«Black Friday» para los ciberdelincuentes: en la dark web regalan tarjetas de crédito recién comprometidas
El mercado clandestino B1ack’s Stash publicó los datos de casi cinco millones de tarjetas bancarias.
B1ack’s Stash volvió a hacerse notar con una ruidosa distribución de datos bancarios robados. Esta vez la plataforma de la darknet publicó gratuitamente millones de registros de tarjetas de pago, y alegó como motivo un conflicto con vendedores que revendían los datos comprados en tiendas competidoras.
Según SOCRadar, los administradores de B1ack’s Stash inicialmente bloquearon alrededor de 8 millones de registros CVV2 del catálogo activo. Las normas internas del sitio supuestamente prohíben a los vendedores volver a publicar esos datos en otros recursos delictivos. Tras eso, alrededor de 4,6 millones de registros se enviaron a la sección de distribuciones gratuitas. A los participantes considerados fiables se les ofreció contactar con el soporte para obtener una segunda oportunidad, y además se anunció una nueva base de tarjetas.
B1ack’s Stash opera al menos desde 2023 y desde entonces se ha convertido en una de las plataformas destacadas para la venta de datos de pago robados en la darknet. En los registros publicados figuran números de tarjeta, fechas de vencimiento, códigos CVV2, nombres de los titulares, direcciones de facturación, correos electrónicos, teléfonos y direcciones IP. Ese conjunto se parece a datos recopilados mediante phishing o skimming en sitios de tiendas en línea.
SOCRadar verificó parte del conjunto por BIN y algoritmos de control; después de eliminar duplicados, tarjetas vencidas y registros ya conocidos, alrededor de 4,3 millones de tarjetas podrían ser nuevas y aptas para operaciones fraudulentas. La verificación de la base aún continúa.
La mayoría de las filtraciones corresponden a titulares de tarjetas de Estados Unidos, que representan aproximadamente el 70% del conjunto. A continuación aparecen Canadá, Reino Unido, Francia y Malasia. Entre los países afectados también figuran Hong Kong, Singapur y Tailandia, por lo que la base probablemente fue recopilada en varias campañas contra compradores en línea en países con alta capacidad de pago, no en una sola operación local.
El análisis de los dominios de correo también indica un fuerte sesgo hacia Estados Unidos. Casi la mitad de las direcciones corresponden a Gmail, seguidas por Yahoo y Hotmail. En la base también aparecen dominios de proveedores estadounidenses como comcast.net, verizon.net, att.net y sbcglobal.net. SOCRadar menciona además rhyta.com y dayrep.com, que se asocian con buzones temporales o falsos.
Para los titulares de tarjetas, la principal amenaza está relacionada con las compras sin tarjeta física. El conjunto completo de datos junto con la dirección facilita eludir parte de las comprobaciones antifraude. Los datos personales adicionales incrementan el riesgo de phishing, creación de cuentas falsas e intentos de usurpación de identidad. Tras distribuciones gratuitas como esa, las bases robadas se difunden rápidamente entre delincuentes menos experimentados, lo que suele provocar un aumento de las transacciones fraudulentas.
B1ack’s Stash ya había utilizado una táctica similar. En febrero de 2025 la plataforma publicó gratuitamente alrededor de 4 millones de tarjetas robadas para atraer nuevos compradores y reforzar su reputación entre ciberdelincuentes. La nueva publicación parece una continuación de la misma estrategia, solo que ahora los operadores justifican la distribución alegando la lucha contra vendedores desleales.