Recopilar inteligencia sobre amenazas, encontrar a los autores de ciberataques y desmantelar bandas enteras de ransomware son algunas de las formas en que los defensores utilizan la red oscura.

El término "dark web" puede representarnos una imagen de actores amenazantes que acechan en la clandestinidad, en las zonas ocultas de internet donde prosperan la actividad ilícita y el cibercrimen. Sin embargo, lo que se conoce como la dark web tiene múltiples usos. También es frecuentada por entidades como hackers de sombrero gris, ciberdefensores, servicios de monitoreo de brechas de datos e investigadores.

El hecho de que esta red oculta de sitios web y usuarios ofrezca un mayor grado de anonimato y no esté indexada por los motores de búsqueda tradicionales significa que no sólo los actores de amenazas, sino también los disidentes políticos que quieran ocultar su identidad y paradero pueden beneficiarse de ella.

A continuación se muestran algunas de las formas en que los piratas informáticos éticos, los defensores y los protagonistas del mundo real utilizan la web oscura.

Recopilación de inteligencia sobre amenazas

Cualquier investigador de ciberseguridad y analista de inteligencia de fuentes abiertas (OSINT) sería consciente del valor que se busca en el monitoreo de los feeds de la red oscura para obtener inteligencia sobre amenazas. 

Visitar foros de hackers o ciertos sitios .onion, accesibles solo a través de Tor, puede brindar información sobre los actores de amenazas y sus tácticas, técnicas y procedimientos (TTP) en constante evolución, así como los grupos a los que pertenecen. Esto último es especialmente crucial, ya que algunos ciberdelincuentes clandestinos pueden pertenecer a múltiples grupos de ransomware o extorsión de datos. Por ejemplo, un grupo de actores de amenazas puede hacerse pasar únicamente por un intermediario de acceso inicial (IAB) y vender el acceso a redes o activos corporativos vulnerados a grupos individuales de ransomware o extorsión de datos, estando directamente asociado con alguno o ninguno de estos compradores.

Otro aspecto clave de la recopilación de información sobre amenazas es la búsqueda de ataques futuros, exploits de vulnerabilidades, ataques de día cero, kits de herramientas de phishing y nuevas cepas de malware que circulan periódicamente. Por ejemplo, en el pasado, los creadores del conocido malware de robo de información Raccoon Stealer anunciaron el lanzamiento de variantes más sigilosas en foros de hackers. Si bien a primera vista estas publicaciones pueden parecer valiosas para actores de amenazas y script kiddies (skids), las compañías antivirus pueden integrar rápidamente detecciones basadas en firmas en sus productos para estas nuevas variantes, protegiendo así a los usuarios domésticos y corporativos.

Los analistas e investigadores del SOC también pueden analizar y estudiar nuevas variantes para desarrollar reglas YARA y Sigma que protejan las redes organizacionales de nuevas amenazas. Investigadores, tanto académicos como industriales, pueden comprender cómo monitorear los flujos de red para detectar exploits y virus sigilosos emergentes , más difíciles de detectar por medios convencionales. Monitorear el panorama del cibercrimen clandestino, en constante evolución, puede ayudar a los proveedores de seguridad a enriquecer sus tecnologías defensivas y su oferta de productos.

Atribución de ataques a actores de amenazas

Cuando las organizaciones sufren violaciones de datos e incidentes cibernéticos, la web oscura se convierte en una herramienta crucial para los defensores, incluidas las empresas afectadas, sus equipos legales y sus negociadores.

Los actores de amenazas, como los grupos de ransomware, suelen atacar a las organizaciones para cifrar y robar sus datos y extorsionarlas a cambio de una clave de descifrado. Para obtener ventaja durante las negociaciones o si la organización se niega rotundamente a pagar un rescate, los actores de amenazas suelen empezar a filtrar datos robados en sus sitios de filtración .onion en pequeñas cantidades, exponiendo gradualmente información confidencial de clientes y empleados, incluyendo copias de pasaportes, documentos de identidad, datos médicos protegidos y registros financieros. Otros actores de amenazas también pueden poner a la venta grandes volcados de datos de varios gigabytes en foros de hackers, de los cuales pueden beneficiarse los ladrones de identidad y los actores de phishing.

Para la organización afectada, la dark web se convierte en un medio vital para monitorear el alcance del daño: qué información se ha expuesto públicamente, en qué foros o grupos en línea, quién (o qué grupo de actores de amenazas), si es que alguien, se ha atribuido la responsabilidad del ataque, y cómo se difunden los activos robados (es decir, si se venden con fines de lucro o se filtran gratuitamente). A menudo, los sitios .onion y los grupos de Telegram pueden ser los únicos vínculos entre los defensores de una organización afectada y los actores de amenazas, sirviendo como principal canal de comunicación, como lo demuestran las conversaciones de negociación filtradas entre Royal Mail y el grupo de ransomware LockBit durante el ciberataque de 2023.

La atribución cobra especial importancia cuando falta un motivo obvio, como una ganancia económica o un rescate. Por ejemplo, los grupos hacktivistas pueden atacar un sitio web o sistemas gubernamentales con ataques de denegación de servicio distribuido (DDoS) a gran escala, dejándolos fuera de línea, o algunos creadores de software parapoliciales pueden sabotear intencionalmente su trabajo para dañar sistemas ubicados en ciertas partes del mundo, todo para llamar la atención sobre su mensaje más amplio en lugar de buscar ganancias económicas.

