¿Qué es la dark web?

La dark web alberga páginas web, canales de mensajería, redes de intercambio de archivos y otros servicios similares a la web normal o "abierta". La diferencia es que los contenidos de dark web residen en darknets, subsecciones anónimas de Internet con requisitos de acceso particulares. Algunas darknets son solo por invitación. A otras se puede acceder con la configuración de red o el software adecuados, como el navegador Tor. 

El anonimato es el principal atractivo de la dark web. Las redes de dark web utilizan métodos como el cifrado y el enrutamiento indirecto para ocultar la identidad de los usuarios. Tanto las personas que visitan sitios web oscuros como las personas que los alojan no pueden identificarse fácilmente. 

Los ciberdelincuentes se benefician de este anonimato para encubrir sus actividades ilegales. Los periodistas, los denunciantes y los usuarios de Internet habituales pueden utilizar la dark web para evitar ser rastreados por gobiernos hostiles, grandes empresas, redes publicitarias, algoritmos predictivos y otras miradas indiscretas.

Los profesionales de ciberseguridad también monitorizan la dark web como una fuente importante de inteligencia de amenazas. Pueden ver lo que hacen los hackers, mantenerse actualizados sobre los objetivos y técnicas de los ciberataques, y rastrear nuevas y continuas vulneraciones de datos.  

A pesar de su asociación con actividades ilícitas y contenidos ilegales, el simple acceso a la dark web no es necesariamente ilegal en muchas jurisdicciones.

La darknet es la infraestructura de red (los ordenadores y otros dispositivos interconectados) que permite el acceso a los contenidos de la dark web.

Los términos "darknet" y "dark web" se utilizan a menudo como sinónimos, de la misma manera que "internet" y "web" se utilizan indistintamente. Pero técnicamente, internet es una red de dispositivos conectados, y la web es una capa de información (sitios web, aplicaciones y otros servicios) a la que la gente puede acceder a través de internet. 

La misma distinción se aplica a la darknet y la dark web. La darknet es la infraestructura y la dark web es el contenido al que se puede acceder a través de esa infraestructura.

Hay muchas darknets diferentes, siendo la red Tor la más famosa. (Para obtener más información, consulte "¿Qué es Tor?") Otras darknets son Invisible Internet Project (I2P) y Hyphanet. 

La mayoría de las darknets son redes superpuestas, subredes distintas que existen dentro de una red más grande. Esa red mayor es, normalmente, el propio internet. 

Pero las darknets están aisladas de la Internet pública y los usuarios no pueden acceder a ellas fácilmente a través de navegadores normales como Google Chrome, Mozilla Firefox o Microsoft Edge. Los usuarios necesitan software, permisos o configuraciones especiales para entrar en una red oscura.

Muchas darknets, como Tor, están gestionadas por voluntarios y organizaciones sin ánimo de lucro, y las personas donan libremente sus propias máquinas para que actúen como nodos de red. Otras son redes descentralizadas entre pares o redes privadas solo por invitación.

Hay otra cosa que diferencia a las darknets del internet más amplio y otras redes superpuestas. Las darknets ocultan intencionalmente las identidades de los usuarios mediante cifrado multicapa, enrutamiento de cebolla y otros métodos. 

Tor, abreviatura de "The Onion Router" puede referirse a una red, un navegador y una organización.

El navegador Tor es quizás el navegador dark web más popular, pero no es la única forma de acceder a la dark web. La red Tor tampoco es la única red para contenido de la dark web. La gente a veces trata a Tor y a la dark web como lo mismo, pero Tor es una de las muchas darknets.

Dicho esto, comprender cómo funciona Tor puede ayudar a arrojar luz sobre cómo funciona la dark web en general.

El principio fundamental de la red Tor es el enrutamiento de cebolla, que es la forma en que Tor oculta las direcciones IP y mantiene a los usuarios en el anonimato. Desarrollado por primera vez por el Laboratorio de Investigación Naval de EE. UU. en la década de 1990, el enrutamiento de cebolla aplica múltiples capas de cifrado al tráfico. Estas capas dan a la técnica el nombre de "cebolla". 

En lugar de enrutar a los usuarios directamente a su destino, el enrutamiento de cebolla los envía primero a través de una serie de nodos intermedios. Cada nodo puede descifrar solo una capa del cifrado del tráfico, por lo que ningún nodo individual conoce el recorrido del tráfico de principio a fin.  

Ni siquiera los propietarios de los sitios de la darknet saben de dónde proceden sus visitantes, ni los visitantes saben dónde están alojados estos sitios. 

La dark web, la web profunda y la web superficial son tres partes diferentes de la web. La web superficial es lo que los usuarios pueden encontrar en cualquier motor de búsqueda. La web profunda está oculta a los motores de búsqueda, pero se puede acceder a gran parte de ella a través de cualquier navegador con la autenticación adecuada. El contenido de la dark web requiere una configuración especial.

