Blog Blog

Perfil integral — Betway

November 27, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
DarkWeb
Perfil integral — Betway

1. Portada ejecutiva (BLUF)

BLUF
betway opera como broker de datos y accesos a CRM orientado a plataformas B2C (software, real estate, manufactura, cripto y salud), con varios incidentes confirmados en 2025 que involucran millones de registros expuestos o comercializados.

Ventana temporal de análisis

  • Periodo: noviembre 2024 – noviembre 2025
  • Énfasis: Q2–Q3 2025, donde se concentran los casos mejor documentados

Puntos clave para liderazgo

  • Actor claramente orientado al negocio como data broker / access broker, sin agenda política visible.
  • Foco en bases de datos y acceso a CRM de empresas B2C con alta densidad de PII.
  • Incidentes destacados: Avid Technology (>10 M registros), Ciputra Group (~600 k registros) y un fabricante alemán (~188 k registros).
  • Ofertas de datos de plataformas de trading cripto “AI” (~79 k usuarios) y organizaciones de salud/e-commerce.
  • Riesgo alto de phishing dirigido, fraude financiero y espionaje industrial a partir de los datos comercializados.

2. Identidad y motivación del actor

Alias y presencia

  • Alias principal: “betway”, utilizado de forma consistente en anuncios y reportes de terceros.
  • Actividad asociada a foros de compraventa de bases de datos, servicios de “data leak / threat intel” y canales de mensajería utilizados para negociación privada.

Rol en el ecosistema criminal

  • Perfil típico de data broker / access broker:
    • Publica anuncios de “full database” y “database + CRM access”.
    • Comercializa datasets de múltiples organizaciones y sectores.
    • En algunos casos incluye acceso persistente al CRM además del dump estático.

Motivación principal

  • Motivación claramente económica:
    • Precios relativamente bajos para volúmenes masivos de datos (bases de cientos de miles de registros por algunos cientos de dólares).
    • No se observan manifiestos ideológicos ni campañas de “naming & shaming” al estilo de grupos de ransomware.
  • Sin señales sólidas de alineamiento geopolítico; el patrón encaja con cibercrimen oportunista centrado en monetizar PII y contactos corporativos.

3. Modelo de negocio y TTPs principales

3.1 Modelo de negocio

  • Targeting:
    • Empresas con grandes bases de usuarios/clientes.
    • Organizaciones que dependen de CRMs y plataformas de marketing/ventas expuestas o integradas vía SaaS.
  • Producto principal:
    • Dumps de bases de datos (SQL/CSV/JSON) con PII y datos de cuenta.
    • Acceso a CRMs (lectura y exportación) con información de clientes, leads o usuarios.
  • Sectores afectados (últimos 12 meses):
    • Software / SaaS (Avid Technology).
    • Real estate (Ciputra Group, Indonesia).
    • Manufactura (fabricante alemán no nombrado públicamente).
    • Cripto / trading algorítmico.
    • Salud / advisory y e-commerce (incluyendo retail de moda en India).

3.2 Vectores probables de intrusión

Los reportes públicos se centran en la venta de datos, no en el detalle técnico del compromiso. A partir de la naturaleza de los datos y patrones del mercado:

  • Exploit de aplicaciones expuestas (probable)
    • Compromiso de portales web / APIs que exponen CRMs o bases de datos.
    • Encaja con la presencia de tablas completas y campos típicos de backend/CRM.
  • Uso de credenciales válidas (probable)
    • Algunos anuncios destacan acceso vivo a CRM, lo que sugiere abuso de cuentas con privilegios elevados (admin, marketing, ventas).
  • Funneling desde logs de info-stealers (hipótesis)
    • La abundancia de credenciales corporativas en logs de stealers hace plausible que una parte de los accesos provenga de este ecosistema y sea revendida a brokers como betway.

3.3 Infraestructura y canales

  • Uso de foros underground y servicios de “threat intel” donde se listan bases de datos por sector, país y volumen.
  • Probable uso de mensajería cifrada para cierre de ventas y soporte post-compra.
  • No se observan marcas propias de ransomware ni “leak sites” asociados directamente al alias, reforzando el rol de proveedor de datos/accesos, no de extorsionista directo.

4. Mapeo MITRE ATT&CK

ATT&CK_version: Enterprise (v18.x)

Algunas técnicas son evidentes por el tipo de datos; otras se listan como hipótesis razonable.

Reconocimiento (supuesto)

  • T1595 – Active Scanning: búsqueda de aplicaciones y paneles expuestos.
  • T1590 – Gather Victim Network Information: mapeo de superficie externa de CRMs/SaaS.

Acceso inicial (probable)

  • T1190 – Exploit Public-Facing Application: explotación de vulnerabilidades en portales web/API.
  • T1078 – Valid Accounts: abuso de credenciales con acceso a CRM/bases de datos.
  • T1110 – Brute Force: intentos de fuerza bruta/credential stuffing sobre paneles de autenticación.

