El negocio de la venta de datos de los asistentes a eventos: EuskalHack Security Congress, Sport Summit Madrid y muchos, muchos más
En uno de esos buzones de correos que tengo yo para pruebas he comenzado a recibir en los últimos tiempos ofertas – una tras otra – para comprar datos de asistentes a eventos. No uno, ni dos, sino una larga lista de eventos de los que se ponen a la venta los datos personales y de contacto de los asistentes, y algunos de ellos conocidos por mí.
Figura 1: El negocio de la venta de datos de los asistentes a eventos.
EuskalHack Security Congress, Sport Summit Madrid y muchos más.
El mensaje es muy sencillo, viene desde una cuenta de Gmail «random» firmado por una persona cualquiera – y siempre diferente – pero el formato del mensaje es siempre el mismo.
Figura 2: Venta de Datos de EuskalHack Security Congress
Como podéis ver, el asunto es tan «tricky» que venden datos de conferencias de hacking y espíritu CON, como es el próximo EuskalHack Security Congress que se hará la semana que viene en San Sebastián, es decir, incluso antes de que tenga lugar.
Figura 3: Venta de datos del Congreso APEX FTE Acilliary & Retailing 2026 en Dublin
Como podéis ver, los datos están a la venta antes de que se realice el congreso, así que entiendo que estos deben venir de algún partner de la tiquetera, o de los propios servicios de la tiquetera que se está utilizando para vender las entradas.
Figura 4: Venta de datos de MOVE Middle East 2026
Yo he ido a ver las tiqueteras que utilizaban algunos de estos eventos, y no son la misma, así que o todas tienen servicios de compra de datos, o bien en los Terms & Conditions cuando se sacan las cuentas los eventos, aceptan que la tiquetera puede hacer uso de esos datos, y hay empresas gente que los están comercializando masivamente, para después comprárselo a la tiquetera.
Figura 5: Venta de datos del Pure London x JATC Summer 2026
Si no es la tiquetera, la alternativa es que hubiera un patrocinador común, con acceso a los datos, a todos estos eventos, pero no hay ninguno que yo vea que esté en todos, y dudo que ellos tengan acceso a los datos hasta que termine el evento.
Figura 6: Venta de datos de Forward Festival Frankfurt 2026
Me podría pasar el día dejándoos aquí ofertas de venta de datos de eventos que no han tenido lugar aún, pero que ya se están comercializando. No os voy a dejar todos, pero sí una gran muestra de ellos porque quiero que entendáis que esto no es algo puntual, sino práctica común y habitual.
Figura 7: Venta de datos de evento Offprice 2026
Además, tampoco hay una temática concreta, y se venden datos de todo tipo de eventos, incluido – como os he dejado al principio – eventos de hacking y ciberseguridad, lo que no deja de ser llamativo.
Figura 8: Venta de datos de Food 4 Future World Summit en Bilbao
Si antes os había dejado un evento en San Sebastián, pues justo el anterior tuvo lugar en Bilbao, que en este caso es un evento pasado, pero del que recibí la oferta de compra justo antes de que se realizara. No está mal de datos que son más de once mil.
Figura 9: Venta de datos de «IGSX iGaming Customer Experience Summit 2026.
Otro evento para el día de mi cumpleaños.
Estos mensajes, como podéis ver, dan una muestra además de qué tamaño tiene el evento y de cuánto de exitoso ha sido en los registros, ya que para hacer más «apealing» la oferta, te indica en el correo el número de asistentes. Estos debemos entender que son «registrados» y no «asistentes» porque aún no han tenido lugar los eventos.
Figura 10: Venta de datos del Sports Summit Madrid
Como se puede ver, en muchos casos, como en el ejemplo anterior, estos datos llevan el correo electrónico y el número de teléfono, lo que deja mucho de tu vida digital al descubierto. Estas bases de datos, luego alimentan a las plataformas de venta de datos asociados al Linkedin, y sufrimos spam telefónico masivo todos los que de una manera u otra caemos, por desgracia, en ella.
Figura 11: Venta de datos del evento SIL Barcelona
Estos «Data Brokers» se alimentan de todos estos datos, y esta información, en un mundo IA-First, seguro que son muy golosos para entrenar modelos de IA para el mundo del cibercrimen, o para crear Agentic AI de Hacking de compañías que tiren de un RAG/GrapRAG donde tienen los datos de los empleados de las compañías.
Figura 12: Venta de datos del evento SIMAPRO Madrid 2026
Así, con estas bases de datos a mano, los Agentic AI de Red Teaming pueden hacer Spear Phishing en lugar de hacer Spam Phishing, o directamente llamarles por teléfono para encontrar la debilidad humana en el organización y conseguir colarse.
Figura 13: Venta de datos de Reset Connect 2026 en Londres
Insisto, no son todos los correos con todas las oferta de venta de datos que he recibido, pero sí que he querido que pudierais tener una representación larga de estos, para que entendáis que probablemente casi cualquier evento acabe aquí.
Figura 14: Venta de datos del evento Healthcare Leadership Quorum en Texas
Visto esto, hay que intentar no dar tu número de teléfono ni tu dirección de correo electrónico que pueda se utilizada para robar tu identidad o hacerte ataques automáticos, y ya os contaré lo que estamos construyendo en MyPublicInbox para atacar este problema. Seguro que os mola.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Powered by WPeMatico