La web superficial, también llamada web abierta, es la parte de Internet que indexan los motores de búsqueda habituales, como Google y Bing. Sitios de redes sociales, vídeos de YouTube, blogs públicos y listados de Amazon: todas estas cosas son ejemplos de contenido web superficial.

La web superficial es una de las partes más pequeñas de la web y representa aproximadamente el 5 % del contenido de Internet. 

La web profunda es la parte de Internet que los motores de búsqueda no indexan y que engloba la mayor parte del contenido web. La web profunda sí incluye la dark web, pero la mayor parte de la web es accesible a través de un navegador web normal con configuraciones predeterminadas: sitios web protegidos por contraseña, artículos de noticias de pago y bases de datos privadas.

Aunque la dark web forma parte de la web profunda, son distintas en aspectos importantes.

La dark web es la parte de la web profunda que existe en las darknets. Como tal, solo se puede acceder a ella a través de navegadores de dark web, proxies correctamente configurados u otros  medios. La mayoría del contenido de la web profunda se puede acceder desde internet abierto con las credenciales adecuadas. La dark web anonimiza intencionalmente a los usuarios, mientras que la web profunda no lo hace. 

La dark web se parece mucho a la web abierta: foros de debate, sitios de noticias, mercados y mucho más. Algunos sitios web superficiales, como Facebook, incluso tienen versiones oficiales de la dark web.

Los sitios web oscuros suelen tener menos detalles que los sitios abiertos, en parte porque el rendimiento de la darknet tiende a ser menos fiable. Técnicas como el enrutamiento en cebolla preservan el anonimato, pero a costa de ralentizar las conexiones. 

"Puede pensar en la dark web como un ecosistema web alternativo y caótico", dice Robert Gates, analista sénior de inteligencia de amenazas de X-Force en IBM. "Es una versión simplificada de los sitios de comercio electrónico que se encuentran comúnmente en internet, con páginas de productos, proveedores y feedback. Incluso hay algunos servicios de depósito en garantía y sistemas de valoración, pero los vendedores suelen jugar con estos sistemas".

Los sitios web oscuros suelen tener URL  largas y complicadas, lo que puede hacer que sean difíciles de recordar. Para navegar por la dark web, los usuarios suelen recurrir a los motores de búsqueda de la dark web o a listas de enlaces como la Hidden Wiki. 

Los tipos más comunes de sitios web oscuros incluyen:

Los mercados de la dark web venden muchas cosas.

• Malware, como ladrones de información, cargadores, troyanos y ransomware. Muchos ciberdelincuentes utilizan sistemas de malware como servicio (MaaS). Las bandas de MaaS desarrollan y mantienen herramientas e infraestructuras de malware, que venden a otros hackers, conocidos como "afiliados". Los afiliados utilizan el malware para atacar a las víctimas y, a menudo, reparten su botín con la banda MaaS. El ransomware como servicio (RaaS) es especialmente popular. 

• Otras herramientas y técnicas de ciberataque, como el alquiler de botnets para ataques DDoS y kits de phishing.

• Acceso. Los intermediarios de acceso irrumpen en las redes, normalmente explotando vulnerabilidades y colocando puertas traseras, y luego venden estos puntos de acceso a otros ciberdelincuentes.

• Datos como cuentas bancarias robadas, datos de tarjetas de crédito, credenciales de inicio de sesión y otra información confidencial que los delincuentes pueden utilizar para cometer robos de identidad.  

• Mercancías ilegales, incluidos documentos falsificados y drogas ilegales.

La mayoría de las transacciones de los mercados de dark web utilizan criptomonedas como el bitcoin para preservar el anonimato de compradores y vendedores.

Lanzado en 2011, Silk Road es considerado el primer y más conocido mercado de la darknet. En 2013, el FBI lo incautó y lo cerró.

Los ciberdelincuentes profesionales y los hackers aficionados se congregan en foros de la dark web, donde comparten consejos, nuevas vulnerabilidades e información sobre posibles objetivos, y alardean de sus éxitos.

Los profesionales de la ciberseguridad también entran en estos foros para mantenerse al tanto del panorama de las ciberamenazas.

Los sitios de filtraciones son lugares donde los hackers hacen alarde de los datos que han robado en las vulneraciones. Los ciberdelincuentes publican muestras de lo que tienen y exigen que las víctimas paguen un rescate o, de lo contrario, darán a conocer el resto.

Algunas bandas mantienen sus propios sitios web de filtración de información. Otras han adoptado un modelo llamado "extorsión como servicio", en el que las bandas más grandes permiten a afiliados y aliados alojar datos robados en sus sitios. Utilizar un sitio de fugas de mayor perfil de una banda más grande puede presionar más a las víctimas para que paguen. Al igual que con otros acuerdos de "como servicio", la banda más grande suele quedarse con una parte del rescate.