Ejecución y acceso a datos (hipótesis)

  • T1059 – Command and Scripting Interpreter: scripts para extracción masiva desde DB.
  • T1071 – Application Layer Protocol: uso de HTTP(S) para movimiento de datos.

Exfiltración (altamente probable)

  • T1074 – Data Staged: preparación de dumps SQL/CSV antes de la exfiltración.
  • T1567 – Exfiltration to Cloud Storage / Web Service: uso de servidores intermedios o servicios de almacenamiento.

Monetización / post-compromiso

  • Venta de datasets en foros y canales privados, a veces con muestras de prueba, pagos por escrow y paquetes segmentados por país o sector.

5. Cadena de ataque típica (modelo)

Selección de objetivo

  • Identificación de organizaciones B2C con gran cantidad de clientes y fuerte dependencia de CRMs.

Exploración de superficie expuesta

  • Enumeración de portales de clientes, paneles administrativos, APIs públicas e integraciones SaaS.

Compromiso de credenciales o aplicaciones

  • Explotación de vulnerabilidades en aplicaciones expuestas.
  • Uso de credenciales filtradas o robadas para acceder al backend/CRM.

Acceso a base de datos / CRM

  • Escalado de privilegios dentro de la aplicación para obtener capacidad de exportación masiva.
  • Identificación de tablas y vistas con PII y datos de cuenta.

Exfiltración

  • Exportaciones de alto volumen (SQL/CSV/JSON) empaquetadas para venta.
  • Segmentación por país, producto o tipo de cliente para aumentar el valor comercial.

Monetización

  • Publicación de anuncios detallando volumen de registros, campos disponibles, sector y país.
  • Venta directa o por intermediarios, sin negociación visible con la víctima legítima.

6. Datos comprometidos e impacto sectorial

Tipos de datos expuestos (ejemplos)

  • Identificadores personales: nombres completos, direcciones, ciudades, fechas de nacimiento.
  • Contactos: teléfonos móviles, correos electrónicos, a menudo únicos por registro.
  • Datos de cuenta/negocio:
    • Roles, departamentos y atributos de cuentas en plataformas SaaS.
    • Métricas financieras o de uso asociadas a cuentas en soluciones de software.
  • Salud y servicios profesionales: datos de contacto de pacientes/clientes de servicios de salud/advisory.

Impacto por sector

  • Software / SaaS (Avid Technology):
    • Exposición de datos de usuarios corporativos y creativos.
    • Incremento del riesgo de phishing dirigido, compromiso de cuentas y BEC.
  • Real estate (Ciputra Group):
    • Datos de clientes con alto valor de ticket.
    • Potencial para fraude inmobiliario, scams de “reservas” y suplantación de agentes.
  • Manufactura (fabricante alemán):
    • PII de empleados/partners de la cadena industrial.
    • Posibilidad de ingeniería social contra proveedores y espionaje competitivo.
  • Cripto / trading algorítmico:
    • Perfiles de usuarios de plataformas de inversión con teléfonos y correos.
    • Riesgo elevado de robo de cuentas, scams de inversión y distribución de malware financiero.
  • Salud / e-commerce:
    • Volúmenes menores pero en sectores regulados.
    • Impacto potencial en privacidad, cumplimiento normativo y reputación.

7. Indicadores técnicos observados (nivel alto)

Formato de datos

  • Dumps SQL con estructuras completas de tabla.
  • CSV/JSON exportados desde CRMs, incluyendo campos de marketing, actividad y segmentación.

Patrones en los anuncios

  • Mención explícita de:
    • Volumen de registros (decenas o cientos de miles, hasta más de 10 millones).
    • Campos disponibles: nombres, teléfonos, correos, direcciones, datos de cuenta.
    • Segmentación regional por país y tipo de cliente.

Canales

  • Listados recurrentes en:
    • Servicios de threat intel y “data leak” que agregan anuncios de venta.
    • Foros donde se comercian bases corporativas, muchas veces con muestras de 10–100 filas.

En un entorno corporativo, la detección se orienta más a monitorizar menciones de marca y patrones de exfiltración que a IOCs estáticos (IPs/dominios).

8. Casos representativos (últimos 12 meses)

Avid Technology (software / colaboración, EE. UU.) – Mayo 2025

  • betway atribuye la exfiltración de más de 10 millones de registros de usuarios.
  • Datos de contacto, fechas de nacimiento, roles/departamentos y métricas asociadas a cuentas.

Ciputra Group (real estate, Indonesia) – Q2 2025

  • Exposición de aproximadamente 600 000 registros de clientes.
  • Nombres, teléfonos, correos y ciudades, con impacto en procesos de venta y postventa.

