Convierta la dark web en su sistema de alerta temprana

Imagine que es un ejecutivo de una aerolínea, sentado en su escritorio con una taza de café recién hecho un lunes por la mañana inusualmente tranquilo. Se siente renovado, relajado y listo para la semana que viene. 

A medida que se pone al día con su bandeja de entrada, el familiar tap-tap-tap de una notificación de Slack llama su atención. 

Abre la ventana. Es un mensaje del responsable de su centro de operaciones de seguridad (SOC), y no es bueno: "Hay un corredor de datos en la dark web que anuncia la venta de una enorme cantidad de registros de nuestros clientes".

¿Qué piensa hacer? ¿Convocar una reunión de emergencia de dirigentes de la empresa? ¿Llamar a la policía? 

Su primer instinto podría ser entrar en pánico. Nuestros datos están en la dark web. Es una mala noticia.

Pero, lo ideal sería que pidiera a sus analistas de inteligencia de amenazas que indagaran un poco más antes de reaccionar. 

Porque los ciberdelincuentes no son precisamente fiables y los registros que venden pueden no ser los que dicen ser. Tal vez lo que realmente tienen son datos de terceros de un sitio web de viajes que solo está conectado vagamente con usted. Tal vez solo estén utilizando el nombre tan reconocible de su organización para atraer a los compradores.  

Lo que significaría que los datos de sus clientes están protegidos, y no necesita lanzar una respuesta pública masiva y costosa. Es posible que no necesite hacer nada en absoluto.

El objetivo de este ejercicio de reflexión, adaptado de un incidente real que gestionó IBM® X-Force, es que la dark web es mucho más común de lo que su siniestra reputación podría hacernos creer.

Común y conocida.

Sin duda, la dark web es el escenario de muchas actividades turbias y francamente maliciosas, pero las leyendas que rodean este rincón sombrío de Internet pueden nublar el juicio de las personas. 

Al monitorizar de cerca, de manera tranquila y racional la actividad de la dark web, las organizaciones pueden acabar con los mitos y hacerse una idea precisa de lo que realmente ocurre en el famoso paraíso de los hackers. 

Dicho esto, la dark web puede ser un terreno difícil de navegar. De hecho, los delincuentes podrían incluso infectarse entre sí para obtener conocimiento o acceder a datos y cuentas bancarias. Es útil contar con el apoyo de profesionales cualificados en ciberseguridad que puedan separar las amenazas vacías de los riesgos reales.

Olvídese del ominoso nombre y las leyendas urbanas. La dark web es, en última instancia, solo una sección particular de Internet, aunque intencionalmente oscura.

A un alto nivel, podemos decir que Internet tiene tres capas.

1. La web abierta, que incluye todos los sitios de acceso público que puede encontrar en un motor de búsqueda.
    
2. La web profunda, que incluye las cosas que los motores de búsqueda no indexan. La web profunda es mucho más grande que la web abierta y la mayor parte es inofensiva. ¿Tu cuenta bancaria en línea? ¿Contenido de pago? Esa es la web profunda. 
   
   
3. La dark web es una subsección de la web profunda, que requiere un software de navegación especial, como el navegador Tor, para acceder. 

¿Cómo es la dark web? No es tan diferente de la web abierta. La gente se congrega en foros. Venden cosas en mercados. La gran diferencia es que las cosas que discuten y venden requieren una cierta cantidad de anonimato.

No todo lo que sucede en la dark web es malévolo. Los periodistas, por ejemplo, pueden utilizarlo para obtener y compartir información confidencial.

Pero sí, muchos internautas de la dark web son ciberdelincuentes. Sus foros no están dedicados a programas de televisión ni a aficiones especializadas, sino a explotar y a reclutar nuevos miembros de bandas. En lugar de vender ropa y videojuegos, venden malware, números de tarjetas de crédito y credenciales robadas. Muchas credenciales robadas.

Según el X-Force Threat Intelligence Index, el secuestro de cuentas válidas es uno de los vectores iniciales de vulneración de datos más comunes, y representa el 30 % de los ciberataques.

Solo en el cuarto trimestre de 2024, X-Force vio 1,2 millones de conjuntos de credenciales a la venta en la dark web, a menudo por tan solo 14 USD por registro. Otros hackers compran estas credenciales y las utilizan para cometer robos de identidad o irrumpir en las redes empresariales. 

Algunos ciberdelincuentes ofrecen lo que llamamos "malware como servicio", que aplica el modelo clásico de software como servicio (SaaS) al ransomware y otro software malicioso. Estos actores de amenazas venden malware patentado a los afiliados, que utilizan el malware para lanzar ataques y comparten una parte de sus ganancias ilícitas con los creadores.  

Y luego están los corredores de acceso, que se afianzan en los sistemas de destino y venden la entrada a otros ciberdelincuentes para que hagan lo que les plazca. 