Los denunciantes, ya sea informando sobre empresas, agencias gubernamentales u otras instituciones, suelen utilizar foros y servicios de mensajería de la dark web para difundir su información de forma anónima al público. 

Del mismo modo, los periodistas suelen utilizar los servicios de la dark web para contactar con fuentes que necesitan anonimato. Los activistas pueden usar la dark web para evadir la censura y la vigilancia del gobierno.

Otros sitios web oscuros son mucho más mundanos. Son sitios de redes sociales, sitios de noticias y otros servicios típicos que utilizan la dark web para ayudar a sus propietarios y usuarios a evitar ser rastreados.

En ausencia de cualquier supervisión legal o regulatoria, en una red donde todos son anónimos, la dark web opera en lo que Gates llama una "economía de reputación". Los hackers y los traficantes utilizan sus actividades pasadas para aumentar su credibilidad. Muchos mercados cuentan con sistemas de reseñas, y algunos ofrecen servicios de depósito en garantía para ayudar a garantizar que la gente reciba el pago.

Sin embargo, esta economía de la reputación también incentiva a los ciberdelincuentes a mentir tanto a sus víctimas como entre sí. Por ejemplo, podrían afirmar que han robado conjuntos de datos más impresionantes de los que realmente tienen en un intento de impulsar los negocios, presionar a las víctimas o parecer más exitosos. 

Y con la llegada de la IA generativa, pueden hacer que sus mentiras sean aún más convincentes, creando datos falsos para que las infracciones parezcan mayores de lo que son. 

"Pueden alimentar a una IA con los documentos y los datos que tienen y decir: 'Amplíe este conjunto y haga que parezca una colección más grande'", explica Gates. “Muchos de los datos resultan ser falsos, pero realmente no se nota la diferencia”. 

Y los ciberdelincuentes no dejan de estafarse descaradamente unos a otros. 

"Hemos visto casos en los que los administradores de un foro en particular llevan a cabo algún tipo de plan de salida en el que recaudan suficiente dinero y simplemente se van", dice Gates. "El mercado se paraliza y nadie sabe qué ha pasado".

El resultado de todos estos tratos sucios y traiciones es que el dark web experimenta una importante rotación de personal. Los sitios web y las bandas de ciberdelitos aparecen y desaparecen todo el tiempo. En parte porque las fuerzas de seguridad los desmantelan, pero a menudo porque se apuñalan por la espalda unos a otros.

"El equilibrio de poder siempre está cambiando en la dark web", dice Gates. “Las filiales quemadas se separaron para formar sus propias empresas.” El ego de alguien se interpone en el camino, o se produce algún tipo de conflicto interpersonal entre ellos".  

Aunque el anonimato es el principal atractivo de la dark web, existen formas de descubrir la identidad de un usuario. Por ejemplo, correlacionando el tráfico que alguien envía a la red Tor con el tráfico hacia un sitio concreto según las marcas de tiempo, las agencias de seguridad y los profesionales de la seguridad pueden determinar hipotéticamente qué está haciendo ese usuario. 

Los nodos envenenados, nodos comprometidos en una red que vigilan el tráfico en secreto, también pueden abrir una brecha en el anonimato. Los usuarios también pueden delatar sus propias identidades configurando mal o utilizando de forma inadecuada un navegador o una red dark web. 

La monitorización de la dark web es un componente fundamental de muchos esfuerzos de inteligencia de amenazas. Al vigilar los foros y las redes sociales de la dark web, los analistas de inteligencia de amenazas pueden mantenerse al día sobre el malware más reciente, las vulnerabilidades que se están explotando en la red y otras tendencias. 

Los profesionales de la ciberseguridad también pueden aprovechar las consecuencias de las rivalidades entre bandas, que a menudo llevan a los hackers a desfigurar los sitios web de sus rivales, delatarse entre sí o filtrar el código fuente. Por ejemplo, en febrero de 2025, una banda rival filtró el código de la última versión del infame ransomware del grupo Lockbit.

"Crea oportunidades para los defensores", dice Gates. "De repente, hay un montón de software imitador, pero quizá su OPSEC o su comprensión de cómo funciona el malware en sí no sea tan competente como la de las personas que lo desarrollaron. Así que quizá no lo utilizan correctamente”. 

Los defensores pueden entonces obtener el código fuente, u otra información filtrada, y estudiarla por sí mismos.  

Estar atentos a la dark web también puede ayudar a los equipos de ciberseguridad a identificar los ataques informáticos antes. Cuanto antes sepan las organizaciones que se ha producido una vulneración, antes podrán actuar para contenerla. Cada segundo importa, ya que se tarda una media de 241 días en identificar y contener una vulneración, según el informe "Cost of a Data Breach" de IBM.