Redazione RHC : 7 septiembre 2025 09:34
La detención del presunto administrador del foro en ruso XSS[.]is, apodado Toha, ha supuesto un punto de inflexión para todo el mercado negro. Según las autoridades, el 22 de julio de 2025, un hombre de 38 años fue detenido en Ucrania como parte de una investigación de años de duración llevada a cabo por la policía francesa, Europol y los servicios de inteligencia ucranianos. La investigación lo identificó como el organizador del comercio de herramientas maliciosas, bases de datos y accesos ilegales, así como el beneficiario de ataques de ransomware.
La estimación de las posibles ganancias fluctúa y es controvertida, pero la cantidad mencionada supera los siete millones de euros. El foro XSS opera desde 2013 y antiguamente se llamaba DaMaGeLaB. Se posicionó como una plataforma con mecanismos de reputación y una estricta prohibición de ataques a países de la CEI. Toha es considerado un veterano de la década del 2000, ex miembro de antiguas plataformas como Hack-All y Exploit[.]in, involucrado en el relanzamiento de DaMaGeLaB bajo la marca XSS en 2018, después del arresto del administrador anterior con el apodo Ar3s. Los investigadores asocian a Toha con el nombre de Antón Avdeev, pero aún no hay confirmación oficial de las fuerzas de seguridad, lo que se explica por la investigación en curso y los intentos de identificar a otros participantes.
La detención ha afectado no solo a la imagen XSS, sino también a la lógica habitual de Confianza. El dominio público en la Internet abierta pronto dejó de estar disponible, pero el Onion Mirror permaneció en pie. El foro inició una nerviosa limpieza de hilos antiguos, los moderadores guardaron silencio durante un largo rato y los usuarios comenzaron a discutir sobre quién controlaba la infraestructura. El 3 de agosto, el nuevo administrador anunció que todos los servicios se habían transferido a otros servidores, que se habían lanzado nuevas direcciones en la web clara y la red oscura, y que presumiblemente el backend y Jabber no habían sido interceptados.
Afirmó haber informado a los moderadores en un hilo cerrado el 27 de julio sobre la situación actual, pero que la solicitud fue ignorada. Según esta versión, algunos moderadores abandonaron el proyecto y abrieron su propio foro Onion llamado DamageLib, a la vez que enviaban invitaciones personales a usuarios de XSS y afirmaban que el antiguo sitio estaba completamente bajo control policial.
DamageLib fue el principal beneficiario de la primera ola de migración. Para el 27 de agosto, se habían registrado 33.487 cuentas, lo que representa casi dos tercios de la base de datos XSS, que incluye 50.853 usuarios. Sin embargo, no hubo un debate activo. Durante el primer mes, aparecieron 248 temas y 3.107 mensajes en DamageLib, mientras que en el último mes completo, antes de la incautación del dominio, se registraron más de 14.400 publicaciones públicas en XSS.
Otra reacción notable del mercado se vio reflejada en las estadísticas de tráfico. Según SimilarWeb, los exploits se dispararon casi un 24 % durante el punto álgido de la crisis XSS; el pico se alcanzó el 24 de julio, tras lo cual el tráfico comenzó a descender a niveles normales y el XSS se desplomó. Los usuarios claramente están evitando el nuevo dominio XSS[.]pro en la Internet abierta, y es importante recordar que nos referimos específicamente al tráfico web libre.
El cambio en el equipo XSS echó más leña al fuego. Los antiguos moderadores fueron baneados y reemplazados por los apodos Flame, W3W y Locative. La reputación de los dos primeros en el sitio era prácticamente nula, lo que provocó una fuerte reacción. Comenzaron las discusiones y los bloqueos por comentarios críticos, y los participantes con experiencia desaparecieron de las discusiones o empezaron a publicar con menos frecuencia.
Para calmar la situación, el administrador designó como moderador a un conocido miembro del movimiento clandestino, con el nombre de usuario Stallman, activo en Exploit, XSS, RAMP, Rutor y Runion. Una publicación independiente del 18 de agosto afirmaba que Stallman era el líder de facto de la comunidad de ransomware y que supervisaría las secciones de proveedores y filtraciones. Esto reavivó de inmediato un viejo conflicto que se remonta a la era Toha, cuando LockBit fue baneado de XSS tras amenazar personalmente a la administración. En el foro comenzaron a surgir demandas para restaurar el avatar de LockBit, y los comentaristas comenzaron a debatir si el nuevo equipo relajaría la prohibición anterior de hablar sobre extorsionadores. No hay confirmación de tal cambio de rumbo, pero el mero nombramiento de Stallman alimentó las sospechas.
La crisis de confianza se vio agravada por el historial del depósito. En XSS, servían como un ancla financiera para la reputación, y tras el arresto, la cuestión de «quién y cómo devolverá el dinero» se volvió crucial. Los usuarios estiman el pasivo total en 50-55 bitcoins, que a finales de agosto ascendía a aproximadamente 6,17 millones de dólares. El nuevo administrador admitió que no había fondos para un reembolso completo y sometió a votación varias opciones para pagos parciales.
La idea principal del debate fue pagar un porcentaje igual del monto a todos los que enviaron una solicitud de retiro con éxito, con aproximadamente el 40.8% de los votos a favor. Un resumen aparte incluyó solicitudes completadas por 7.015942 BTC y 480.527 LTC, calculadas en aproximadamente $788,000 y $54,700. El 28 de agosto, el administrador informó haber transferido montos proporcionales a los solicitantes, y algunos destinatarios lo confirmaron públicamente. Al mismo tiempo, los participantes se quejaron de que las secciones de intercambio estaban inundadas de ofertas de nuevos participantes no verificados, y de que los anuncios dirigidos a países de la CEI se estaban devolviendo sin la debida moderación, a pesar de que esto estaba previamente prohibido por las reglas.
Mientras tanto, DamageLib desarrollaba su propio modelo de confianza. Durante las primeras semanas, los moderadores cryptocat, fenix, sizeof, zen, stringray, rehub, entre otros, pidieron a los recién llegados que no usaran apodos antiguos para reducir los riesgos de atribución. Posteriormente, el equipo anunció las «cuentas fantasma». Afirman que se trata de una reserva de nombres conocidos con verificación posterior, para que los antiguos propietarios puedan restaurar sus apodos y la reputación acumulada.
El mecanismo generó inquietud, pero hubo informes de que algunos participantes ya habían restaurado sus identidades. En una discusión sobre la legitimidad de los moderadores, citaron correspondencia con el equipo de Exploit. Un usuario con el apodo Fax hizo referencia a un mensaje de un moderador de Exploit llamado Quake3, quien confirmó que el antiguo equipo de XSS estaba detrás del lanzamiento de DamageLib. Mientras tanto, se han detectado apodos más antiguos como antikrya y Ar3s en ambas plataformas, aunque la verificación en DamageLib no siempre es posible. El propio Stallman se registró en DamageLib como Stallman2 el 27 de agosto y afirma que continúa moderando XSS[.]pro solo para recuperar su depósito, calificando a XSS de proyecto policial.
El perfil técnico de XSS también fue cambiando con el tiempo. El administrador declaró que estaba trabajando con el equipo de darkcode.technology, que, bajo el nombre de usuario del foro DCT, se presentaba como desarrollador y proveedor de la solución anti-DDoS Ghost FastFlux para nuevas direcciones en la clearweb y la darknet. Según ellos, la tecnología se encuentra en fase de prueba y, en teoría, podría convertirse en un producto, pero no está a la venta. A nivel de usuario, esto ha tenido poco efecto en la sensación de orden. El mercado continuó operando, pero cada vez aparecían más anuncios de baja calidad y fraudulentos, y un intento de introducir una suscripción de pago para filtrar el spam fracasó rápidamente. En los hilos de discusión se debatió la eliminación total de la sección comercial. En DamageLib, se debatió en paralelo sobre si se debían permitir conversaciones sobre extorsionadores. Prevalecieron los grupos «pro» cautelosos, lo que refleja un intento de interceptar una agenda donde XSS no puede o no se atreve a dar una respuesta clara.
Lo que queda es una capa de personalidad y símbolos, que en el underground son cada vez más importantes que las interfaces. Los usuarios manifiestan su preocupación por la desaparición de antiguas autoridades y señalan la escasa aparición de apodos como c0d3x, lisa99, stepany4, proexp, y también escriben que es imposible verificar la última vez que otros participantes conocidos iniciaron sesión en sus cuentas. La desconfianza se ve reforzada por los baneos selectivos de publicaciones críticas y por la propia incertidumbre sobre quién toma las decisiones y por qué. En este contexto, parte del público recuerda métodos de respaldo como Exploit, RAMP y Verified, aunque aquí también se habla de cebo y control externo.
En términos generales, XSS[.]pro parece ser una plataforma con mala calidad comercial, mecanismos financieros problemáticos y motivaciones poco claras por parte de la nueva administración.
DamageLib ha reunido rápidamente varios registros, pero aún no ha logrado transformarlos en un flujo constante de debates significativos. La intersección de las bases de usuarios es enorme, y el enfoque de la comunidad no se centra en las transacciones, sino en cuestiones fundamentales de confianza. La transparencia en la gestión, las normas claras sobre temas delicados como los extorsionadores, las regulaciones de verificación predecibles y una resolución honesta del problema de los depósitos determinarán quién se convierte en el punto focal.
Por ahora, es apropiado hablar de una pausa y la búsqueda de un nuevo equilibrio, no de un ganador.
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...