El negocio de la venta de datos de los asistentes a eventos: EuskalHack Security Congress, Sport Summit Madrid y muchos, muchos más.

En uno de esos buzones de correos que tengo yo para pruebas he comenzado a recibir en los últimos tiempos ofertas - una tras otra - para comprar datos de asistentes a eventos. No uno, ni dos, sino una larga lista de eventos de los que se ponen a la venta los datos personales y de contacto de los asistentes, y algunos de ellos conocidos por mí.

Figura 1: El negocio de la venta de datos de los asistentes a eventos.

EuskalHack Security Congress, Sport Summit Madrid y muchos más.

El mensaje es muy sencillo, viene desde una cuenta de Gmail "random" firmado por una persona cualquiera - y siempre diferente - pero el formato del mensaje es siempre el mismo.  Así que puede ser perfectamente una ciberestafa creada alrededor de la venta de datos y que realmente no haya dato alguno.

Figura 2: Venta de Datos de EuskalHack Security Congress

Como podéis ver, el asunto es tan "tricky" que venden datos de conferencias de hacking y espíritu CON, como es el próximo EuskalHack Security Congress que se hará la semana que viene en San Sebastián, es decir, incluso antes de que tenga lugar. Algo que hace sospechar mucho porque los organizadores no están vendiendo ningún dato a nadie.

Figura 3: Venta de datos del Congreso APEX FTE Acilliary & Retailing 2026 en Dublin

Como podéis ver, los datos están a la venta antes de que se realice el congreso, así que entiendo que si existieran dichos datos estos deberían venir de algún partner de la tiquetera, o de los propios servicios de la tiquetera que se está utilizando para vender las entradas.

Figura 4: Venta de datos de MOVE Middle East 2026

Yo he ido a ver las tiqueteras que utilizaban algunos de estos eventos, y no son la misma, así que o todas tienen servicios de compra de datos, o bien en los Terms & Conditions cuando se sacan las cuentas los eventos, aceptan que la tiquetera puede hacer uso de esos datos, y hay empresas gente que los están comercializando masivamente, para después comprárselo a la tiquetera, o realmente es una estafa y punto.

Figura 5: Venta de datos del Pure London x JATC Summer 2026

Si no es la tiquetera, la alternativa sería que que hubiera un patrocinador común, con acceso a los datos, a todos estos eventos, pero no hay ninguno que yo vea que esté en todos, y dudo que ellos tengan acceso a los datos hasta que termine el evento. Así que huele mal.

Figura 6: Venta de datos de Forward Festival Frankfurt 2026

Me podría pasar el día dejándoos aquí ofertas de venta de datos de eventos que no han tenido lugar aún, pero que ya se están comercializando. No os voy a dejar todos, pero sí una gran muestra de ellos porque quiero que entendáis que esto no es algo puntual, sino práctica común y habitual este tipo de campañas.

Figura 7: Venta de datos de evento Offprice 2026

Además, tampoco hay una temática concreta, y se venden datos de todo tipo de eventos, incluido - como os he dejado al principio - eventos de hacking y ciberseguridad, lo que no deja de ser llamativo para hacer dudar sobre esto.

Figura 8: Venta de datos de Food 4 Future World Summit en Bilbao

Si antes os había dejado un evento en San Sebastián, pues justo el anterior tuvo lugar en Bilbao, que en este caso es un evento pasado, pero del que recibí la oferta de compra justo antes de que se realizara.  No está mal de datos que son más de once mil.

Figura 9: Venta de datos de "IGSX iGaming Customer Experience Summit 2026.

Otro evento para el día de mi cumpleaños.

Estos mensajes, como podéis ver, darían además una muestra de qué tamaño tiene el evento y de cuánto de exitoso ha sido en los registros, ya que para hacer más "apealing" la oferta, te indica en el correo el número de asistentes. Estos deberíamos entender que son "registrados" y no "asistentes" porque aún no han tenido lugar los eventos, así que todo muy raro.

Figura 10: Venta de datos del Sports Summit Madrid

Como se puede ver, en muchos casos, como en el ejemplo anterior, estos datos llevan el correo electrónico y el número de teléfono, lo que deja mucho de tu vida digital al descubierto. Estas bases de datos, si alguien las comercializa de verdad - que algunas se comercializan - luego alimentan a las plataformas de venta de datos asociados al Linkedin, y sufrimos spam telefónico masivo todos los que de una manera u otra caemos, por desgracia, en ella.

Figura 11: Venta de datos del evento SIL Barcelona

Estos "Data Brokers" se alimentan de todos estos datos conseguidos mediante compras, y esta información, en un mundo IA-First, seguro que son muy golosos para entrenar modelos de IA para el mundo del cibercrimen, o para crear Agentic AI de Hacking de compañías que tiren de un RAG/GrapRAG donde tienen los datos de los empleados de las compañías. 

Figura 12: Venta de datos del evento SIMAPRO Madrid 2026

Así, con estas bases de datos a mano, los Agentic AI de Red Teaming pueden hacer Spear Phishing en lugar de hacer Spam Phishing, o directamente llamarles por teléfono para encontrar la debilidad humana en el organización y conseguir colarse. Pero repito, no creo que estas ofertas lleven detrás  los datos realmente.

Figura 13: Venta de datos de Reset Connect 2026 en Londres

Insisto, no son todos los correos con todas las oferta de venta de datos que he recibido, pero sí que he querido que pudierais tener una representación larga de estos, para que entendáis que probablemente casi cualquier evento acabe aquí, entre otras cosas, porque puede que sean solo un gancho para la ciberestafa.

Figura 14: Venta de datos del evento Healthcare Leadership Quorum en Texas

Visto esto, por si acaso, hay que intentar no dar tu número de teléfono ni tu dirección de correo electrónico que pueda se utilizada para robar tu identidad o hacerte ataques automáticos, y ya os contaré lo que estamos construyendo en MyPublicInbox para atacar este problema. Seguro que os mola.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)