- Els fòrums de ciberdelinqüència comercien amb bases de dades robades i credencials filtrades.
- Operacions internacionals com la d'Europol contra LeakBase permeten desanonimitzar molts usuaris.
- Els fòrums de suport tècnic ajuden a detectar codi maliciós (malware) i arxius danyats mitjançant informes i eines especialitzades.
- Bones pràctiques de seguretat i còpies de seguretat redueixen limpacte de filtracions i fallades de disc.
En els darrers anys s'ha disparat la preocupació per les filtracions de dades, arxius danyats i codi maliciós que es propaga per fòrums i descàrregues de tota mena. Molts usuaris s'assabenten que la seva informació va circulant a la xarxa, o descobreixen que un simple disc dur comença a comportar-se de forma estranya, quan ja és massa tard. Per això cada vegada es busquen més llocs, eines i fòrums orientats a la detecció d'arxius sospitosos, danyats o infectats.
A tot això s'hi afegeix l'existència de fòrums de ciberdelinqüència on es compren i es venen bases de dades robades, i on es comparteixen logs de credencials, stealer logs, troians i guies d'atac. En paral·lel, els fòrums d'ajuda tècnica legitima i els programes especialitzats intenten anar per davant detectant aquestes amenaces, analitzant reports d'eines com FRST, ESET, Malwarebytes o suites similars, o fent servir utilitats per a escanejar fitxers i processos, i ensenyant als usuaris a netejar els seus equips, detectar fitxers corruptes i protegir les seves dades perquè no acabin en mans equivocades.
Fòrums de filtracions i dades robades: BreachForums, LeakBase i companyia
Quan es parla d'un “fòrum de deteccions de fitxers” molta gent pensa en portals de suport, però al costat fosc d'Internet trobem espais com BreachForums o LeakBase, que han estat autèntics centres neuràlgics de la compravenda de dades robades. Aquests llocs, encara que operen amb aparença de fòrum clàssic, funcionen en realitat com mercats clandestins de bases de dades filtrades, credencials i eines de hacking.
BreachForums va néixer el 2022 com a successor directe de RaidForums, desmantellat per les autoritats. Des d'aquell moment es va convertir en un dels fòrums de parla anglesa més coneguts relacionats amb l'intercanvi de dades robades, vulnerabilitats, manuals d'atac i codi maliciós. Es calcula que va arribar a superar els 330.000 membres ia albergar informació de més de 14.000 milions de comptes compromesos, cosa que dóna una idea del volum de dades que podien circular per allà.
La vida d‟aquesta plataforma ha estat marcada per tancaments intermitents i sospites constants d‟infiltració. En diverses ocasions s'ha rumorejat que agències de seguretat van aprofitar vulnerabilitats de dia zero al propi fòrum per investigar els seus usuaris i forçar-ne el tancament. Una de les interrupcions més sonades es va produir l'abril del 2025 després de l'explotació d'una vulnerabilitat crítica, i pocs mesos després, l'agost del mateix any, va tornar a cessar l'activitat.
Tot i això, BreachForums ha intentat reviure. En un dels seus darrers retorns, alguns perfils de X (abans Twitter), com @H4ckmanac o @ssantosv (Sergi dels Sants), van comentar la reobertura del fòrum, van compartir captures de missatges interns titulats “Aquesta vegada, les coses seran diferents” i fins i tot es van encarregar de desmentir que l'FBI estigués darrere d'aquesta reobertura. Tot i això, en qüestió d'hores, el domini va tornar a presentar errors HTTP 502 i accessos intermitents, cosa que suggereix un retorn inestable i ple de problemes tècnics o intencionats.