Monitoreo de fugas y violaciones de datos

Servicios de monitoreo de filtraciones de datos como HaveIBeenPwned (HIBP) rastrean frecuentemente las filtraciones de datos que aparecen en la dark web y en foros de hackers. Los usuarios pueden verificar si su información se vio comprometida en una filtración de datos simplemente ingresando su correo electrónico en HIBP, sin costo alguno.

Los motores de búsqueda como Intelligence X se especializan en permitir que investigadores y defensores busquen información crucial, como direcciones de billeteras de criptomonedas, direcciones IP, dominios o direcciones de correo electrónico, que se encuentran en filtraciones de datos públicos y en la darknet.

En un contexto de consumo, el monitoreo de la dark web ha ganado relevancia recientemente en forma de planes de monitoreo de fraude y robo de identidad ofrecidos por agencias de informes crediticios líderes como TransUnion, Equifax y Experian.

Los usuarios crean inicialmente un perfil en una agencia de crédito tras verificar su identidad respondiendo preguntas en línea, cuyas soluciones ya conoce la agencia, dado el historial de préstamos que conserva sobre los consumidores. Tras suscribirse a una suscripción de pago, pueden optar por registrar su información confidencial, como números de tarjetas de crédito, información del permiso de conducir, datos del pasaporte y documentos de viaje, y números de identificación fiscal, como el Número de la Seguridad Social (NINo), el Número de la Seguridad Social (SSN) y el Número de Seguro Social (SIN), en el sitio web de la agencia. Esta información, almacenada de forma segura, se verifica periódicamente para comprobar si existen filtraciones de datos en la dark web, como bases de datos de empresas vulneradas que aparecen en la red.

La idea es que cada vez que haya una coincidencia entre una parte de los datos registrados y un volcado de datos ilícitos que flota en la red oscura, la víctima registrada será notificada y podrá tomar conciencia del potencial robo de identidad del que puede ser objeto.

Evitar la censura y la denuncia de irregularidades

Los denunciantes también pueden recurrir a la red oscura y a tecnologías como Tor, Telegram o VPN en jurisdicciones donde el uso de Internet está restringido o sometido a un estricto escrutinio.

Los disidentes políticos y defensores de las libertades civiles que desean alzar la voz sin comprometer su identidad ni ubicación pueden optar por usar la red oscura para difundir su mensaje o revelar evidencia de irregularidades corporativas o gubernamentales, por ejemplo. Si bien estas acciones pueden ser de legalidad y ética cuestionables, demuestran los complejos matices de estas tecnologías y de la red oscura en general, que no es intrínsecamente "mala".

Tecnologías como las VPN permiten a los usuarios acceder a aplicaciones y sitios web restringidos, como redes sociales LGBTQ+, en países donde están censurados. Sitios web de noticias, como The Guardian , suelen tener una versión .onion con contenido idéntico. Si un régimen autoritario prohíbe el sitio web principal del medio, los ciudadanos aún pueden confiar en Tor para acceder al medio con mayor anonimato.

Hacer cumplir la ley

Si los delincuentes pueden acechar en la red oscura, también puede hacerlo la policía.

A las agencias gubernamentales encargadas de hacer cumplir la ley, como el FBI, la Interpol y la Policía Federal de Australia, se les atribuye con frecuencia la desarticulación de operaciones generalizadas de ciberdelincuencia. Recientemente, el FBI y otras agencias de seguridad de diferentes países han tomado medidas enérgicas contra la operación anti-antivirus "AVCheck" y han desmantelado el malware como servicio (MaaS) Lumma Stealer, que robaba millones de contraseñas.

Además de confiscar dominios ilícitos y desmantelar operaciones de ransomware, las agencias federales han empleado la dark web para atacar a narcotraficantes y delincuentes responsables del abuso sexual infantil . Un ejemplo reciente es la Operación RapTor , en la que agencias policiales de Estados Unidos, Europa, Sudamérica y Asia colaboraron para arrestar a 270 vendedores, compradores y administradores de la dark web asociados con el tráfico ilegal de fentanilo y opioides.

Investigación y periodismo

Otros usos menos obvios pero de suma importancia de la dark web incluyen el valor que proporciona a los periodistas de investigación.

Para los periodistas, la dark web ofrece una vía interesante para la corroboración exhaustiva entre las partes y la observación de los acontecimientos entre bastidores, especialmente durante ciberataques de alto perfil. Los canales de comunicación anónimos y los sitios de filtraciones pueden servir como conducto entre los periodistas y los actores de amenazas que afirman estar detrás de las filtraciones de datos. Si bien sería ingenuo creer al pie de la letra la palabra de un actor de amenazas, la información sobre un ataque o la posible evidencia compartida por este puede ayudar a un periodista a verificar la credibilidad de las afirmaciones realizadas por el actor de amenazas y la organización afectada. Este ejercicio puede ser especialmente crucial para la información independiente en casos que involucran irregularidades corporativas, como cuando una organización intenta deliberadamente encubrir o minimizar una brecha de seguridad de accionistas y clientes, a pesar de que existen amplias pruebas que indican lo contrario, según un balance de probabilidades. En otras ocasiones, una empresa puede no revelar un incidente cibernético en absoluto. Aun así, las conversaciones en la dark web y los sitios de filtraciones de ransomware pueden permitir a los investigadores, al público y a los periodistas plantear preguntas importantes.

#TKSteProtege

• Fuente: CIO.