· Jonathan Izquierdo · Noticias seguridad ·
Operación Talent: detenidos en Valencia los administradores de Cracked y Nulled
Europol desmantela los foros de cibercrimen Cracked y Nulled con 10 millones de usuarios. Dos detenidos en Valencia por la Policía Nacional. Análisis del caso.
10 millones de usuarios registrados. 500.000 números de la Seguridad Social estadounidense comprometidos. Más de 4 millones de dólares en ingresos ilícitos. Entre el 28 y el 30 de enero de 2025, la Operación Talent —coordinada por Europol y ejecutada por fuerzas policiales de 8 países— desmanteló los dos mayores foros de cibercrimen del mundo: Cracked (4 millones de usuarios) y Nulled (5 millones de usuarios). El operativo culminó con la detención de dos personas en Valencia por la Policía Nacional y la Guardia Civil españolas.
Como perito informático forense, analizo en este artículo qué se vendía en estos foros, quiénes eran los detenidos, cómo funciona la investigación forense de infraestructuras de cibercrimen de esta envergadura y qué implicaciones tiene para la ciberseguridad en España.
Resumen ejecutivo
En 60 segundos:
- Qué: Operación Talent — desmantelamiento internacional de los foros Cracked (4M usuarios) y Nulled (5M usuarios)
- Cuándo: 28-30 de enero de 2025
- Detenidos en Valencia: Lucas Sohn (29 años, argentino-alemán, administrador de Nulled) y una mujer suiza de 27 años
- Cargos: Descubrimiento y revelación de secretos, blanqueo de capitales, organización criminal
- Incautaciones: 17 servidores, más de 50 dispositivos electrónicos, 300.000 euros en efectivo, 234.000 euros en criptoactivos, 12 dominios
- Países participantes: España, Alemania, EEUU, Francia, Grecia, Italia, Rumanía, Australia
- Impacto: 500.000 SSN comprometidos, herramientas IA para phishing y búsqueda de vulnerabilidades
¿Qué son Cracked y Nulled?
Cracked y Nulled eran los dos foros de cibercrimen más grandes del mundo en términos de usuarios registrados. Funcionaban como mercados donde se compraban, vendían e intercambiaban herramientas, datos robados y servicios ilegales para cometer delitos informáticos (Ministerio del Interior).
Cracked: 4 millones de usuarios desde 2018
Cracked llevaba activo desde marzo de 2018 y había acumulado 4 millones de usuarios registrados. Según la investigación de Europol, el foro generaba aproximadamente 4 millones de dólares en ingresos anuales a través de la venta de datos robados, herramientas de hacking y servicios de ciberataque (BleepingComputer).
Nulled: 5 millones de usuarios y medio millón de SSN
Nulled era aún más grande: 5 millones de usuarios registrados y unos ingresos anuales estimados de 1 millón de dólares. Una de las filtraciones más graves vinculadas al foro fue la exposición de 500.000 números de la Seguridad Social (SSN) de ciudadanos estadounidenses, dato que la propia FBI destacó en su comunicado (CyberNews).
Herramientas de IA para el cibercrimen
Uno de los aspectos más preocupantes de ambos foros era la incorporación de herramientas de inteligencia artificial en su catálogo. Según informó EscudoDigital, estos foros ofrecían:
- IA para búsqueda automatizada de vulnerabilidades en sistemas y aplicaciones web
- Generadores de phishing personalizado que usaban modelos de lenguaje para crear correos electrónicos convincentes adaptados al perfil de la víctima
- Herramientas de credential harvesting potenciadas con IA para automatizar ataques a gran escala
- Kits de exploits actualizados con técnicas de evasión de antivirus
Infraestructura asociada
Además de los foros, la Operación Talent desmanteló servicios vinculados que formaban parte del ecosistema criminal: Sellix, una plataforma de pagos utilizada para las transacciones ilegales, y StarkRDP, un servicio de servidores RDP que los ciberdelincuentes usaban para ocultar su actividad y lanzar ataques. En total, 12 dominios fueron incautados (SecurityAffairs).
Los detenidos en Valencia
El epicentro de las detenciones fue Valencia. La Policía Nacional y la Guardia Civil, en coordinación con Europol, ejecutaron las dos detenciones clave de la operación en territorio español (Ministerio del Interior).
Lucas Sohn: administrador de Nulled
El principal detenido fue Lucas Sohn, de 29 años y doble nacionalidad argentino-alemana. Sohn administraba el foro Nulled y, según la investigación, desempeñaba un rol activo como intermediario entre compradores y vendedores de datos robados, además de moderar contenido dentro del foro (ElOtroLado).