D'altra banda, LeakBase era un altre fòrum centrat gairebé exclusivament en el comerç de dades robades i credencials. Accessible des de la clearweb i actiu des del 2021, aglutinava una comunitat de més de 142.000 usuaris, amb unes 32.000 publicacions i més de 215.000 missatges privats. El seu contingut s'oferia principalment en anglès i barrejava format de fòrum amb funcions de marketplace, permetent la compra, venda i intercanvi de parells de credencials (correu i contrasenya), bases de dades completes i stealer logs obtinguts a través de codi maliciós especialitzat.
LeakBase havia esdevingut una baula clau de l'ecosistema del cibercrim: mantenia un repositori en constant actualització de bases de dades filtrades, des de fuites antigues fins a informació recent vulnerada. Per mantenir la “confiança” interna, disposava de normes i sistemes de reputació entre els seus membres, i fins i tot incloïa regles curioses com la prohibició explícita de vendre o publicar dades relacionades amb Rússia, una política habitual en certs cercles del cibercrim.
Operacions policials i desmantellament de fòrums de dades robats
El pes d'aquests fòrums al mercat de dades robades ha portat a una resposta policial cada cop més agressiva. Un exemple recent va ser la operació internacional coordinada per Europol contra LeakBase, en què van participar cossos policials de 14 països, entre ells Espanya, Austràlia, Estats Units, Canadà, Alemanya, Països Baixos, Regne Unit, Portugal, Romania o Polònia.
Durant els dies 3 i 4 de març es van desplegar actuacions en múltiples jurisdiccions: detencions, registres domiciliaris, incautació de material informàtic i accions de tipus “knock-and-talk” per identificar i pressionar els usuaris més actius. A nivell global es van arribar a realitzar a prop de 100 operacions dirigides a 37 membres clau de la plataforma, el que pràcticament va escapçar la comunitat.
A Espanya, la Guàrdia Civil i la Policia Nacional van realitzar una detenció i dos registres a les províncies de La Corunya i Biscaia, on es va requisar abundant material tecnològic i documentació. Allí es van localitzar dos usuaris amb coneixements avançats d'anonimització, capaços de desplegar tècniques sofisticades per amagar la seva empremta digital. Un va ser arrestat, mentre que l'altre va quedar pendent de localització.
Un dels cops més importants de l'operació va ser la confiscació de la base de dades interna de LeakBase. Amb aquest material, les autoritats van poder desanonimitzar nombrosos usuaris que donaven per fet que la seva activitat quedaria oculta per sempre. A la seu d'Europol, a l'Haia, especialistes de diferents països es van reunir per analitzar de manera accelerada les dades intervingudes, compartir informació en un Lloc de Comandament Conjunt i coordinar noves accions a partir de les pistes digitals.
Aquest tipus d'operacions mostren que les filtracions de dades no desapareixen simplement perquè una web tanqui. Les dades robades poden reaparèixer en altres fòrums, en mercats de la dark web o fins i tot reempaquetats i revenuts. Per això s'insisteix tant que, quan un servei anuncia una bretxa de seguretat, els usuaris deuen reaccionar ràpid canviant contrasenyes, activant autenticació multifactor i revisant possibles accessos indeguts comptes.
Com evitar que les teves dades acabin en aquests fòrums
Que hi hagi fòrums com BreachForums o LeakBase no vol dir que sigui inevitable que les teves dades acabin aquí. Gran part de la protecció passa per una cosa tan vella com Internet. sentit comú i bones pràctiques de seguretat. Molts incidents arrenquen amb una badada: prémer sobre un enllaç dubtós, introduir les dades d'accés en una pàgina falsa o descarregar fitxers des de llocs poc fiables.
Una mesura bàsica és assegurar-se de iniciar sessió sempre des de fonts oficials, escrivint l'adreça al navegador o usant enllaços propis del servei (marcadors, app oficial, etc.). Quan un enllaç arriba per correu, SMS, missatgeria o xarxes socials, convé desconfiar i comprovar amb cura la URL abans d'introduir usuari i contrasenya. Un simple engany de Phishing pot acabar filtrant les credencials a un venedor de fòrums clandestins.
