Convierta la dark web en su sistema de alerta temprana
Con las herramientas y el equipo adecuados, puede convertir la dark web en un sistema de alerta temprana: el canario en la mina de carbón que detecta los ataques antes de que causen daños importantes.
Imagine que es un ejecutivo de una aerolínea, sentado en su escritorio con una taza de café recién hecho un lunes por la mañana inusualmente tranquilo. Se siente renovado, relajado y listo para la semana que viene.
A medida que se pone al día con su bandeja de entrada, el familiar tap-tap-tap de una notificación de Slack llama su atención.
Abre la ventana. Es un mensaje del responsable de su security centro de operaciones de seguridad (SOC) y no es bueno: "Hay un corredor de datos en la dark web que anuncia la venta de una enorme cantidad de registros de nuestros clientes".
¿Qué hace? ¿Convocar una reunión de emergencia de los líderes de la empresa? ¿Llamar a la policía?
Su primer instinto podría ser entrar en pánico. Nuestros datos están en la dark web. Esto es malo.
Pero lo ideal sería pedir a sus analistas de inteligencia de amenazas que investiguen un poco más antes de reaccionar.
Porque los delincuentes cibernéticos no son precisamente fiables y los registros que venden pueden no ser los que dicen ser. Tal vez lo que realmente tienen son datos de terceros de un sitio web de viajes que solo está conectado vagamente con usted. Tal vez solo estén utilizando el nombre tan reconocible de su organización para atraer a los compradores.
Lo que significaría que los datos de sus clientes están protegidos, y no necesita lanzar una respuesta pública masiva y costosa. Es posible que no necesite hacer nada en absoluto.
El objetivo de este ejercicio de reflexión, adaptado de un incidente real que manejó IBM® X-Force, es que la dark web es mucho más mundana de lo que su siniestra reputación podría hacerle creer.
Mundano y conocible.
Ciertamente, la dark web alberga una gran cantidad de actividades turbias y directamente maliciosas, pero el saber que rodea a este oscuro rincón de Internet puede nublar el juicio de las personas.
Al monitorear de cerca, tranquila y racionalmente la actividad de dark web, las organizaciones pueden atravesar los mitos y obtener una imagen precisa de lo que realmente sucede en el famoso paraíso de los hackers.
Dicho esto, la dark web puede ser un terreno difícil de navegar. De hecho, los delincuentes podrían incluso infectarse entre sí para obtener insights o acceder a datos y cuentas bancarias. Es útil contar con el apoyo de profesionales calificados en ciberseguridad que puedan separar las amenazas vacías de los riesgos reales.
Boletín de noticias Think
¿Su equipo captaría a tiempo el próximo día cero?
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Mira más allá del nombre siniestro y las leyendas urbanas. La dark web es, en última instancia, solo una sección particular de Internet, aunque intencionalmente oscura.
A alto nivel, podemos decir que Internet tiene tres capas.
- La web abierta, que incluye todos los sitios públicos que puede encontrar en un motor de búsqueda.
- La web profunda, que incluye las cosas que los motores de búsqueda no indexan. La web profunda es mucho más grande que la web abierta, y la mayor parte es inofensiva. ¿Su cuenta bancaria en línea? ¿Contenido de pago? Así es la web profunda.
- La dark web es una subsección de la web profunda, que requiere un software de navegación especial, como el navegador Tor, para acceder.
¿Cómo es la dark web? No es tan diferente de la web abierta. Las personas se congregan en foros. Venden cosas en mercados. La gran diferencia es que las cosas que discuten y venden requieren una cierta cantidad de anonimato.
No todo lo que sucede en la dark web es malévolo. Los periodistas, por ejemplo, pueden usarlo para obtener y compartir información confidencial.
Pero sí, muchos habitantes de la dark web son delincuentes cibernéticos. Sus foros están dedicados no a programas de televisión y pasatiempos de nicho, sino a explotar y reclutar nuevos miembros de pandillas. En lugar de vender ropa y videojuegos, venden malware, números de tarjetas de crédito y credenciales robadas. Muchas credenciales robadas.
Según el X-Force Threat Intelligence Index, el secuestro de cuentas válidas es uno de los vectores iniciales de filtración de datos más comunes, ya que representa el 30 % de los ciberataques.
Solo en el cuarto trimestre de 2024, X-Force vio 1.2 millones de conjuntos de credenciales a la venta en la dark web, a menudo por tan solo 14 dólares por registro. Otros piratas informáticos compran estas credenciales y las usan para cometer robo de identidad o ingresar a las redes empresariales.
Algunos delincuentes cibernéticos ofrecen lo que llamamos "malware como servicio", que aplica el modelo clásico de software como servicio (SaaS) al ransomware y otros programas maliciosos. Estos actores de amenazas venden malware a afiliados, que los emplean para lanzar ataques y Compartir una parte de sus beneficios obtenidos con los creadores.
Y luego están los corredores de acceso, que se afianzan en los sistemas de destino y venden la entrada a otros delincuentes cibernéticos para que hagan lo que les plazca.
