¿Qué es la dark web?

La dark web alberga páginas web, canales de mensajería, redes de intercambio de archivos y otros servicios similares a la web normal o “abierta”. La diferencia es que el contenido de la dark web reside en las darknets, subsecciones anónimas de Internet con requisitos de acceso específicos. Algunas darknets son solo por invitación. Se puede acceder a otras con la configuración de red adecuada o con un software específico, como el navegador Tor. 

El anonimato es el principal atractivo de la dark web. Las redes dark web utilizan métodos como el cifrado multicapa y el enrutamiento indirecto para ocultar las identidades de los usuarios. Tanto las personas que visitan sitios web oscuros como las personas que los alojan no se pueden identificar fácilmente. 

Los delincuentes cibernéticos se benefician de este anonimato para ocultar sus actividades ilegales. Los periodistas, los denunciantes y los usuarios cotidianos de Internet pueden usar la dark web para evitar ser rastreados por gobiernos hostiles, grandes empresas, redes publicitarias, algoritmos predictivos y otras miradas indiscretas.

Los profesionales de la ciberseguridad también monitorean la dark web como una fuente importante de inteligencia de amenazas. Pueden ver qué están haciendo los hackers, mantenerse actualizados sobre los objetivos y las técnicas de los ciberataques y realizar un seguimiento de las filtraciones de datos nuevas y en curso.  

A pesar de su asociación con actividades ilícitas y contenidos ilegales, el simple hecho de acceder a la dark web no es necesariamente ilegal en muchas jurisdicciones.

La darknet es la infraestructura de red, las computadoras interconectadas y otros dispositivos, que permite el acceso al contenido de la dark web.

Los términos "darknet" y "dark web" se utilizan a menudo como sinónimos, de la misma manera que "internet" y "web" se utilizan indistintamente. Pero, técnicamente, el internet es una red de dispositivos conectados, y la web es una capa de información (sitios web, aplicaciones y otros servicios) a la que las personas pueden acceder a través de internet. 

La misma distinción se aplica a la darknet y la dark web. La darknet es la infraestructura, y la dark web es el contenido al que se puede acceder a través de esa infraestructura.

Hay muchas redes oscuras diferentes, siendo la red Tor la más famosa. (Para obtener más información, consulte “¿Qué es Tor?”) Otras darknets incluyen Invisible Internet Project (I2P) e Hyphanet. 

La mayoría de las darknets son redes superpuestas, subredes distintas que existen dentro de una red más grande. Esa red más grande suele ser el propio Internet. 

Pero las darknets están aisladas del Internet público, y los usuarios no pueden acceder fácilmente a ellas a través de navegadores normales como Google Chrome, Mozilla Firefox o Microsoft Edge. Los usuarios necesitan software especial, permisos o configuraciones para acceder a una darknet.

Muchas darknets, como Tor, están a cargo de voluntarios y organizaciones sin fines de lucro, y las personas donan libremente sus propias máquinas para actuar como nodos de red. Otras son redes descentralizadas peer-to-peer o redes privadas solo por invitación.

Hay otra cosa que diferencia a las darknets del Internet general y otras redes superpuestas. Las darknets ocultan intencionalmente las identidades de los usuarios a través del cifrado multicapa, el enrutamiento cebolla y otros métodos. 

Tor, abreviatura de “The Onion Router”, puede referirse a una red, un navegador y una organización.

El navegador Tor es quizás el navegador más popular de la dark web, pero no es la única forma de acceder a la dark web. La red Tor tampoco es la única red para contenido de la dark web. A veces, la gente confunde Tor con la dark web, pero Tor es solo una de las muchas darknets que existen.

Dicho esto, comprender cómo funciona Tor puede arrojar luz sobre cómo funciona la dark web en general.

El principio central de la red Tor es el enrutamiento cebolla, que es la forma en que Tor enmascara las direcciones y mantiene a los usuarios anónimos. Desarrollado por primera vez por el US Naval Research Laboratory en la década de 1990, el enrutamiento cebolla aplica múltiples capas de cifrado al tráfico. Estas capas le dan a la técnica su nombre de “cebolla”. 

En lugar de enrutar a los usuarios directamente a su destino, el enrutamiento cebolla los envía primero a través de una serie de nodos intermedios. Cada nodo puede descifrar una sola capa del cifrado del tráfico, por lo que ningún nodo individual conoce el viaje del tráfico de principio a fin.  

Incluso los propietarios de sitios de darknet no saben de dónde provienen sus visitantes, ni los visitantes saben dónde están alojados estos sitios. 

La dark web, la deep web y la surface web son tres partes diferentes de la web. La surface web es lo que los usuarios pueden encontrar en cualquier motor de búsqueda. La deep web está oculta a los motores de búsqueda, pero se puede acceder a gran parte de ella a través de cualquier navegador con la autenticación correcta. El contenido de la dark web requiere una configuración especial.