També és essencial tenir cura de l'estat dels vostres equips. Un ordinador o un mòbil sense actualitzacions ni protecció adequada és un blanc perfecte per a troians, stealers i ransomware. Mantenir el sistema actualitzat, utilitzar un antivirus o suite de seguretat fiable i passar anàlisis periòdiques és clau per detectar arxius sospitosos que puguin estar robant informació en segon pla.
Si ets conscient que un servei que utilitzes ha patit una filtració, no n'hi ha prou de canviar la contrasenya allà. Has de revisar si feies servir la mateixa clau en altres llocs (cosa que hauries d'evitar) i canviar-la allà també. L'ideal és utilitzar un gestor de contrasenyes que generi claus úniques i robustes per a cada servei, juntament amb la autenticació en dos passos (2FA) per afegir una capa de seguretat extra, fins i tot si la contrasenya es veu compromesa.
Per acabar, val la pena recordar que fins i tot quan un fòrum de ciberdelinqüència pateix una caiguda o un tancament forçós, és habitual que sorgeixin clons o projectes successors, com es va veure amb la relació entre RaidForums i BreachForums. Això reforça la idea que la millor defensa és reduir al mínim la informació que un atacant pot aprofitar, no confiar la seguretat que aquests llocs desapareguin i acostumar-se a monitoritzar el possible ús indegut de les teves credencials amb certa regularitat.
Fòrums de suport i anàlisi d'arxius sospitosos
Enfront dels fòrums de caràcter delictiu, hi ha comunitats tècniques especialitzades en ajudar usuaris a detectar i eliminar malware, interpretar reports i localitzar arxius problemàtics. Aquests fòrums no sols recomanen eines, sinó que acompanyen pas a pas l'usuari en processos de desinfecció complicats.
Un exemple habitual és lenfocament de fòrums com Forospyware, on voluntaris amb experiència demanen a lusuari que faciliti els informes generats per diferents suites de seguretat (antivirus, antimalware, escàners especialitzats…). Quan l'usuari no ha desat aquests informes, se us indica com repetir les anàlisis per obtenir-les i compartir-les al fil de suport, de manera ordenada.
En alguns casos, quan el sistema presenta massa símptomes, es planteja directament l'opció d'una “Restauració de sistema” a estat de fàbrica, mantenint els fitxers personals però eliminant programes instal·lats posteriorment. Aquesta solució sol venir acompanyada d'advertiments: si als arxius personals que es conserven s'amaguen virus o infeccions, l'equip es pot tornar a veure compromès després de restaurar.
Per això, molts experts recomanen guardar documents, fotos i arxius de treball en un disc dur extern de gran capacitat, fer la restauració del sistema i, a continuació, passar una anàlisi exhaustiva a aquesta unitat externa abans de tornar les dades a l'ordinador. D'aquesta manera es minimitza el risc de reintroduir arxius contaminats en un sistema acabat de netejar, augmentant les possibilitats d'una desinfecció real i duradora.
En aquests fòrums també es treballa a partir d'eines molt detallades, com ara Farbar Recovery Scan Tool (FRST). Aquesta utilitat genera informes extensos (per exemple, Addition.txt) amb informació sobre comptes d'usuari, programes instal·lats, controladors, còdecs, serveis, regles de tallafocs, errors de registre i altres dades tècniques. Analitzant aquesta informació, els especialistes poden detectar mòduls sospitosos, drivers estranys, entrades d'inici anòmales o errors recurrents relacionats amb codi maliciós o programari no desitjat.
Casos reals: globus d´avís, discos plens i USB infectats
Més enllà de les grans filtracions, en el dia a dia els usuaris topen amb situacions molt concretes on necessiten ajuda per interpretar missatges de seguretat o comportaments anòmals dels fitxers. Alguns casos típics apareixen una vegada i una altra en els fòrums de suport.
