Hace unos días, por este medio, Edgardo Glavinich nos daba un pantallazo sobre cómo funciona el mercado negro de datos personales en América Latina, y las cifras colosales que se mueven en él. Tal como concluyó la OEA, este comercio clandestino suma alrededor de 90.000 millones de dólares al año y crece a un ritmo del 25%. Una cifra por demás alarmante. Y en este escenario las criptomonedas juegan un rol central: son el medio de cambio para comprar y vender datos robados sin pasar por la banca convencional y esquivando cualquier tipo de regulación.

Criptomonedas: Bitcoin, Monero y Stablecoins

Bitcoin es la criptomoneda más conocida, pero su blockchain pública no impide el rastreo de transacciones. Por eso muchos atacantes recurren a monedas de privacidad como Monero (XMR), cuyas transacciones ocultan montos y direcciones, impidiendo casi por completo su seguimiento. Un caso reciente ilustra este proceder: en Uruguay se identificó una filtración de 574.600 datos personales ofrecidos en venta exclusivamente a cambio de Monero, por un total de USD 27,000. Además, los criptoactivos denominados “Stablecoins” (por ejemplo, USDT o USDC, cuyo valor está vinculado al valor de la moneda de curso legal) se emplean para mantener el valor del botín sin exponerse a la volatilidad propia del ecosistema. De hecho, la plataforma Chainalysis reporta que alrededor del 63% del volumen ilícito en criptomonedas corresponde hoy a stablecoins. Esto coincide también con que en Latinoamérica las stablecoins han ganado enorme popularidad: un informe de mercado indica que en 2025 representaban casi la mitad del comercio cripto regional. En la práctica, muchos grupos criminales terminan convirtiendo sus ganancias en monedas estables para luego moverlas sin fluctuaciones.

Plataformas clandestinas: Darknet, Telegram y Foros especializados

Los datos robados se comercializan en múltiples canales ocultos. Foros clandestinos en la dark web como Exploit o XSS y sitios como BreachForums permiten a los ciberdelincuentes ofertar bases de datos y accesos a sistemas a cambio de pagos en criptomonedas. Estos portales cobran cuotas de afiliación (a veces en Bitcoin u otro criptoactivo) y funcionan como mercados de datos robados. Sin embargo, los criminales han expandido sus operaciones a redes más accesibles: Telegram es hoy un canal clave. Por ejemplo, recientemente se descubrió en México la existencia de un bot que vendía “paquetes de identidad” completos (credenciales otorgadas por el Instituto Nacional Electoral, licencias de conducir, selfies, fotos de automóviles) por apenas 134 pesos (aproximadamente 7 USD). El proceso era totalmente automatizado: el usuario elegía la identidad deseada, pagaba con criptomonedas y recibía los datos al instante.

Así, datos sensibles cruzan fronteras y plataformas: desde mercados .onion hasta aplicaciones de mensajería cifrada, los delincuentes aprovechan cualquier vía disponible para difundir sus “catálogos” de información.

Blanqueo Blockchain: Mixers, DEX y Redes P2P

Para ocultar el rastro del dinero ilícito, los atacantes usan servicios de mezcla (mixers). Estos servicios combinan fondos de múltiples usuarios para romper la relación entre emisor y receptor, una técnica clásica en el proceso del lavado de activos. Como explica ESET, los mixers “mejoran el anonimato” al mezclar criptomonedas en transacciones complejas. Un ejemplo son los servicios tipo Tornado Cash (en Ethereum), usados hasta por hackers norcoreanos. En 2022 la OFAC (Tesoro de EE.UU.) sancionó a Tornado Cash por lavar millones robados en ataques cibernéticos. Además, los delincuentes emplean exchanges descentralizados (DEX) y redes de pagos p2p sin intermediarios ni verificaciones KYC. De acuerdo con Chainalysis, la actividad criminal en estos intercambios sin custodia se disparó recientemente, siendo casi cinco veces más riesgosa que en exchanges convencionales. Esta situación refleja cómo los hackers explotan las finanzas descentralizadas: convierten Bitcoin o Monero en altcoins y stablecoins en DEX, eluden controles bancarios y lavan fondos sin dejar trazas tradicionales.

Sofisticación criminal y vacío regulatorio

Las criptomonedas han elevado la sofisticación de los criminales regionales. Kaspersky señala que en 2023–2024 la proporción de usuarios latinoamericanos afectados por ransomware subió al 0.33%, ya que los ciberdelincuentes se enfocan en objetivos de alto valor (manufactura, gobierno, energía, retail). De hecho, tal como veíamos en el artículo de Edgardo, un ex asesor gubernamental mexicano advierte: “Los cárteles tienen herramientas que ni el gobierno posee. Compran exploits zero-day y operan desde bunkers digitales 24/7”. Así, las organizaciones criminales gestionan redes enteras de hacking. A su vez, la débil regulación en la región agrava el problema: América Latina es un “mosaico regulatorio” que facilita el crimen. Solo tres países (Argentina, Uruguay y Brasil) tienen hoy marcos parcialmente comparables al GDPR europeo, y muchos carecen de leyes fuertes o sistemas de alerta internacional eficaces. Esta fragmentación dificulta la trazabilidad de las cripto transacciones ilícitas y la persecución penal transfronteriza, consolidando un refugio virtual para los delincuentes.

