¿Quién fue arrestado en la redada contra el foro de cibercrimen XSS?

El 22 de julio de 2025, Europol anunció que una extensa investigación liderada por la Policía francesa concluyó con la detención de un administrador de 38 años del foro XSS, una plataforma de habla rusa que reunía a más de 50.000 miembros vinculados al cibercrimen. Esta operación ha desatado un torbellino de teorías, inquietudes y debates dentro de la comunidad del foro, centrados en descubrir la verdadera identidad del detenido. La mayoría de las conjeturas apuntan a un actor clave del entorno criminal digital conocido como “Toha”.

Aunque Europol no reveló públicamente el nombre del arrestado, sí difundió imágenes parcialmente difuminadas del operativo llevado a cabo en Kiev. Según el comunicado oficial, el sospechoso actuaba como intermediario de confianza entre cibercriminales, resolviendo disputas y garantizando la seguridad de las transacciones realizadas a través del foro. Por su parte, el Servicio de Seguridad de Ucrania (SBU) señaló que XSS alojaba a miembros de grupos de ransomware notoriamente peligrosos como REvil, LockBit, Conti y Qilin.

Reaparición del foro y teorías entre usuarios

Tras el anuncio de la operación, XSS reapareció en un nuevo dominio alojado en la red Tor. Sin embargo, al revisar las publicaciones más recientes, queda claro que la comunidad sigue dividida respecto a la verdadera identidad del administrador detenido. A pesar de ello, la mayoría de los mensajes publicados expresan apoyo y solidaridad hacia Toha, nombre que ha sido utilizado por el supuesto administrador de XSS y de otros foros similares.

Desde la redada, las cuentas asociadas a Toha en diversos foros han permanecido inactivas. Europol mencionó que el sospechoso acumulaba cerca de dos décadas de actividad en el cibercrimen, lo cual encaja con la trayectoria conocida de Toha.

• Co-fundador en 2005 del foro Hack-All, renombrado como Exploit[.]in tras un ataque.
• En 2018 vendió el foro Exploit, lo que generó rumores de vínculos gubernamentales.
• También en 2018, se lanzó xss[.]is, sucesor de DaMaGeLaB, y Toha fue identificado como su administrador.

Pistas sobre la identidad de Toha

Según registros analizados por Intel 471, Toha usó el correo toschka2003@yandex.ru en múltiples foros y registros de dominios. Muchos de estos dominios están asociados a los nombres Anton Medvedovskiy y Yuriy Avdeev.

El apellido Avdeev fue mencionado por Lockbitsupp, líder del grupo LockBit, como el verdadero nombre de Toha: Anton Viktorovich Avdeev, nacido el 27 de octubre de 1983. Sin embargo, esto no concuerda con la edad del arrestado (38 años), lo que sugiere que podrían ser personas distintas.

¿Y si fue Anton Medvedovskiy?

Medvedovskiy aparece en registros oficiales ucranianos como nacido en 1987, coincidiendo con la edad declarada por Europol. Además, se halló una cuenta de Airbnb vinculada a su correo y una fotografía similar al sospechoso capturado.

En 2005, Toha declaró en un foro que acababa de terminar el bachillerato, lo que coincide con la edad que tendría Medvedovskiy entonces.

La caída de la confianza en la comunidad cibercriminal

Tras la reapertura del foro XSS en Tor:

• Se eliminaron moderadores previos.
• Se perdieron saldos de usuario.
• Se exigió un nuevo depósito para registrarse.

La comunidad teme que las autoridades hayan accedido a años de conversaciones privadas, historiales y bases de datos. También preocupa el acceso a thesecure[.]biz, servidor Jabber utilizado por ciberdelincuentes.

“El mito del ‘usuario de confianza’ se ha roto. El foro está en manos de desconocidos. Tienen todo: logs del servidor Jabber durante dos años, respaldo completo y base de datos del foro.”

Además, se teme que herramientas de análisis e inteligencia artificial estén siendo utilizadas para rastrear identidades reales mediante patrones digitales.

Conclusión: ¿Fin de una era?

Todo apunta a que el detenido podría ser Anton Medvedovskiy, aunque aún se debate. Lo cierto es que esta operación ha dejado una profunda huella en el mundo del cibercrimen, quebrando la sensación de anonimato que imperaba en estos espacios.

El caso XSS demuestra que, incluso en la darknet, la impunidad tiene fecha de caducidad.