Un exemple és l'avís d'ESET o altres antivirus que mostra un globus emergent indicant que “alguns dels fitxers sospitosos preparats per a l'anàlisi no han estat confirmats” i que es poden enviar per estudiar-los. En obrir el missatge, s'ofereix enviar un fitxer en concret, com Fotos.exe, amb dues opcions: Enviar o Cancel·lar. Aquest tipus de notificacions sol posar nerviosa la gent per la por de perdre la carpeta de fotos o altres documents importants.
En realitat, la funció d'enviament al núvol serveix perquè el fabricant de l'antivirus analitzi fitxers que considera potencials amenaces noves (desconegudes o dubtoses). L'arxiu es puja als laboratoris per a la classificació, no s'esborra automàticament tota la carpeta d'imatges. Això sí, el fet que un fitxer s'anomeni “Fotos.exe” ja és una senyal clar de sospita: les fotos legítimes haurien de tenir extensions com .jpg, .png, .heic, etc., i no un executable .exe camuflat amb un nom innocent.
Un altre cas força comú és el de l'usuari que nota que el disc dur s'omple sol. Per exemple, un disc d'uns 37 GB que sempre es mostra al límit de capacitat, encara que s'hagi fet neteja a fons. Esborra diversos gigues d'arxius i programes, però l'espai lliure torna a desaparèixer “per art de màgia”. Les seves aplicacions instal·lades no sumen ni tan sols 15 GB, però Windows insisteix que el disc està complet.
En aquests escenaris, alguns amics benintencionats parlen d'“un arxiu maligne de 2 KB que es menja l'espai lliure”, cosa que sona a virus misteriós. Tot i això, la causa real pot ser molt variada: arxius temporals descontrolats, punts de restauració enormes, logs de sistema, snapshots de còpies de seguretat, errors del sistema darxius o fins i tot sectors danyats que el sistema intenta gestionar creant fitxers de substitució. Abans de donar per fet que es tracta d'un codi maliciós (malware), convé revisar amb eines de diagnòstic de disc i amb utilitats de neteja més avançades que la paperera estàndard.
Els problemes amb USB infectats també són un clàssic. A moltes escoles, cibercafès o oficines es produeix el mateix patró: una memòria USB s'infecta amb un codi maliciós que oculta les carpetes originals i crea dreceres o executables, ia partir d'aquí es propaga cada cop que es connecta a un nou ordinador. L'usuari pot intentar utilitzar ordres com a attrib al símbol del sistema per restaurar fitxers ocults, però es troba amb missatges del tipus “El fitxer del sistema no es restableix: Manuel.doc” i no localitza de cap manera aquest fitxer o l'origen del problema.
En aquests casos, els experts solen recomanar seguir passos molt concrets: guies actualitzades d'eliminació de codi maliciós (malware), ús d'eines com AdwCleaner, Malwarebytes o UsbFix, i repetir les anàlisis les vegades que sigui necessari fins que el pendrive i l'equip principal quedin nets. També insisteixen que, si el sistema operatiu no està correctament actualitzat i protegit, només cal connectar de nou un pendrive infectat perquè tot el cicle d'infecció es repeteixi des de zero.
Detecció d'arxius danyats a discs durs i còpies de seguretat
Un altre front important en qualsevol “fòrum de deteccions de fitxers” és el dels arxius físicament danyats, normalment a causa de problemes al disc dur. És freqüent que un HDD comenci a fallar, es produeixin sorolls estranys o errors de lectura, i lusuari hagi de substituir-lo de pressa i corrent. En copiar les dades al nou disc, alguns fitxers simplement no es deixen copiar i salten errors continus.
En aquesta situació no n'hi ha prou de saber que hi ha sectors defectuosos o clústers danyats; el que l'usuari necessita és una llista clara d'arxius problemàtics, amb nom i ruta exacta, per decidir què es pot recuperar, què cal reintentar i què està perdut definitivament. Aquí és on entren en joc utilitats específiques de recuperació i diagnòstic, algunes freeware o shareware que funcionen perfectament en entorns antics com Windows 2000 amb particions NTFS.
