Si alguien está vendiendo esta semana el acceso a su red en un foro ruso, el precio probable está entre 500 y 3.000 dólares. Y casi seguro que el vector inicial no fue una vulnerabilidad ni un correo sofisticado: fue el portátil de un contratista, infectado con un infostealer hace cuarenta y ocho horas, que vació las contraseñas del navegador en un canal de Telegram antes de que TI abriera el correo del lunes.
Más del 80% de los listados IAB que circulan ahora en foros como XSS o RAMP nacen de logs de infostealer, no de explotación de CVEs. El problema no está en parches: está en cualquier persona externa que se conecte a su VPN.
Qué es un Initial Access Broker
Un IAB no despliega ransomware. Lo vende. Su producto es una credencial válida, una sesión RDP, un punto de apoyo en la VPN, una cookie de SSO o, en el peor de los casos, un tenant M365 entero. El comprador típico es un afiliado de Ransomware-as-a-Service que monetiza el acceso en 24-72 horas. Comprar accesos colapsa el time-to-impact: cuando el operador entra, el reconocimiento ya está hecho.
La economía es reveladora. Un usuario VPN en una PYME de servicios cuesta 500-1.500 USD; el precio modal para una PYME española grande ronda los 2.700 USD; un domain admin en manufactura mediana supera los 8.000; un tenant M365 con Global Admin se mueve en decenas de miles. Comprar el acceso a su empresa es, casi siempre, más barato que un día de inactividad si ese acceso acaba con Akira o Qilin.
Tres núcleos IAB dominaron la ventana 27 ene → 27 abr 2026: Bl4ckB1rD/Robinhood, BlueScreen y Alpha/DGJT. Si su SOC nombra alguno, esa notificación es para el mismo día.
La cadena de 48 a 72 horas
La secuencia que describe la literatura abierta (KELA, Constella, Microsoft Security, Mandiant M-Trends 2026) tiene una cadencia consistente:
T₀: alguien, normalmente un contratista, hace clic en un señuelo (ClickFix, instalador troyanizado, malvertising en Google) y un infostealer (Lumma, Vidar o StealC) corre en segundo plano. En quince minutos se lleva contraseñas, cookies de sesión, tokens MFA, configuraciones VPN y wallets, y lo envía a infraestructura del operador.
T₀ + 1 a 24 horas: el log se parsea y aparece en canales de Telegram a los que los IABs están suscritos. Constella sitúa la mediana en 24 horas; KELA observa entradas en fresh log channels en menos de una.
T₀ + horas a días: las credenciales valiosas se publican en foro IAB con precio según factura, privilegio y sector.
T₀ + 24 a 72 horas: un afiliado RaaS compra el bundle, valida acceso, despliega ransomware. El caso primario de la ventana, SafeRain (Qilin, leak site 20 abril), sitúa T₀ → publicación en 30-45 días. Pero el handoff IAB → operador se cierra en horas.
Esa ventana de 2 a 48 horas es la parte que los SOCs todavía no están midiendo bien. Una rotación manual de credenciales o una revisión trimestral llegan tarde por construcción.
Lo que se vende sobre empresas españolas ahora mismo
Sin nombres, sólo cifras observadas al cierre de la ventana.
INCIBE cerró 2025 con 122.223 incidentes gestionados, un 26% más que el año anterior; coste medio PYME de un incidente de ransomware: 80.000-150.000 €. CCN-CERT (Informe 2024-2025) reporta +15% en oferta IAB y +32% en operaciones de ransomware contra objetivos españoles. Ransomware.live acumula 381 víctimas con dominio .es y publicó cuatro nuevas en las cuatro semanas previas al cierre: un embotellador de bebidas, un fabricante de carrocería industrial, una textil grande con atribución en disputa, y un fabricante de maquinaria caído por Qilin. Tres de cuatro son industria, lo que no sorprende: ZeroFox sitúa la manufactura en el 20% del ransomware global del trimestre.
Para Castilla y León no hay al cierre evidencia directa pública de víctima regional. La lectura se construye por exposición sectorial: cooperativas vitivinícolas, cárnicas y lácteas; el ecosistema de Renault Valladolid y sus proveedores Tier 1/2 en Palencia y Burgos; logística inland Aranda-Burgos-Miranda; administración pública local; y el tejido de PYME con controles de acceso externo flojos. Para el modelo IAB ese perfil es indistinguible del agregado español. El comprador no piensa en CyL como objetivo geográfico, sino como sector × tamaño × postura de control externo. De eso hay decenas de miles en la región.
Dos controles que rompen la cadena
ATALIX SOC mantiene un modelo probabilístico para este arquetipo: 50-500 empleados, sede o planta en CyL, dos personas en TI, EDR corporativo sin cobertura en contratistas, MFA parcial. Banda central a 90 días: 5,05% (extremos 0,72%-19,6%); anualizada central: 18,7%. El detalle está en el informe enlazado al pie. La conclusión que mueve aguja es que dos controles, aplicados en serie, bajan ese 18,7% al 2,2% anual.
El primero es MFA resistente al phishing (FIDO2 o passkeys) en absolutamente todos los servicios externos: VPN, RDWeb, Citrix, M365, Google, ERP, CRM. El bundle de cookie de sesión + token MFA que roba el infostealer pierde valor si el atacante no puede replicar el segundo factor desde su navegador. Coste anualizado para 200 personas: 4.000-8.000 €. Pérdida media evitada por incidente (rango INCIBE): 80.000-150.000 €. La aritmética aguanta aunque doble el coste.
El segundo es monitorización de credenciales filtradas con SLA <12 h e invalidación automatizada: un feed integrado con el IDP, con rotación forzada cuando aparece un hash o usuario corporativo. Coste anual: 6.000-12.000 €. Cierra la ventana de 2-48 h en la que la credencial es monetizable.
Añadiendo EDR/MDR a contratistas, donde se origina la cadena, el riesgo anual cae al 1,1%.
NIS2 y por qué la conversación sale del equipo de TI
La transposición española de NIS2 (Anteproyecto de Ley de Coordinación y Gobernanza de Ciberseguridad, enero 2025) introduce responsabilidad personal del directivo por incumplimiento de obligaciones de ciberseguridad. Sigue pendiente de aprobación parlamentaria, pero el sentido de la norma no va a moverse demasiado.
La asimetría favorable de la primera recomendación ya era clara en términos económicos. Con la responsabilidad personal directiva sobre la mesa, dejar un servicio externo con contraseña + push MFA deja de ser decisión de presupuesto de TI. Es una decisión que aparecerá, eventualmente, en una pieza del juzgado.
Nuestra recomendación práctica para quien dirige una PYME en CyL hoy es pedir a TI dos cosas concretas. Primero, el inventario de servicios externos cuya autenticación todavía se basa en contraseña + push MFA. Segundo, el tiempo medido desde que se detecta un infostealer en un endpoint hasta que las credenciales asociadas se rotan de verdad. Si la primera lista no está vacía, o si el segundo número no se mide en horas, esa es la conversación que toca tener con su SOC esta semana.