Ya sea que vendan datos, acceso o malware, estos ciberdelincuentes suelen organizarse en bandas en lugar de actuar por su cuenta. Pero vigilar a estas bandas es difícil. Tienden a formarse, crecer y desaparecer con bastante rapidez. Por ejemplo, más de la mitad de las bandas de ransomware más activas en la dark web en el primer trimestre de 2025 habían existido durante un año o menos. 

El equilibrio de poder siempre está cambiando en la dark web. Las fuerzas del orden acaban con las bandas. Las filiales quemadas se separaron para formar sus propias empresas. A veces, la competencia entre bandas lleva a ataques directos. Así ocurrió en febrero de este año, cuando una banda rival filtró el código de la última versión del famoso ransomware del grupo Lockbit.

Este rápido ritmo de cambio y la intrincada dinámica entre bandas y mercados son solo algunas de las razones por las que vale la pena trabajar con analistas de inteligencia de amenazas dedicados que puedan vigilar las transacciones de la dark web para su organización. En este caos, es muy fácil pasar por alto las señales de alerta que podrían indicar una amenaza activa para su negocio. 

La mayoría de nosotros sabemos que no debemos tomarnos al pie de la letra las publicaciones sin fuentes de extraños en las redes sociales. Sin embargo, cuando los ciberdelincuentes dicen que tienen datos confidenciales, sin una pizca de prueba, nos inclinamos a creerles.

Realmente no deberíamos. Y esta es otra área en la que los analistas expertos en inteligencia de amenazas pueden ser útiles: distinguir los hechos de la ficción en la dark web.  

Los ciberdelincuentes mienten. Mucho. Afirman habitualmente que disponen de datos de grandes organizaciones líderes, datos que en realidad no tienen. ¿Por qué? Para parecer más hábiles de lo que realmente son y forjarse así una reputación injustificada de hacker experto. O podrían estar tratando de generar negocios para obtener algunos datos menos atractivos que tienen.

Por ejemplo, una banda podría afirmar que tiene datos de una importante marca mundial. Cuando llegan clientes potenciales, la banda dice que los datos ya estaban vendidos, pero pueden ofrecer otros datos de una organización menos conocida. Básicamente es una forma de ingeniería social dirigida contra otros ciberdelincuentes. 

Por otro lado, los ciberdelincuentes no siempre anuncian abiertamente los datos que sí tienen. Para evitar ser descubiertos, a menudo confunden a sus víctimas. En lugar de decir que tienen datos de la empresa X, podrían decir: "Tenemos datos de una empresa de tamaño X en el sector Y con una valoración Z". 

Lo que las organizaciones necesitan es un programa de vigilancia sofisticado que pueda identificar con precisión tanto las filtraciones falsas como las amenazas reales pero disfrazadas. 

El valor final de dedicar recursos a la monitorización de la dark web no es simplemente disipar mitos y descubrir las mentiras de los ciberdelincuentes. Más bien, con las herramientas y el equipo adecuados, las organizaciones pueden convertir la dark web en un sistema de alerta temprana, el canario en la mina de carbón que detecta los ataques antes de que causen daños importantes.

Ahora bien, si los datos o los puntos de entrada a la red de una organización se venden en la dark web, eso significa que ya se ha visto comprometida. Pero a veces ese es el punto más temprano en el que se puede detectar un ataque.

Esto resulta especialmente cierto hoy en día, cuando los actores de amenazas adoptan cada vez más métodos de ataque sigilosos, como hacerse con el control de cuentas de usuario o incluso asociarse con usuarios internos negligentes que abusan de sus permisos legítimos. Hemos visto corredores de acceso en el dark web que afirman ser empleados, o socios de empleados, de las empresas que han comprometido.

Los atacantes también han empezado a utilizar programas maliciosos menores, denominados malware "molestos", para entregar cargas útiles más grandes, como introducir ransomware a través de un infostealer. Cuando entran en una red, a menudo "viven de la tierra". Es decir, utilizan infraestructura de red legítima, como scripts de PowerShell y cuentas de usuario reales, para moverse por la red y acceder a activos confidenciales. 

Las herramientas de seguridad de red estándar a menudo pasan por alto esta actividad porque no parece maliciosa; parece que los usuarios y sistemas autorizados hacen cosas autorizadas.

Así que, a veces, no es hasta que los datos llegan a la dark web que alguien sabe que algo anda mal. Al capturar esos datos cuando aparecen, las organizaciones pueden tomar medidas rápidas para minimizar el impacto. Pueden cambiar las credenciales de las cuentas comprometidas o apagar servidores con puertas traseras conocidas. Los volcados de datos pierden su valor y el alcance total del ataque nunca se materializa. 

Alcanzar este nivel de supervisión requiere algo más que comprar algunos canales de inteligencia de amenazas o una plataforma de autoservicio. Requiere analistas dedicados que sepan qué hacer con todos esos datos y cómo encontrar las amenazas que los ciberdelincuentes ocultan a propósito. Estos analistas pueden interpretar los hallazgos, agregar contexto, priorizar los riesgos reales y dirigir a la organización hacia una acción efectiva.