Tanto si se dedican a la venta de datos como de accesos o malware, estos delincuentes cibernéticos suelen organizar en bandas en lugar de actuar en solitario. Pero vigilar a estas bandas es difícil. Suelen formar, elevar y desvanecer con bastante rapidez. Por ejemplo, más de la mitad de las bandas de ransomware más activas en dark web en el primer trimestre de 2025 llevaban en activo un año o menos.
El equilibrio de poder siempre está cambiando en el dark web. Las fuerzas del orden acaban con las pandillas. Los afiliados quemados se separaron para formar sus propias compañías. A veces, la competencia entre pandillas conduce a ataques directos. Tal fue el caso en febrero de este año, cuando una pandilla rival filtró el código de la última versión del infame ransomware del grupo Lockbit.
Este rápido ritmo de cambio y la intrincada dinámica entre las pandillas y los mercados son solo algunas de las razones por las que vale la pena trabajar con analistas dedicados a la inteligencia de amenazas que pueden vigilar las transacciones de la dark web para su organización. En el caos de todo esto, es muy fácil pasar por alto las banderas rojas que podrían indicar una amenaza activa para su negocio.
La mayoría de nosotros sabemos que no debemos tomar al pie de la letra las publicaciones sin fuentes de extraños en las redes sociales. Sin embargo, cuando los delincuentes cibernéticos dicen que tienen datos confidenciales, sin una pizca de prueba, nos inclinamos a creerles.
Realmente no deberíamos. Y esta es otra área en la que los analistas expertos en inteligencia de amenazas pueden ser útiles: distinguir los hechos de la ficción en la dark web.
Los delincuentes cibernéticos mienten. Mucho. Rutinariamente afirman tener datos de organizaciones grandes y líderes, datos que en realidad no tienen. ¿Por qué? Para parecer más exitosos de lo que realmente son y así construir una reputación injustificada como hacker habilidoso. O podrían estar tratando de impulsar el negocio para obtener algunos datos menos atractivos que sí tienen.
Por ejemplo, una pandilla podría afirmar tener datos de una importante marca global. Cuando llegan clientes potenciales, la pandilla dice que los datos ya se vendieron, pero en su lugar pueden ofrecer otros datos de una organización menos conocida. Es esencialmente una forma de ingeniería social dirigida a otros delincuentes cibernéticos.
Alternativamente, los delincuentes cibernéticos no siempre anuncian abiertamente los datos que tienen. Para evitar ser atrapados, a menudo ofuscan a sus víctimas. En lugar de decir que tienen datos de la compañía X, podrían decir: “Tenemos datos de una compañía de tamaño X en la industria Y con una valoración Z”.
Lo que las organizaciones necesitan es un programa de vigilancia sofisticado que pueda identificar con precisión tanto las filtraciones falsas como las amenazas reales pero encubiertas.
El valor final de destinar recursos al monitoreo de la dark web no es simplemente disipar mitos y ver a través de las mentiras de los delincuentes cibernéticos. Más bien, con las herramientas y el equipo adecuados, las organizaciones pueden convertir la dark web en un sistema de alerta temprana, el canario en la mina de carbón que detectar ataques antes de que causen daños mayores.
Ahora bien, si los datos o los puntos de entrada a la red de una organización se venden en la dark web, eso significa que ya se ha visto comprometida. Pero a veces ese es el punto más temprano en el que se puede detectar un ataque.
Esto es especialmente cierto hoy en día, cuando los actores de amenazas adoptan cada vez más métodos de ataque más sigilosos, como apoderarse de las cuentas de los usuarios o incluso asociarse con usuarios internos maliciosos que abusan de sus permisos legítimos. Hemos visto corredores de acceso en la dark web que afirman ser empleados, o socios de empleados, de las empresas que han comprometido.
Los atacantes también comenzaron a emplear malware menor, llamado “molesto”, para entregar cargas útiles más grandes, como introducir ransomware a través de un ladrón de información. Cuando entran en una red, a menudo “viven de la tierra”. Es decir, emplean infraestructura de red legítima, como scripts de PowerShell y cuentas de usuarios reales, para mover por la red y acceder a activos sensibles.
Las herramientas Standard de seguridad de red a menudo pasan por alto esta actividad porque no parece maliciosa; parece que los usuarios y sistemas autorizados hacen cosas autorizadas.
Entonces, a veces, no es hasta que los datos llegan a la dark web que alguien sabe que algo anda mal. Al capturar esos datos cuando aparecen, las organizaciones pueden tomar medidas rápidas para minimizar el impacto. Pueden cambiar las credenciales de las cuentas comprometidas o apagar servidores con puertas traseras conocidas. Los volcados de datos pierden su valor y el alcance total del ataque nunca se materializa.
Lograr este nivel de monitoreo requiere más que comprar algunas fuentes de inteligencia de amenazas o una plataforma de autoservicio. Requiere analistas dedicados que sepan qué hacer con todos esos datos y cómo encontrar las amenazas que los delincuentes cibernéticos ocultan a propósito. Estos analistas pueden interpretar los hallazgos, agregar contexto, priorizar los riesgos reales y guiar a la organización hacia una acción efectiva.