas. Una vez dentro, venden el acceso a otros ciberatacantes para realizar fraudes, extorsión o robo de datos. Estas vulneraciones han expuesto a ciudadanos y empresas a fraudes financieros, robo de identidad y chantajes. Por ejemplo, los datos robados pueden usarse para acceder a cuentas bancarias o sistemas corporativos sensibles.

4. Ataques de ransomware facilitados por brokers de acceso inicial. México ha sido objetivo de múltiples ataques de ransomware que han afectado a sectores clave como el gubernamental, educativo y empresarial. Uno de los incidentes más destacados ocurrió en 2019, cuando Pemex fue atacado con el ransomware Ryuk, en un intento por interrumpir sus operaciones. Aunque no se confirmó oficialmente la participación de un broker de acceso, este tipo de ataques generalmente se origina a partir de accesos comprometidos y vendidos por estos actores, quienes aprovechan vulnerabilidades o técnicas de phishing para infiltrarse en las redes.

Los brokers probablemente utilizaron phishing dirigido o aprovecharon vulnerabilidades en sistemas desactualizados de Pemex (como servidores Windows no parcheados) para obtener acceso inicial, que luego fue vendido a operadores de ransomware. El ataque a Pemex interrumpió temporalmente operaciones administrativas y destacó la falta de preparación en ciberseguridad de empresas estatales clave. Otros sectores, como hospitales y universidades, también han sufrido incidentes similares.

Es importante señalar que la impunidad en el cibercrimen en México, debido a leyes poco severas, fomenta la actividad de los brokers y permite que operen con bajo riesgo de ser capturados, especialmente si actúan desde el extranjero.

Para mitigar los riesgos asociados con los brokers de acceso inicial, las organizaciones deben implementar medidas de seguridad robustas:

- Autenticación Multifactor (MFA). Añadir capas adicionales de verificación para dificultar el uso de credenciales robadas.

- Actualizaciones Constantes. Mantener el software y los sistemas operativos al día para cerrar las vulnerabilidades.

- Capacitación en Ciberseguridad. Educar a los empleados sobre phishing y otras tácticas de ingeniería social.

- Monitoreo de Red. Detectar y responder rápidamente a actividades sospechosas dentro de la infraestructura.

- Gestión de Credenciales. Usar contraseñas fuertes y únicas, y evitar su reutilización.

Los brokers de acceso inicial son una pieza clave en el ecosistema del cibercrimen, actuando como facilitadores que conectan a los cibercriminales con sus objetivos. Su capacidad para explotar vulnerabilidades y vender accesos a bajo costo representa un desafío significativo para la ciberseguridad global. Las organizaciones deben priorizar estrategias de defensa proactivas y mantenerse alerta ante las tácticas en constante evolución de estos atacantes.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599