Redes Globales: Cárteles, Ransomware y el Sistema “fei qian”

En este panorama participan tanto actores locales como redes globales. Cárteles latinoamericanos como el Cártel de Jalisco Nueva Generación CJNG (México) han invertido en especialistas informáticos, generando USD 500 millones anuales mediante su división “Crime-as-a-Service”. Bandas tradicionales (Mara Salvatrucha, Cártel de Sinaloa) reclutan hackers y operan canales internacionales de Telegram para traficar datos. Al mismo tiempo, grupos ransomware internacionales (LockBit, Rhysida, BlackCat) atacan hospitales y gobiernos. Por otro lado, existen mafias chinas/rusas que blanquean fondos en la región: según un estudio, las denominadas “redes chinas” utilizan el sistema fei qian (transferencias espejo entre bancos chinos) combinado con criptomonedas anónimas para mover unos 15,000 millones de dólares al año del cibercrimen latinoamericano. Estas redes canalizan el dinero ilícito a través de miles de empresas fachada, dificultando el seguimiento.

En conjunto, la convergencia de cárteles, grupos informáticos y redes transnacionales ha hecho de América Latina un mercado híbrido, donde el crimen orgánico y el cibercrimen se retroalimentan.

Medidas y Propuestas de Contención

Detener el avance de este modelo de “economía oscura” requiere medidas coordinadas. Los expertos abogan por regular más el ecosistema cripto: por ejemplo, obligar a los exchanges y plataformas de pago a aplicar reglas estrictas AML/KYC, para cortar canales anónimos de lavado. También se pide sancionar específicamente los servicios de anonimato: el gobierno de EE.UU. ya dio un ejemplo al prohibir a Tornado Cash por auxiliar el lavado de activos. En el ámbito regional, Edgardo Glavinich planteaba la necesidad de un “Plan Marshall Digital” para armonizar las leyes de datos (crear un “GDPR latinoamericano” con sanciones compartidas), elevar la inversión pública en ciberseguridad (al menos un 2% del presupuesto de TI) y crear centros de coordinación cibernética 24/7. La cooperación internacional necesariamente debe intensificarse –más países firmando convenios internacionales, intercambio automático de inteligencia y operaciones policiales conjuntas– para cerrar los refugios seguros. Asimismo, en el mundo empresarial, se exige mayor compliance: las fintech y los criptoexchanges deben monitorear transacciones sospechosas y ayudar a las autoridades. Finalmente, es necesario también enfatizar en la capacitación ciudadana: elaborar campañas de concientización y aplicar el uso obligatorio de autenticación multifactorial y buenas prácticas básicas de higiene digital (contraseñas únicas, actualizaciones constantes) son esenciales.

Solo combinando regulación cripto, controles en las plataformas de intercambio y cooperación global podremos reducir la impunidad que hoy sostiene el tráfico de datos robados en nuestra región.


Referencias

CiberPrisma. (2025, agosto 20). La economía invisible: El mercado negro de datos personales en América Latina. https://ciberprisma.org/2025/08/20/la-economia-invisible-el-mercado-negro-de-datos-personales-en-america-latina/

BeInCrypto. (s.f.). AGESIC Uruguay investiga filtración y venta de datos personales por Monero (XMR). https://es.beincrypto.com/agesic-uruguay-investiga-filtracion-venta-datos-personales-monero-xmr/

TecnetOne Blog. (s.f.). Identidades completas se venden en Telegram por solo 134 pesos. https://blog.tecnetone.com/identidades-completas-se-venden-en-telegram-por-solo-134-pesos

WeLiveSecurity. (2022, abril 29). Qué son los cripto mixers: servicio de anonimato de transacciones. https://www.welivesecurity.com/la-es/2022/04/29/que-son-cripto-mixer-servicio-anonimato-transacciones/

TRM Labs. (s.f.). The significance of Tornado Cash as a target of sanctions. https://www.trmlabs.com/es/resources/trm-talks/the-significance-of-tornado-cash-as-a-target-of-sanctions

Chainalysis. (2025). 2025 Crypto Crime Report: Introduction. https://www.chainalysis.com/blog/2025-crypto-crime-report-introduction/

Mexico Business News. (s.f.). Stablecoins account for 36% of Mexico’s crypto buys in 1H25. https://mexicobusiness.news/finance/news/stablecoins-account-36-mexicos-crypto-buys-1h25

Kaspersky LATAM. (s.f.). Aumento sostenido de los ataques de ransomware en América Latina. https://latam.kaspersky.com/about/press-releases/aumento-sostenido-de-los-ataques-de-ransomware-en-america-latina-kaspersky?srsltid=AfmBOoqVEjkinTc6iiVMga_inY7fnCaCBI0ucnXAkbSHHip9ypax__mt

Trend Micro. (s.f.). Across the span of the Spanish cybercriminal underground: current activities and trends. https://www.trendmicro.com/vinfo/es/security/news/cybercrime-and-digital-threats/across-the-span-of-the-spanish-cybercriminal-underground-current-activities-and-trends