El Mercado Invisible del Cibercrimen:Vender Accesos es Negocio

Puede que cuando pienses en un ciberataque imagines a un hacker entrando directamente en una empresa, rompiendo defensas y desplegando malware. Pero la realidad actual es mucho más fragmentada y profesionalizada. Hoy, en muchos casos, el ataque no empieza con ransomware ni con espionaje, sino con alguien que ya hizo el trabajo previo: conseguir el acceso y venderlo.

Eso es exactamente lo que ha salido a la luz con el caso de Feras Khalil Ahmad Albashiti, un ciudadano jordano que se ha declarado culpable en Estados Unidos por actuar como “broker de acceso inicial”, vendiendo accesos a las redes de al menos 50 empresas. Un caso que sirve para entender mejor cómo funciona el ecosistema real del cibercrimen y por qué este tipo de actores son tan peligrosos para organizaciones de cualquier tamaño.

Desde TecnetOne, te explicamos qué ha pasado, cómo operan estos intermediarios y qué lecciones deberías sacar si quieres proteger tu empresa.

Quién es Albashiti y qué hacía exactamente

Feras Khalil Ahmad Albashiti, de 40 años, también conocido en foros clandestinos como r1z, Feras Bashiti o Firas Bashiti, fue extraditado a Estados Unidos desde Georgia en julio de 2024. Allí se había establecido y fue arrestado tras una investigación internacional.

En enero de 2026 se declaró culpable de fraude relacionado con credenciales de acceso, y su sentencia está prevista para mayo. Se enfrenta a:

1. Hasta 10 años de prisión
   
   
2. Multas que pueden llegar a 250.000 dólares, o incluso más si se calcula en función del beneficio obtenido o del daño causado

Su error fue uno muy común: vender acceso directamente a un agente encubierto de las fuerzas del orden a cambio de criptomonedas, en mayo de 2023. Ese movimiento permitió identificarlo, vincularlo a su alias en foros de malware y cerrar el círculo.

El rol clave del “broker de acceso inicial”

Para entender por qué este caso es tan relevante, necesitas conocer el concepto de initial access broker (IAB). No son necesariamente quienes despliegan ransomware ni quienes roban datos. Su especialidad es otra: Conseguir acceso válido a redes corporativas y venderlo al mejor postor.

Estos accesos pueden incluir:

1. Credenciales de VPN
   
   
2. Accesos RDP
   
   
3. Cuentas administrativas
   
   
4. Sistemas mal configurados
   
   
5. Puertas traseras ya implantadas

Una vez dentro, el broker no siempre hace nada más. Simplemente documenta el acceso, valora la “calidad” de la víctima (tamaño, sector, ubicación) y lo ofrece en foros clandestinos.

Conoce más: Interpol Asesta Un Duro Golpe al Cibercrimen Global

Un modelo de negocio muy rentable

Desde el punto de vista del cibercrimen, este modelo tiene muchas ventajas:

1. Reduce el riesgo para quien vende el acceso
   
   
2. Acelera los ataques posteriores
   
   
3. Permite especialización: unos entran, otros atacan

Un grupo de ransomware, por ejemplo, no necesita perder semanas buscando una brecha. Compra un acceso ya validado y pasa directamente a la fase destructiva.

En el caso de Albashiti, se ha confirmado la venta de accesos a al menos 50 empresas, pero es razonable pensar que el número real podría ser mayor.

El cibercrimen como cadena de suministro

Este caso deja clara una realidad incómoda: el cibercrimen funciona como una cadena de suministro. Cada actor cumple un rol:

1. Unos roban credenciales
   
   
2. Otros las validan
   
   
3. Otros venden accesos
   
   
4. Otros despliegan malware o ransomware

Eso significa que, aunque bloquees un tipo de amenaza, otra puede entrar por una vía distinta. Y aquí es donde muchas organizaciones fallan: siguen pensando en ataques “directos”, cuando en realidad el peligro puede venir de un acceso legítimo vendido en un foro.