La surface web, también llamada open web, es la parte de Internet que indexan los motores de búsqueda habituales, como Google y Bing. Las redes sociales, los videos de YouTube, los blogs públicos y los listados de Amazon: todos son ejemplos de contenido de la surface web.

La surface web es una de las partes más pequeñas de la web, y representa aproximadamente el 5 % del contenido de Internet. 

La deep web es la parte de Internet que los motores de búsqueda no indexan, que abarca la mayor parte del contenido web. La deep web sí incluye la dark web, pero la mayor parte de la deep web es accesible a través de un navegador web regular con configuraciones predeterminadas: sitios web protegidos por contraseña, artículos de noticias de pago y bases de datos privadas.

Aunque la dark web forma parte de la deep web, son distintas en aspectos importantes.

La dark web es la parte de la deep web que existe en las darknets. Por lo tanto, solo se puede acceder a esta a través de navegadores de la dark web, proxies configurados adecuadamente u otros medios. Se puede acceder a la mayoría del contenido de la deep web desde el Internet abierto con las credenciales adecuadas. La dark web anonimiza intencionalmente a los usuarios, mientras que la deep web no. 

La dark web se parece mucho a la open web: foros de debate, sitios de noticias, mercados y más. Algunos sitios web superficiales, como Facebook, incluso tienen versiones oficiales de la dark web.

Los sitios web oscuros a menudo tienen menos atractivo que los sitios web abiertos, en parte porque el rendimiento de la dark net tiende a ser menos confiable. Técnicas como el enrutamiento cebolla preservan el anonimato, pero al precio de ralentizar las conexiones. 

“Podemos pensar en la dark web como un ecosistema web alternativo caótico”, dice Robert Gates, analista senior de X-Force Threat Intelligence en IBM. “Es una versión simplificada de los sitios de comercio electrónico que se encuentran comúnmente en Internet, con páginas de productos, vendedores y feedback. Incluso existen algunos servicios de depósito en garantía y sistemas de calificación, pero los vendedores suelen manipular estos sistemas”.

Los sitios web oscuros suelen tener direcciones URL largas y complicadas, lo que puede hacer que sean difíciles de recordar. Para navegar por la dark web, los usuarios generalmente recurren a motores de búsqueda de la dark web o listas de enlaces como la wiki oculta. 

Los tipos comunes de sitios web oscuros incluyen:

Los mercados de dark web venden muchas cosas.

• Malware, como infostealers, loaders, troyanos y ransomware. Muchos delincuentes cibernéticos usan sistemas de malware como servicio (MaaS). Las bandas de MaaS desarrollan y mantienen herramientas e infraestructura de malware, que venden a otros hackers, conocidos como “afiliados”. Los afiliados utilizan el malware para atacar a las víctimas, a menudo repartiendo el botín con las bandas de MaaS. El ransomware como servicio (RaaS) es especialmente popular. 

• Otras herramientas y técnicas de ciberataque, como alquileres de botnet para ataques de denegación distribuida del servicio (DDoS) y kits de phishing.

• Acceso. Los brokers de acceso ingresan a las redes, generalmente explotando vulnerabilidades e instalando puertas traseras, y luego venden estos puntos de acceso a otros delincuentes cibernéticos.

• Datos como cuentas bancarias robadas, detalles de tarjetas de crédito, credenciales de inicio de sesión y otra información confidencial que los delincuentes pueden usar para cometer robo de identidad.  

• Mercancías ilegales, incluidos documentos falsificados y drogas ilegales.

La mayoría de las transacciones del mercado de la dark web utilizan criptomonedas como bitcoin para preservar el anonimato de compradores y vendedores.

Lanzado en 2011, Silk Road es considerado por muchos como el primer y más conocido mercado de la darknet. En 2013, el FBI lo confiscó y lo cerró.

Los delincuentes cibernéticos profesionales y los hackers aficionados se congregan en foros de la dark web, donde comparten consejos, nuevas vulnerabilidades e información sobre posibles objetivos, y alardean de sus éxitos.

Los profesionales de ciberseguridad también observan estos foros para vigilar el escenario de las ciberamenazas.

Los sitios de fugas son donde los hackers presumen de los datos que han robado en las filtraciones. Los delincuentes cibernéticos publican muestras de lo que tienen y exigen a las víctimas que paguen un rescate; de lo contrario, divulgarán el resto.

Algunas bandas mantienen sus propios sitios de fugas. Otras han adoptado un modelo llamado “extorsión como servicio”, donde las bandas más grandes permiten a los afiliados y aliados alojar datos robados en sus sitios. El uso del sitio de filtración de mayor perfil de una banda más grande puede ejercer más presión sobre las víctimas para que paguen. Al igual que con otros acuerdos de servicios, la banda más grande suele quedarse con una parte del rescate.

