BreachForums ha vuelto a la escena con un nuevo comunicado de su administrador “Indra”, que se atribuye el reciente ciberataque al Ministerio del Interior de Francia y asegura tener más de 16 millones de registros policiales. A día de hoy, las autoridades solo confirman un incidente en los servidores de correo de MININT y mantienen abierta una investigación sobre el alcance real y la autoría del ataque.
BreachForums reaparece tras los golpes policiales
Según la nueva publicación de Indra en el foro, BreachForums habría reabierto después de su desmantelamiento en junio de 2025, cuando la policía francesa y el FBI arrestaron a varios operadores clave, entre ellos ShinyHunters, Hollow, Noct y Depressed. En octubre, el FBI ya había anunciado la incautación del dominio clearnet del sitio, lo que se interpretó como el golpe definitivo contra la plataforma original.
El mensaje actual busca desmentir las acusaciones de que el foro era un “honeypot” controlado por fuerzas de la ley, responsabilizando a antiguas disputas internas y a la detención del equipo original de la confusión sobre su identidad y las firmas PGP. Este giro refuerza el clima de desconfianza habitual en los mercados criminales, donde la sospecha de infiltración policial es casi permanente.
La supuesta intrusión en el Ministerio del Interior francés
Indra asegura que, como represalia por las detenciones, el grupo habría comprometido el Ministerio del Interior francés (MININT), accediendo no solo a servidores de correo, sino también a bases de datos policiales como TAJ (antecedentes penales) y FPR (personas buscadas), con un total de 16.444.373 registros. En su comunicado, los actores también mencionan presuntos accesos a sistemas vinculados a INTERPOL, a la administración de finanzas públicas (DGFIP) y al sistema de pensiones (CNAV), aunque no aportan pruebas técnicas concluyentes.
Las fuentes oficiales francesas, en cambio, se limitan a confirmar un ataque que afectó a los servidores de correo del ministerio entre el 11 y el 12 de diciembre de 2025, donde “un atacante pudo acceder a algunos ficheros”. El ministro del Interior, Laurent Nuñez, ha declarado que por el momento no hay evidencia de una “comprometida grave” ni de un volumen masivo de exfiltración, y que se han reforzado controles de acceso y se ha abierto una investigación para determinar el origen y alcance del incidente.
Ultimátum y riesgos para la ciberseguridad
El comunicado de BreachForums incluye un ultimátum: dan una semana al gobierno francés para establecer contacto y “negociar qué ocurre con sus ficheros”, amenazando con borrar los datos si Francia paga o, en caso contrario, venderlos y filtrarlos para demostrar la “legitimidad” del foro. Esta estrategia de extorsión refuerza el modelo de negocio híbrido entre mercado de filtraciones y ransomware, en el que la presión mediática y política forma parte central de la operación.
En términos de impacto, un compromiso real de TAJ, FPR u otros sistemas críticos implicaría la exposición de datos sensibles de ciudadanos, fuerzas de seguridad, investigaciones en curso y posiblemente fuentes confidenciales, lo que abriría la puerta a espionaje, chantaje y suplantaciones de identidad a gran escala. Incluso si el alcance final fuera menor, el incidente vuelve a evidenciar la fragilidad de las infraestructuras de correo y de identidad en la administración pública, y la necesidad urgente de reforzar segmentación de datos, controles de acceso, monitorización continua y planes de respuesta ante incidentes.