No es un caso aislado

El de Albashiti no es un incidente puntual. En los últimos meses:

1. Un ciudadano ruso se declaró culpable de vender accesos para afiliados del ransomware
   Yanluowang, que atacaron al menos ocho empresas estadounidenses.
   
   
2. Microsoft ha alertado sobre un broker de acceso identificado como Storm-0249, que abusa de herramientas legítimas de Windows y soluciones de seguridad para preparar ataques de ransomware.

El patrón se repite: acceso primero, ataque después.

Por qué esto debería preocuparte (mucho)

Si eres responsable de TI, seguridad o dirección, este tipo de casos te afectan directamente. Porque:

1. El acceso vendido suele ser válido y funcional
   
   
2. Muchas defensas perimetrales no detectan nada extraño
   
   
3. El atacante entra “por la puerta”, no rompiéndola

Además, una vez que ese acceso se vende, puede circular. No siempre hay un solo comprador. El mismo acceso puede acabar en manos de varios actores maliciosos, aumentando exponencialmente el riesgo.

El error común: pensar que “eso no nos va a pasar”

Muchas empresas creen que solo los grandes objetivos interesan a estos brokers. Nada más lejos de la realidad. Para un IAB, lo importante es:

1. Que el acceso funcione
   
   
2. Que la empresa tenga capacidad de pago
   
   
3. Que el entorno permita escalar privilegios

Eso incluye pymes, proveedores, empresas regionales y organizaciones que actúan como eslabones de una cadena mayor.

Desde TecnetOne, vemos con frecuencia entornos donde:

1. Las credenciales no se rotan
   
   
2. El acceso remoto está mal segmentado
   
   
3. No hay visibilidad sobre accesos anómalos

Ese es el caldo de cultivo perfecto para un broker de acceso.

Cómo suelen conseguir esos accesos

Aunque cada caso es distinto, los métodos más habituales incluyen:

1. Phishing dirigido
   
   
2. Reutilización de contraseñas filtradas
   
   
3. Servicios expuestos a internet
   
   
4. Mala configuración de VPN o RDP
   
   
5. Malware silencioso para robar credenciales

Lo preocupante es que muchos de estos accesos no generan alertas inmediatas. Pueden permanecer meses activos antes de ser vendidos o explotados.

Títulos similares: Detención de Hacker y Liberación del Desencriptador Babuk

Qué puedes hacer para no convertirte en mercancía

No existe una solución única, pero sí buenas prácticas claras:

1. Control estricto de accesos remotos
   
   
2. Autenticación multifactor real, no solo “de nombre”
   
   
3. Monitorización de accesos legítimos sospechosos
   
   
4. Segmentación de red
   
   
5. Revisión periódica de credenciales

Y, sobre todo, asumir que el acceso es el nuevo perímetro. No basta con proteger el borde de la red si alguien puede entrar con usuario y contraseña válidos.

Una lección clara del caso Albashiti

Este caso demuestra algo fundamental: el cibercrimen ya no es improvisado, es industrial. Hay roles, mercados, precios y especialización. Y mientras existan compradores dispuestos a pagar por accesos, habrá actores dedicados a venderlos.

Para las empresas, el reto no es solo bloquear ataques visibles, sino evitar convertirse en producto dentro de ese mercado clandestino.

Conclusión: el ataque empieza antes de que lo veas

El caso de Albashiti no trata solo de un individuo condenado. Es el reflejo de un problema estructural: la venta de accesos como servicio. Un modelo silencioso, rentable y extremadamente peligroso.

Desde TecnetOne, insistimos en una idea clave: Si no controlas quién entra, cuándo y desde dónde, ya no importa qué malware venga después.

La seguridad moderna empieza mucho antes del ransomware. Empieza en el acceso. Y hoy, ese acceso es la mercancía más valiosa del cibercrimen.