Los denunciantes, ya sea que informen sobre corporaciones, gobiernos u otras instituciones, a menudo utilizan foros de la dark web y servicios de mensajería para hacer llegar su información al público de forma anónima. 

Del mismo modo, los periodistas suelen utilizar los servicios de la dark web para conectarse con fuentes que necesitan anonimato. Los activistas pueden utilizar la dark web para evadir la censura y la vigilancia del gobierno.

Otros sitios web oscuros son mucho más mundanos. Son sitios de redes sociales, sitios de noticias y otros servicios típicos que utilizan la dark web para ayudar a sus propietarios y usuarios a evitar ser rastreados.

En ausencia de cualquier supervisión legal o regulatoria, en una red donde todos son anónimos, la dark web opera según lo que Gates llama “economía de reputación”. Los hackers y los distribuidores utilizan sus actividades pasadas para generar credibilidad. Muchos mercados tienen sistemas de comentarios y algunos ofrecen servicios de depósito en garantía para garantizar que las personas reciban el pago.

Sin embargo, esta economía de la reputación también incentiva a los delincuentes cibernéticos a mentir tanto a sus víctimas como entre sí. Por ejemplo, podrían afirmar que han robado conjuntos de datos más impresionantes de lo que realmente fue en un intento de hacer negocios, presionar a las víctimas o parecer más experimentados. 

Y con la llegada de la IA generativa, pueden hacer que sus mentiras sean aún más convincentes, creando datos falsos para hacer que las filtraciones parezcan más grandes de lo que son. 

“Pueden alimentar a una IA con los documentos y datos que tienen y decir: 'Amplía este conjunto y haz que parezca una colección más grande'”, explica Gates. “Muchos de los datos resultan ser falsos, pero realmente no se puede notar la diferencia”. 

Y los delincuentes cibernéticos no tienen reparos en estafarse unos a otros. 

“Hemos visto casos en los que los administradores de un foro en particular hacen algún tipo de esquema de salida donde han recaudado suficiente dinero y simplemente se van”, dice Gates. “El mercado se cierra y nadie sabe qué sucedió”.

Las consecuencias de todo este trato sucio y traición es que la dark web tiene una cantidad significativa de abandono. Los sitios web y las bandas de delincuentes cibernéticos aparecen y desaparecen constantemente. En parte porque los organismos encargados de hacer cumplir la ley los derriban, pero a menudo porque se están apuñalando unos a otros por la espalda.

“El equilibrio de poder siempre está cambiando en la dark web”, dice Gates. “Los afiliados fracasados se separaron para formar sus propias empresas”, El ego de alguien se interpone en el camino, o ocurre algún tipo de conflicto interpersonal entre ellos”.  

Si bien el anonimato es el principal atractivo de la dark web, hay formas de descubrir la identidad de un usuario. Por ejemplo, al correlacionar el tráfico que alguien envía a la red Tor con el tráfico a un sitio en particular basado en las marcas de tiempo, las agencias de aplicación de la ley y los profesionales de seguridad pueden determinar hipotéticamente lo que está haciendo ese usuario. 

Los nodos envenenados (nodos comprometidos en una red que vigilan secretamente el tráfico) también pueden abrir un hueco en el anonimato. Los usuarios también pueden revelar su identidad si configuran mal o usan incorrectamente un navegador o una red de la dark web. 

El monitoreo de la dark web es un componente de muchos esfuerzos de inteligencia de amenazas. Al estar atentos a los foros de la dark web y las redes sociales, los analistas de inteligencia de amenazas pueden mantenerse actualizados sobre el malware más reciente, las vulnerabilidades que se están explotando en el ámbito público y otras tendencias. 

Los expertos en ciberseguridad pueden usar las consecuencias de las rivalidades entre bandas, que a menudo llevan a los hackers a vandalizar los sitios web de sus rivales, delatarse entre ellos o filtrar código fuente. Por ejemplo, en febrero de 2025, una banda rival filtró el código de la última versión del infame ransomware del grupo Lockbit.

“Crea oportunidades para los defensores”, dice Gates. “De repente hay mucho software de imitación, pero tal vez su OPSEC o su comprensión de cómo funciona el malware en sí no es tan competente como las personas que lo desarrollaron. Así que tal vez no lo usen correctamente”. 

Los defensores pueden entonces obtener el código fuente, u otra información filtrada, y estudiarlo ellos mismos. 

Estar atento a la dark web también puede ayudar a los equipos de ciberseguridad a identificar los ataques informáticos más rápidamente. Cuanto antes las organizaciones sepan que se ha producido una filtración, antes podrán actuar para contenerla. Cada segundo importa, ya que tarda, en promedio 241 días en identificar y contener una filtración, según el Informe del costo de una filtración de datos de IBM.