En Estados Unidos, Sohn se enfrenta a cargos federales que podrían suponer:
| Cargo federal (EEUU) | Pena máxima |
|---|---|
| Tráfico de contraseñas | Hasta 5 años de prisión |
| Acceso no autorizado a sistemas informáticos | Hasta 10 años de prisión |
| Fraude de identidad agravado | Hasta 15 años de prisión |
En España, los cargos incluyen descubrimiento y revelación de secretos (Art. 197 del Código Penal), blanqueo de capitales (Art. 301 CP) y pertenencia a organización criminal (Art. 570 bis CP).
Segunda detenida: mujer suiza de 27 años
La segunda persona detenida en Valencia fue una mujer de 27 años, de nacionalidad suiza. Según las fuentes policiales, también participaba en las funciones de administración de los foros. Los cargos que se le imputan son los mismos: descubrimiento y revelación de secretos, blanqueo de capitales y organización criminal (Ministerio del Interior).
Presunción de inocencia
Las personas detenidas en la Operación Talent tienen derecho a la presunción de inocencia. La determinación de su responsabilidad penal corresponde exclusivamente a los tribunales competentes mediante sentencia firme.
Cronología de la Operación Talent
Investigación previa (meses anteriores): Europol coordina con agencias de 8 países la infiltración e investigación de las estructuras de administración de Cracked y Nulled. Se identifican servidores, flujos financieros y perfiles de administradores
28 de enero de 2025 - Inicio del operativo: Las fuerzas de seguridad de España, Alemania, Estados Unidos, Francia, Grecia, Italia, Rumanía y Australia ejecutan acciones coordinadas simultáneas
28-30 enero - Detenciones en Valencia: La Policía Nacional y la Guardia Civil detienen a Lucas Sohn (29 años, argentino-alemán) y a una mujer suiza de 27 años. Ambos eran administradores de los foros
Incautación de infraestructura: Se confiscan 17 servidores distribuidos en varios países, más de 50 dispositivos electrónicos y 12 dominios asociados a los foros y servicios vinculados
Incautación de activos financieros: 300.000 euros en efectivo y 234.000 euros en criptoactivos son confiscados durante los registros
Cierre de los foros: Cracked.io y Nulled.to muestran el banner de incautación de Europol/FBI. Servicios asociados como Sellix y StarkRDP también son intervenidos
Comunicado oficial: El Ministerio del Interior confirma las detenciones en España y Europol publica el resumen de la operación internacional
Activos incautados
La magnitud de las incautaciones refleja el volumen de negocio de estos foros:
| Activo incautado | Cantidad | Observaciones |
|---|---|---|
| Servidores | 17 | Distribuidos en varios países, contenían bases de datos de usuarios y transacciones |
| Dispositivos electrónicos | Más de 50 | Ordenadores, teléfonos y discos duros de los detenidos y asociados |
| Efectivo | 300.000 euros | Hallado durante los registros domiciliarios |
| Criptoactivos | 234.000 euros | Wallets vinculadas a las operaciones de los foros |
| Dominios | 12 | Incluyen cracked.io, nulled.to, sellix.io, starkrdp.io y otros asociados |
| Países implicados | 8 | España, Alemania, EEUU, Francia, Grecia, Italia, Rumanía, Australia |
Fuente: Ministerio del Interior, BleepingComputer, SecurityAffairs.
¿Qué se vendía en estos foros?
Catálogo de productos y servicios ilegales
Los foros Cracked y Nulled ofrecían un ecosistema completo para el cibercrimen:
- Credenciales robadas: Bases de datos con millones de combinaciones de usuario/contraseña procedentes de brechas de datos
- Datos personales: Números de la Seguridad Social (500.000 SSN confirmados), DNI, tarjetas de crédito, datos bancarios
- Herramientas de hacking: Exploits, RATs (troyanos de acceso remoto), keyloggers, stealers de cookies
- Herramientas IA: Modelos de lenguaje para phishing personalizado, escáneres de vulnerabilidades automatizados
- Software crackeado: Programas comerciales pirateados (de ahí el nombre “Cracked”)
- Servicios de ataque: DDoS por encargo, acceso a servidores comprometidos vía RDP (StarkRDP)
- Tutoriales y manuales: Guías paso a paso para cometer fraude, ingeniería social y evasión de detección
- Servicios de blanqueo: Intercambio de criptomonedas, cuentas bancarias de mulas, métodos de cash-out
Los administradores detenidos en Valencia no solo mantenían la infraestructura técnica, sino que intermediaban activamente entre compradores y vendedores y moderaban el contenido para garantizar que las transacciones se completaran, lo que según la investigación les convierte en partícipes directos de los delitos cometidos por los usuarios de las plataformas.
