KELA ha publicado una investigación en la que perfila a ByteToBreach, un actor de amenazas especialmente activo desde mediados de 2025 y responsable de una amplia campaña de venta y filtración de datos sensibles de organizaciones de alto valor en todo el mundo. Según el post publicado en KELA Cyber Intelligence Center, el ciberdelincuente ha combinado capacidades técnicas reales con una estrategia agresiva de autopromoción para operar de forma simultánea en DarkForums, Dread, Telegram y hasta en una web pública creada en WordPress.
La investigación detalla que ByteToBreach ha comercializado o divulgado bases de datos pertenecientes a aerolíneas, entidades financieras, universidades, servicios sanitarios y organismos gubernamentales. Las filtraciones incluyen desde listas de pasajeros hasta registros de empleados bancarios o documentos internos, con víctimas en países como Polonia, Chile, Uzbekistán, Estados Unidos, Chipre o Ucrania.
En varios casos, organizaciones afectadas llegaron a confirmar los incidentes, lo que refuerza la credibilidad de las pruebas aportadas por el actor.
Tácticas: explotación de vulnerabilidades, credenciales robadas y exfiltración masiva
Según el análisis, ByteToBreach emplea un abanico de técnicas que incluye la explotación de vulnerabilidades conocidas en infraestructuras cloud y corporativas, el uso de credenciales obtenidas por infostealers y phishing, o incluso ataques de fuerza bruta. Una vez dentro, el objetivo es siempre el mismo: extraer bases de datos, registros de empleados, copias de seguridad o documentos sensibles para venderlos o publicarlos como prueba de intrusión.
En algunos casos, como el incidente con Uzbekistan Airlines, el actor llegó a justificar la publicación de grandes volúmenes de datos asegurando que su objetivo era presionar a las compañías para proteger a sus clientes. “Los inocentes son las víctimas, no los gobiernos”, afirmó en uno de sus mensajes.
El informe concluye que ByteToBreach representa a una nueva generación de actores criminales que mezclan habilidad técnica con una clara orientación comercial: construyen marca, monetizan sus intrusiones y operan de forma transversal en plataformas públicas y privadas.
Sus patrones técnicos y de comportamiento, según KELA, muestran a un actor “adaptable y oportunista”, capaz de explotar vulnerabilidades, reciclar credenciales y mantener múltiples identidades para maximizar su alcance.