Eines com BadCopy Pro o alternatives similars poden escanejar el disc malmès, identificar fitxers corruptes, intentar reconstruir-los i, en molts casos, generar informes amb la relació darxius irrecuperables. Aquesta informació resulta valuosíssima per prioritzar què s'intenta salvar manualment, què es descarta i què es recolza en un altre suport per a una possible anàlisi posterior.
Convé tenir clar que, quan hi ha mal físic, cap programari no pot fer miracles. L'ideal és detectar les fallades de disc com més aviat millor (SMART, sorolls anòmals, lentitud extrema, errors de lectura freqüents) i fer còpies de seguretat preventives. Quan el disc ja està a punt del col·lapse, qualsevol intent d'escaneig intensiu pot empitjorar encara més el seu estat, així que és fonamental equilibrar la necessitat de llistar els fitxers danyats amb el risc de forçar la unitat fins que deixi de respondre del tot.
Fitxers de joc, verificacions d'integritat i falsos positius
No tots els problemes de “arxius danyats” tenen a veure amb codi maliciós o amb maquinari moribund. Al món dels videojocs i plataformes com Steam és habitual trobar-se amb missatges d'error tipus “Error 51” o avisos d'integritat de fitxers que impedeixen llançar un títol en mode sense connexió.
Molts usuaris reporten que el joc es tanca sol o que Steam insisteix que alguns arxius del joc estan corruptes. Les respostes clàssiques del suport passen per allò de sempre: verificar la memòria cau del joc, reinstal·lar el títol, reinstal·lar Steam, actualitzar drivers, passar l'antivirus i netejar el registre. Tot i això, en determinats casos el problema persisteix, fins i tot després de formatar l'equip i provar amb diferents sistemes operatius, cosa que resulta frustrant.
Alguns han intentat estratègies alternatives, com guardar una còpia dels fitxers suposadament danyats després d'una descàrrega correcta i restaurar-los manualment quan el joc torna a queixar-se, però tampoc no sempre funciona. De vegades l'única solució pràctica és, literalment, verificar la memòria cau cada vegada que es jugarà, assumint que es tracta d'una limitació de la plataforma o d'una particularitat del sistema que no té un arranjament senzill.
Encara que aquestes situacions solen ser degudes a conflictes entre el sistema, drivers, programari de seguretat i la manera com Steam gestiona els seus arxius, és una bona pràctica aprofitar aquests processos de verificació com mecanisme de detecció d'arxius inconsistents. No és una eina de seguretat en si, però sí que pot assenyalar que alguna cosa a l'entorn no està del tot bé, ja sigui per programari de tercers, per canvis al sistema de fitxers o per problemes de connexió durant les actualitzacions.
En molts d'aquests casos, revisar els registres d'esdeveniments de Windows, analitzar errors d'ESENT, VSS, DCOM o Code Integrity pot donar pistes de fons. Missatges sobre serveis que no s'inicien a temps, errors en caixets de fonts, problemes amb mòduls que no compleixen els nivells de signatura antimalware, etc., ajuden a dibuixar un mapa de què està fallant al sistema i de si el problema és purament tècnic o si hi ha algun component maliciós implicat.
Tot aquest ecosistema —fòrums de ciberdelinqüència on es comercia amb dades robades, operacions policials que les desarticulen, comunitats de suport que ajuden a interpretar reportis i eines per detectar arxius danyats o sospitosos— conforma el context actual de qualsevol usuari que es preocupi de debò per la salut de les seves dades. Entendre com es filtren les credencials, com s'exploten les vulnerabilitats, quins senyals delaten un disc agonitzant o un executable camuflat i quins recursos legítims hi ha per demanar ajuda marca la diferència entre viure permanentment a la vora del desastre digital o mantenir un entorn relativament controlat i segur.
