Initial Access Broker (IAB)
¿Qué es Initial Access Broker (IAB)?
Initial Access Broker (IAB)Especialista del cibercrimen que obtiene acceso no autorizado a redes corporativas y lo vende a otros delincuentes, sobre todo a afiliados de ransomware.
Los Initial Access Brokers (IAB) forman una capa especifica de la economia del cibercrimen. Se especializan en lograr una primera posicion en organizaciones via phishing, logs de infostealers, credenciales VPN o RDP, despliegue de webshells o explotacion de vulnerabilidades publicas (Citrix, Fortinet, Pulse Secure, Ivanti, Microsoft Exchange). El acceso se publica en foros rusoparlantes como Exploit o XSS, en canales de Telegram o se vende en privado. Los anuncios incluyen sector, ingresos, pais y tipo de acceso, con precios desde unos cientos hasta decenas de miles de dolares. Sus principales clientes son afiliados de ransomware, equipos de BEC y grupos de robo cripto. Los IAB aceleran enormemente las intrusiones y explican la importancia del patching y la higiene de credenciales.
● Ejemplos
- 01
Un IAB publica acceso VPN a un proveedor sanitario de EE. UU. por 5.000 USD en un foro rusoparlante.
- 02
Varios grupos de ransomware, como Conti y LockBit, dependieron de IABs para escalar sus campanas entre 2021 y 2023.
● Preguntas frecuentes
¿Qué es Initial Access Broker (IAB)?
Especialista del cibercrimen que obtiene acceso no autorizado a redes corporativas y lo vende a otros delincuentes, sobre todo a afiliados de ransomware. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Initial Access Broker (IAB)?
Especialista del cibercrimen que obtiene acceso no autorizado a redes corporativas y lo vende a otros delincuentes, sobre todo a afiliados de ransomware.
¿Cómo funciona Initial Access Broker (IAB)?
Los Initial Access Brokers (IAB) forman una capa especifica de la economia del cibercrimen. Se especializan en lograr una primera posicion en organizaciones via phishing, logs de infostealers, credenciales VPN o RDP, despliegue de webshells o explotacion de vulnerabilidades publicas (Citrix, Fortinet, Pulse Secure, Ivanti, Microsoft Exchange). El acceso se publica en foros rusoparlantes como Exploit o XSS, en canales de Telegram o se vende en privado. Los anuncios incluyen sector, ingresos, pais y tipo de acceso, con precios desde unos cientos hasta decenas de miles de dolares. Sus principales clientes son afiliados de ransomware, equipos de BEC y grupos de robo cripto. Los IAB aceleran enormemente las intrusiones y explican la importancia del patching y la higiene de credenciales.
¿Cómo defenderse de Initial Access Broker (IAB)?
Las defensas contra Initial Access Broker (IAB) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Initial Access Broker (IAB)?
Nombres alternativos comunes: IAB, Broker de acceso.
● Términos relacionados
- defense-ops№ 901
Banda de Ransomware
Grupo cibercriminal con motivacion economica que desarrolla, opera o distribuye ransomware para extorsionar organizaciones cifrando archivos y amenazando con filtrar datos.
- defense-ops№ 268
Cibercrimen como Servicio (CaaS)
Modelo del bajo mundo en el que vendedores especializados ofrecen herramientas, infraestructura o experiencia para que los clientes ejecuten ciberataques sin desarrollar capacidades propias.
- attacks№ 821
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.
- malware№ 531
Info stealer
Malware que recolecta credenciales, cookies, tokens, monederos de criptomonedas y otros datos sensibles del dispositivo infectado y los envía al atacante.
- attacks№ 232
Relleno de credenciales
Ataque automatizado que reutiliza grandes listas de usuario/contraseña filtradas en un servicio contra otros, explotando la reutilización de contraseñas para tomar cuentas.
- malware№ 902
Ransomware como servicio (RaaS)
Modelo de negocio criminal en el que los operadores de ransomware alquilan su malware e infraestructura a afiliados, que ejecutan los ataques y comparten las ganancias.
● Véase también
- № 624LockBit
- № 215Ransomware Conti
- № 099BlackCat / ALPHV
- № 535Acceso Inicial
- № 098Hacker de Sombrero Negro
- № 271Dark Web
- № 664Ransomware Medusa