El ecosistema del cibercrimen ha madurado. Ya no vemos a atacantes solitarios realizando todo el ciclo de intrusión, desde el phishing inicial hasta el cifrado de datos. En 2026, la cadena de suministro maliciosa está dominada por una figura clave: el Initial Access Broker (IAB).
La economía de los IABs
Los Initial Access Brokers son especialistas en comprometer redes corporativas. Su objetivo no es robar datos ni cifrarlos, sino obtener un punto de apoyo persistente (como credenciales VPN, acceso RDP, o web shells) y venderlo al mejor postor en foros clandestinos de la dark web.
Nuestra reciente investigación en más de 50 foros emergentes muestra que los precios de acceso inicial varían enormemente, desde unos pocos cientos de dólares hasta decenas de miles, dependiendo de factores como:
- Privilegios: Si el acceso incluye permisos de Domain Admin.
- Ingresos de la víctima: Las empresas con facturación superior a 500 millones de dólares son los objetivos premium.
- Sector: Entidades financieras, sanitarias e industriales comandan los precios más altos.
Cómo operan en los foros
En los foros de la dark web que monitorizamos continuamente, las ofertas de los IABs siguen un formato estandarizado. No revelan el nombre exacto de la víctima para evitar que otros actores "quemen" el acceso o que los equipos de Threat Intelligence alerten a la organización.
"Se vende acceso RDP a empresa manufacturera en España. Revenue: $100M+. Privilegios: Local Admin. Antivirus desactivado. Precio: $2,000 en BTC."
Colaboración con grupos de Ransomware
El modelo Ransomware-as-a-Service (RaaS) es el cliente principal de los IABs. Los afiliados de ransomware compran estos accesos para saltarse las semanas de trabajo que requiere romper el perímetro. Una vez dentro, se mueven lateralmente, exfiltran datos y despliegan el payload criptográfico.
Hemos observado una tendencia creciente: grupos de ransomware de primer nivel patrocinando a IABs en foros exclusivos, garantizándoles compras recurrentes a cambio de acceso exclusivo a redes de alto valor.
La importancia de la detección temprana
Cuando un IAB publica una oferta, existe una ventana de tiempo crítica (a menudo entre 24 y 72 horas) antes de que un afiliado de ransomware compre el acceso y lance un ataque devastador.
Aquí es donde la monitorización proactiva cambia las reglas del juego. Nuestro módulo de Dark Web Monitoring analiza continuamente estas comunicaciones y extrae metadatos. Al cruzar indicadores (como sector, región e ingresos) con las características de nuestros clientes, y correlacionarlo con credenciales comprometidas o stealer logs recientes, Notmining puede identificar si una organización está siendo subastada y proporcionar inteligencia accionable para cerrar la brecha antes de la intrusión final.