Implicaciones para España
La Operación Talent tiene una relevancia especial para España por varios motivos:
Valencia como base operativa
El hecho de que los administradores de dos de los mayores foros de cibercrimen del mundo residieran en Valencia subraya que España no es solo un objetivo del cibercrimen, sino también un punto operativo para organizaciones criminales internacionales. La infraestructura digital permite que los administradores de un foro con millones de usuarios operen desde cualquier ciudad con buena conexión a internet.
Datos de ciudadanos españoles en los foros
Aunque los 500.000 SSN comprometidos corresponden a ciudadanos estadounidenses, las bases de datos vendidas en Cracked y Nulled también incluían credenciales y datos personales de ciudadanos españoles. Según el INCIBE, las brechas de datos comercializadas en estos foros afectaban a empresas y servicios con presencia en España.
Cooperación policial internacional
La participación de la Policía Nacional y la Guardia Civil en una operación coordinada por Europol con la FBI, la Policía Criminal Federal alemana (BKA) y fuerzas de seguridad de otros 5 países demuestra el nivel de cooperación internacional necesario para desmantelar infraestructuras de cibercrimen distribuidas. La orden europea de investigación y los convenios bilaterales fueron instrumentos clave para ejecutar las acciones simultáneas en 8 jurisdicciones.
El papel de la prueba digital en estos casos
Investigar foros de cibercrimen con millones de usuarios requiere un trabajo de análisis forense digital de enorme complejidad. Estos son los principales ejes de la investigación técnica en un caso como la Operación Talent:
Análisis forense de servidores
Los 17 servidores incautados contienen:
- Bases de datos completas: Registros de usuarios, mensajes privados, transacciones, historial de accesos
- Logs de conexión: Direcciones IP, timestamps, patrones de acceso que permiten vincular cuentas a personas físicas
- Infraestructura de pagos: Registros de transacciones en criptomonedas y pasarelas de pago como Sellix
- Contenido almacenado: Datos robados que estaban a la venta, herramientas de hacking, exploits
Análisis forense de dispositivos
Los más de 50 dispositivos electrónicos incautados a los detenidos se someten a:
- Extracción forense completa: Clonado bit a bit del almacenamiento con cadena de custodia ISO 27037
- Análisis de comunicaciones: Reconstrucción de conversaciones cifradas, correos electrónicos y mensajería
- Análisis de navegación: Historial, cookies, sesiones activas que demuestren la administración de los foros
- Análisis financiero: Wallets de criptomonedas, accesos a exchanges, movimientos bancarios
Trazabilidad de criptoactivos
Los 234.000 euros en criptoactivos incautados requieren un análisis forense de blockchain para:
- Rastrear el origen de los fondos hasta las transacciones ilegales en los foros
- Identificar wallets intermediarias y exchanges utilizados para el blanqueo
- Vincular las wallets con las identidades reales de los detenidos
¿Necesitas un peritaje informático para un caso de cibercrimen?
Análisis forense de servidores, dispositivos y criptoactivos. Informes periciales con validez judicial y ratificación ante el juzgado.
Solicitar consulta gratuitaCómo protegerse: verifica si tus datos han sido filtrados
Si te preocupa que tus datos pudieran estar en las bases de datos de Cracked o Nulled, estos son los pasos que puedes seguir:
Verifica tus credenciales en Have I Been Pwned: Accede a haveibeenpwned.com e introduce tu dirección de correo electrónico. El servicio te indicará si tu email aparece en alguna filtración conocida, incluidas las vinculadas a estos foros
Cambia contraseñas comprometidas: Si tu correo aparece en alguna brecha, cambia inmediatamente las contraseñas de todas las cuentas asociadas a ese email. Utiliza contraseñas únicas para cada servicio
Activa la autenticación en dos factores (2FA): Habilita 2FA en todas las cuentas que lo permitan, preferiblemente con una aplicación autenticadora (Google Authenticator, Authy) en lugar de SMS
Revisa movimientos bancarios: Si tus datos financieros pueden estar comprometidos, revisa los extractos bancarios y de tarjetas de los últimos meses en busca de cargos no reconocidos
Denuncia si eres víctima: Si detectas accesos no autorizados o uso fraudulento de tus datos, presenta denuncia ante la Policía Nacional o la Guardia Civil y solicita un informe pericial que documente las evidencias
Preguntas frecuentes
¿Pueden solicitar la extradición de los detenidos en Valencia a Estados Unidos?
Sí. España y Estados Unidos tienen un tratado bilateral de extradición en vigor. Dado que Lucas Sohn se enfrenta a cargos federales en EEUU que podrían sumar hasta 30 años de prisión (5 por tráfico de contraseñas, 10 por acceso no autorizado y 15 por fraude de identidad agravado), es probable que la fiscalía estadounidense solicite la extradición a través de los cauces diplomáticos establecidos. La decisión corresponde a la Audiencia Nacional española, que valorará la equivalencia de los delitos y las garantías procesales.
¿Qué delitos se imputan en España a los administradores de foros de cibercrimen?
Los cargos comunicados por el Ministerio del Interior son tres: descubrimiento y revelación de secretos (Art. 197 CP, pena de 1 a 4 años de prisión), blanqueo de capitales (Art. 301 CP, pena de 6 meses a 6 años de prisión y multa del tanto al triplo) y pertenencia a organización criminal (Art. 570 bis CP, pena de 2 a 5 años de prisión para miembros activos). En concurso, las penas podrían elevarse significativamente. La administración activa de una plataforma que facilita la comisión de delitos a millones de usuarios es un agravante que los tribunales españoles valoran especialmente.
¿Se pueden recuperar los datos robados tras el cierre de los foros?
La incautación de los 17 servidores por parte de las autoridades no implica que los datos robados dejen de circular. Las bases de datos vendidas en Cracked y Nulled ya fueron descargadas por compradores antes del cierre. Lo que sí permite la incautación es: (1) identificar a qué víctimas pertenecen los datos comprometidos para notificarles, (2) investigar a los compradores de datos más activos, y (3) obtener pruebas para los procedimientos judiciales contra los administradores y vendedores. Si sospechas que tus datos figuraban en estos foros, la vía más efectiva es verificarlo en servicios de monitorización de brechas y tomar medidas de protección preventiva.
¿Has sido víctima de un ciberataque o robo de datos?
Consulta gratuita por videollamada. Analizamos tu caso, preservamos la evidencia digital y elaboramos el informe pericial que necesitas.
Solicitar consulta gratuitaConclusión: el cibercrimen tiene consecuencias reales
La Operación Talent demuestra que administrar un foro de cibercrimen desde Valencia no ofrece impunidad. La cooperación internacional entre 8 países, coordinada por Europol, permitió identificar, localizar y detener a los responsables de una infraestructura que afectaba a millones de personas en todo el mundo.
Los puntos clave que podemos extraer:
Para ciudadanos y empresas:
- Tus datos pueden estar a la venta en foros como estos sin que lo sepas. La verificación periódica en servicios como Have I Been Pwned y la autenticación en dos factores son medidas básicas imprescindibles
- Las herramientas de IA para cibercrimen hacen que los ataques de phishing sean cada vez más convincentes y difíciles de detectar
Para profesionales del derecho:
- La prueba digital en casos de cibercrimen internacional requiere una cadena de custodia impecable y análisis forense especializado
- La cooperación judicial internacional a través de Europol, Eurojust y tratados bilaterales es imprescindible cuando la infraestructura criminal está distribuida en múltiples jurisdicciones
Para las fuerzas de seguridad:
- La Policía Nacional y la Guardia Civil demuestran capacidad operativa en cibercrimen de primer nivel, participando activamente en el desmantelamiento de infraestructuras de alcance global
Este artículo analiza información pública sobre la Operación Talent publicada por el Ministerio del Interior, Europol y medios especializados. Las personas detenidas gozan de la presunción de inocencia hasta que exista sentencia firme. Los datos técnicos y legales se proporcionan con fines informativos y de prevención.
Fuentes consultadas: Ministerio del Interior (30 Ene 2025), ElOtroLado (30 Ene 2025), EscudoDigital (30 Ene 2025), BleepingComputer (29 Ene 2025), SecurityAffairs (29 Ene 2025), CyberNews (29 Ene 2025), INCIBE (Feb 2025)
Sobre el autor: Jonathan Izquierdo es perito informático forense, ex-CTO y 5x AWS Certified, especializado en evidencia digital y análisis forense con metodología ISO 27037.
Última actualización: Febrero 2026