Fabricante alemán (manufactura, Alemania) – Agosto 2025

  • Publicación de alrededor de 188 000 registros, con más de 100 000 teléfonos y 100 000 correos.
  • Riesgo para la cadena de suministro y socios comerciales.

Plataformas de trading cripto “AI” – 2025

  • Venta de base de datos y acceso a CRM de múltiples plataformas de trading algorítmico.
  • Unos 79 000 usuarios afectados, con teléfono y correo únicos por registro, enfocados a campañas de inversión.

Sector salud y e-commerce

  • Venta de miles de registros de organizaciones de salud/advisory y acceso a e-commerce de moda en India.
  • Menor volumen, pero alto impacto en privacidad y cumplimiento.

9. Valoración de riesgo y tendencias

Riesgo actual

  • Alto para organizaciones con:
    • CRMs o paneles de clientes expuestos.
    • Integraciones SaaS mal configuradas.
    • Reutilización de credenciales administrativas.
  • La exposición de datos tipo betway:
    • Multiplica la superficie de phishing dirigido y BEC.
    • Facilita el trabajo de otros actores (fraudsters, afiliados de malware, operadores de ransomware).

Tendencias observadas

  • Consolidación de betway como marca de broker multivertical, reapareciendo en varios informes mensuales.
  • Comoditización del mercado de datos, con precios bajos que amplían la base de compradores.
  • Posible convergencia con ecosistema de ransomware:
    • Datasets de alta calidad (contactos, roles, métricas) son extremadamente útiles para la fase de selección y aproximación de víctimas.

Proyección a 6–12 meses

  • Proyección: aumento de listados asociados a betway en sectores B2C y SaaS, con datos cada vez más ricos (actividad, finanzas, perfiles completos de cuenta).
  • Probabilidad: alta.
  • Base: recurrencia del alias, diversidad de sectores afectados y relación volumen/precio atractiva para el mercado criminal.

10. Recomendaciones prácticas

10.1 Para liderazgo / CISO

  • Tratar la venta de bases de datos corporativas como un riesgo estratégico, no solo técnico.
  • Incluir escenarios de data brokers en ejercicios de riesgo y planificación de continuidad.
  • Asegurar presupuesto específico para:
    • Hardening de CRMs y aplicaciones de cara al público.
    • Pen-tests y revisiones periódicas sobre portales de clientes y paneles administrativos.

10.2 Para infraestructura / aplicaciones

  • Revisión prioritaria de superficie externa
    • Inventario de todas las aplicaciones expuestas que manejen datos de clientes/usuarios.
    • Retirar de internet paneles administrativos; acceso solo por VPN, SSO y MFA fuerte.
  • Hardening de CRMs y marketing platforms
    • Restringir exportaciones masivas a cuentas de servicio controladas.
    • Registrar exhaustivamente cada exportación (quién, cuándo, cuánto y qué).
  • Gestión de vulnerabilidades
    • Priorización alta para CVEs que afecten a CRMs, ERPs, portales de clientes y middleware de bases de datos.

10.3 Para SOC / Threat Hunting / IR

  • Detección de exfiltración “silenciosa”
    • Alertas sobre consultas masivas a tablas de usuarios/clientes.
    • Detección de exportaciones de alto volumen desde interfaces web/CRM.
  • Monitoring de marca y activos
    • Búsqueda continua de:
      • Nombre de la organización + términos como “database”, “dump”, “CRM access”.
      • Asociaciones con alias de data brokers (incluyendo betway).
  • Playbooks específicos para data brokers
    • Contención rápida: rotación de credenciales, revocación de tokens de API, invalidación de sesiones.
    • Análisis de impacto en función de los campos comprometidos y obligaciones regulatorias.

11. Apéndices

11.1 Fuentes OSINT principales (sin URLs)

  • Informes mensuales de CTI que documentan filtraciones atribuidas a betway sobre Avid Technology y Ciputra Group.
  • Reportes técnicos que describen la venta de bases de datos y accesos a CRMs de plataformas de trading cripto “AI”.
  • Análisis sectoriales que mencionan listados de datos de fabricantes europeos, organizaciones de salud y e-commerce.
  • Servicios de agregación de leaks y “Proactive Threat Defence” que referencian repetidamente al alias betway como vendedor de bases corporativas.

11.2 Notas y limitaciones

  • El alias betway se utiliza aquí únicamente para referirse al actor criminal descrito en fuentes de CTI, no a marcas legítimas homónimas.
  • La falta de detalles completos sobre explotación obliga a modelar parte de las TTPs como hipótesis basadas en el tipo de datos robados.
  • Los IOCs concretos (IP, dominios, handles) no se incluyen en este documento y deberían obtenerse de feeds CTI especializados bajo políticas de uso controlado.
Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog