Los hackers que tumbaron la administración digital de Melilla pagaron 5 euros por las claves

Cinco euros. Ese fue el precio que costó la contraseña que sirvió como puerta de entrada al ciberataque que sufrió la Ciudad Autónoma de Melilla en junio de 2025, un incidente que provocó un apagón informático y obligó a paralizar durante semanas buena parte de la actividad administrativa. La revelación la hizo el director general de la Sociedad de la Información de Melilla, Pablo Martínez, durante una jornada formativa sobre ciberseguridad dirigida a empresas y ciudadanos.

Según explicó, la credencial formaba parte de un lote de más de 500 usuarios y contraseñas robados que se comercializaba en mercados clandestinos de internet por apenas cinco euros. La cifra salta a la vista por la enorme diferencia entre el coste del acceso y las consecuencias posteriores. Un desembolso mínimo para un incidente que afectó a sistemas esenciales de la administración y cuya recuperación todavía no se ha completado al cien por cien.

El episodio vuelve a subrayar una realidad que preocupa desde hace años a expertos en ciberseguridad: el negocio de las credenciales robadas. Millones de usuarios y contraseñas procedentes de filtraciones acaban circulando por foros y mercados clandestinos, donde pueden adquirirse por cantidades muy reducidas. En muchos casos, los delincuentes no necesitan desarrollar técnicas especialmente sofisticadas. Les basta con aprovechar errores cotidianos cometidos por los propios usuarios.

Un mercado alimentado por filtraciones

Cuando una empresa, una plataforma digital o un servicio online sufre una brecha de seguridad, una de las consecuencias más habituales es la exposición de credenciales de acceso. Esos datos pueden terminar agrupados en grandes bases de información que posteriormente circulan por distintos canales clandestinos de internet.

Los expertos en ciberseguridad distinguen entre la denominada internet profunda, formada por contenidos que no aparecen indexados en buscadores convencionales, y la dark web, un entorno diseñado para preservar el anonimato de usuarios y servicios. Es en este último espacio donde operan numerosos mercados dedicados a la compraventa de información robada, desde cuentas de usuario hasta documentos personales o accesos corporativos.

La comercialización de credenciales sustraídas se ha convertido en una actividad habitual dentro de la economía del cibercrimen. Los atacantes suelen adquirir grandes lotes de usuarios y contraseñas procedentes de filtraciones previas para comprobar posteriormente si esas mismas claves siguen funcionando en otros servicios.

El negocio de la identidad robada mueve cantidades llamativas. Cuanto mayor sea la capacidad de fraude y la persistencia de una información, mayor será su precio en el mercado negro digital. Un análisis de la firma canadiense de ciberinteligencia Flare revela que, en la cúspide de estos mercados clandestinos, se sitúan los historiales médicos personales, que alcanzan una media de 300 dólares por registro debido a que son datos inmutables que facilitan estafas de seguros y suplantaciones de identidad a largo plazo.

Les siguen de cerca los códigos PIN, cotizados en unos 196 dólares por su alta liquidez para realizar retiros de dinero inmediatos. En otro nivel se sitúan las cuentas bancarias (69 dólares) y las licencias de conducir (67 dólares). Por el contrario, las tarjetas de crédito tradicionales tienen un valor muy inferior, de apenas 17 dólares, condicionado a la rapidez con la que el usuario cancele el servicio. En la base de esta pirámide, los números de la Seguridad Social se devalúan hasta los 4 dólares debido a la saturación de filtraciones masivas, mientras que las direcciones de correo e IP se venden como mercancía barata para campañas de phishing por menos de un dólar.

El riesgo de reutilizar las mismas claves

Durante la jornada celebrada en Melilla, Pablo Martínez insistió en una práctica que sigue siendo frecuente tanto en entornos personales como profesionales: utilizar el mismo usuario y la misma contraseña en distintos servicios digitales.

Recordar una única clave resulta más cómodo que gestionar varias decenas. Sin embargo, esa comodidad también multiplica los riesgos. Si una página web sufre una filtración y las credenciales quedan expuestas, los delincuentes pueden probar automáticamente esas mismas combinaciones en correos electrónicos, aplicaciones corporativas o plataformas de acceso remoto.

Ese fenómeno, bien conocido en el ámbito de la ciberseguridad como reutilización de credenciales, se ha convertido en una de las principales vías de acceso para numerosos ataques.

Por ese motivo, los expertos recomiendan utilizar contraseñas distintas para cada servicio y reforzar la protección mediante sistemas de doble autenticación. De esta forma, aunque una clave termine expuesta en una filtración, el acceso a la cuenta seguirá requiriendo una segunda verificación.

Cuando una contraseña desencadena una crisis

El ataque registrado el 22 de junio de 2025 provocó la caída de los sistemas informáticos de la Ciudad Autónoma y obligó a suspender numerosos procedimientos administrativos. Los atacantes lograron además sustraer entre tres y cuatro terabytes de información y exigieron posteriormente un rescate económico.

Doce meses después, la recuperación todavía continúa. Según explicó Martínez, esta semana se culminó uno de los procesos pendientes con la restauración completa del sistema de correo corporativo mediante nuevas medidas de protección basadas en la autenticación reforzada y otros mecanismos de seguridad.

Los datos reflejan que la amenaza sigue presente. Según las estadísticas del Ministerio del Interior consultadas por THE OBJECTIVE, durante el primer trimestre de 2026 se registraron en Melilla 140 infracciones relacionadas con la cibercriminalidad, de las que 101 correspondieron a estafas informáticas y 39 a otros ciberdelitos. En Ceuta, por su parte, este tipo de delitos aumentó un 25,6 % respecto al mismo periodo del año anterior.

Los especialistas advierten, además, de que las credenciales robadas pueden seguir circulando durante años antes de ser utilizadas. Una contraseña obtenida en una filtración antigua no pierde necesariamente su valor si el usuario continúa empleándola o mantiene asociados los mismos accesos. Esa persistencia explica por qué las bases de datos robadas siguen siendo uno de los productos más demandados dentro de la economía del cibercrimen.