Cuando hablamos de ransomware, solemos fijarnos en los que lanzan el ataque o los que piden el rescate. Pero hay un perfil más discreto y, a la vez, fundamental para que todo esto funcione: los Initial Access Brokers.
Estos actores no despliegan malware ni roban datos directamente. Su negocio es mucho más sencillo conseguir la llave de entrada a una red corporativa y venderla. Ellos abren la puerta y otros entran a saquear.
Su papel en el ecosistema criminal
Los IABs operan bajo un modelo que podríamos llamar “Acceso como Servicio”, parecido al SaaS que usamos en el mundo legítimo.
En el modelo Ransomware-as-a-Service (RaaS), el crimen funciona como una empresa:
- Operadores RaaS -> desarrollan y mantienen el ransomware.
- Afiliados -> ejecutan los ataques.
- IABs -> venden accesos iniciales a redes y sistemas.
- Otros proveedores -> servidores, VPNs, dominios y soporte técnico.
Sin los IABs muchos ataques se ralentizarían semanas. Con ellos, el tiempo entre compra de acceso y ataque exitoso se mide en días.
Cómo consiguen las llaves
Los métodos más comunes usados por los IABs son:
- Credenciales robadas -> vía infostealers, phishing o leaks.
- Explotación de vulnerabilidades conocidas -> Exchange, Citrix, Fortinet, VMware…
- Ataques de fuerza bruta -> RDP, VPN o portales web.
- Phishing con loaders -> plantan un primer “puente” para mantener persistencia.
Una vez dentro, no se van. Crean cuentas ocultas, instalan webshells o dejan software de acceso remoto alterado para garantizar que el acceso se pueda revender sin problemas.
El mercado
El negocio se mueve en foros underground, donde se cierran ventas privadas o incluso subastas para accesos más jugosos.
En cuanto a precios, la mayoría de accesos se mueven en una franja relativamente asequible, lo que hace que cualquiera pueda entrar en este mercado. En los últimos años se ha observado una caída notable en el coste medio, reflejo de un mercado más competitivo.
Los accesos más valiosos siguen siendo aquellos que ofrecen control completo de redes corporativas grandes o sectores críticos. Un acceso con permisos de administrador de dominio puede costar casi el doble que uno de usuario estándar.
Tipos de acceso más comunes
- VPN y RDP son los más frecuentes.
- Otros: RDWeb, Citrix, AnyDesk.
- Accesos más avanzados: webshells, bases de datos y línea de comandos.
Víctimas y sectores más atacados
Los análisis de Cyberint y CYJAX muestran que los IABs ponen el foco sobre todo en grandes corporaciones, con Estados Unidos siempre a la cabeza. Aunque también destacan otros mercados como Europa y Latinoamérica.
En cuanto a sectores, los más buscados suelen ser servicios profesionales, industria, Comercio minorista, tecnología y educación.
Además, la tendencia reciente indica que los IABs se están orientando cada vez más a empresas de gran tamaño, donde el valor de cada acceso se multiplica y las posibilidades de monetización aumentan.
⚠️ Por qué son tan peligrosos
Los IABs democratizan el cibercrimen. Cualquier delincuente, incluso sin experiencia técnica puede comprar un acceso y lanzar un ransomware.
Lo más preocupante es que algunos trabajan directamente con bandas RaaS, sin anunciar nada en foros. Esto les da menos visibilidad pública y complica la labor de las fuerzas de seguridad.
Conclusión
Los Initial Access Brokers son el eslabón oculto que mantiene vivo el negocio del ransomware. No aparecen en titulares porque no ejecutan el ataque final, pero sin ellos, gran parte de este ecosistema se vendría abajo.
Son discretos, rápidos y efectivos. Y por eso mismo se han convertido en un objetivo prioritario para la defensa corporativa.
Referencias
- Cyberint – Deep dive into Initial Access Brokers (2024)
- Cyberint – Initial Access Brokers Report PDF (2025)
- CYJAX – Initial Access Brokers Market Trends 2024
- CYJAX – Initial Access Brokers Explained
- KELA – Five Trends with Initial Access Brokers
- Rapid7 – IAB Pricing Analysis 2024
- CISecurity – IABs and their role in ransomware
- SOCRadar – What are Initial Access Brokers?