Diez cosas que debe saber sobre la navegación en la ‘dark web’
En las sombras de Internet se pueden encontrar muchas cosas, desde datos confidenciales robados hasta herramientas de ataque a la venta, la web oscura es un tesoro de riesgos para las empresas.
La dark web (web oscura) se refiere a las páginas web que no están indexadas por los motores de búsqueda. Bajo el manto del anonimato, los ciberdelincuentes y los actores de amenazas pueden operar, vendiendo una serie de herramientas y servicios que pueden utilizarse para causar estragos en las organizaciones. Los responsables de la seguridad de la información tienen que enfrentarse a muchas cosas, por lo que a continuación se indican diez aspectos que deben tenerse en cuenta al navegar por la web oscura.
Cada día aparecen nuevos servicios en la web oscura
Según Ivan Shefrin, experto en Ciberseguridad de Comcast Business, el número y la variedad de servicios de ciberdelincuencia disponibles en la web oscura van en aumento. Esto incluye botnets, productos fáciles de desplegar, credenciales robadas, exploits simples y sofisticados, como el acceso a sistemas privilegiados como Active Directory y exploits zero day no publicados.
Los botnets son baratos y fáciles de usar, por lo que siguen figurando entre las mercancías más comunes de la ciberdelincuencia que se venden en la web oscura. "Estas grandes redes de ordenadores comprometidos y dispositivos IoT se pueden utilizar para una variedad de actividades cibernéticas maliciosas, incluidos ataques DDoS, fraude de clics de comercio electrónico, ransomware y minería de criptomonedas. Dado que se ha vuelto relativamente fácil reutilizar bots en diferentes tipos de vectores de ataque, esto ha llevado a la creación de un mercado negro de botnets", explica Shefrin.
Las credenciales robadas han sustituido a los exploits como el método más común de obtener acceso inicial a entornos internos, lo que afecta a lo que se demanda en la web oscura. "Entre las más buscadas se encuentran las credenciales válidas para acceder a escritorios remotos, que experimentaron un gran aumento durante la pandemia de la Covid-19", afirma el experto. "La dark web es la fuente a la que todo el mundo acude para obtener acceso inicial a las redes de las víctimas".
Algunos espacios son sólo por invitación
Existe todo un ecosistema en la dark web para la venta de vulnerabilidades y exploits contra sistemas corporativos, muchos de ellos sólo por invitación, según Gareth Owenson, investigador experimentado de la dark web y CTO de Searchlight Cyber.
La forma en que funciona es que los delincuentes llevan a cabo cierto reconocimiento de los clientes y la red objetivo y sabrán qué sistemas y redes están ejecutando cuando recurren a la dark web. "Entran en estos mercados en busca de vulnerabilidades para esos sistemas concretos. Y cuando las encuentran, pagan un precio por un exploit que funcione contra esa vulnerabilidad", comenta Owenson.
Existe una cadena de suministro para diseñar ataques contra redes corporativas, en la que los delincuentes compran diferentes servicios y productos técnicos a otros actores, algunos de los cuales son individuos y otros son grupos delictivos serios y organizados en la web oscura. "Es posible que los autores de un ataque no accedan directamente a la red de la organización. Pueden pagar a otra persona para que lo haga, porque esa persona ha comprado una vulnerabilidad en la dark web para obtener el acceso", afirma.
Según Ryan Estes, analista de Intrusiones de WatchGuard Technologies, conocer a las personas adecuadas o pagar por el acceso suele ser la forma más habitual de acceder a los foros exclusivos para invitados. "También se puede generar confianza con los miembros de estos grupos o foros, pero eso suele ser algo que hacen los agentes de la ley que actúan de incógnito", incide.
Rennie Westcott, analista de Inteligencia de Blackbird AI dice que el acceso a lugares por invitación se realiza normalmente a través de proveedores de datos de terceros. "La mayoría de las organizaciones no tendrán una tolerancia al riesgo que permita a los empleados acceder a foros de la web profunda y oscura solo con invitación". Sin embargo, los profesionales experimentados en organizaciones con una tolerancia de alto riesgo ciertamente pueden ver beneficios a través de rastrear foros de deep web para cosas como credenciales expuestas y TTP relevantes para la infraestructura de seguridad de su organización. "Los investigadores suelen crear personajes falsos adaptados al sitio al que quieren acceder: aquí es donde las habilidades lingüísticas y la capacidad de asimilar comunidades marginales son esenciales", añade.
Las medidas de represión dificultan la confianza
Las fuerzas del orden pueden infiltrarse en los grupos y reunir suficientes detalles para identificar al grupo que dirige el sitio o los miembros del grupo pueden cometer un error y publicar accidentalmente su dirección de correo electrónico en el mundo real y ser identificados y detenidos.
Sin embargo, uno de los retos para las fuerzas del orden a la hora de acabar con estos grupos es que rotan su infraestructura. En una reciente ofensiva de las fuerzas de seguridad, se desmantelaron muchos servidores de forma coordinada, porque si se les escapa uno solo, todo el conjunto sigue funcionando, explica Owenson. "Por tanto, si todas las fuerzas del orden van a por un servidor, tienen servidores en todo el mundo que lo sustituyen automáticamente", prosigue.
Las fuerzas del orden de muchos países, incluida la Policía Federal Australiana (AFP), vigilan activamente la web oscura mediante técnicas sofisticadas, operaciones selectivas y nuevos poderes policiales, como las órdenes de actividad en la red y de alteración de datos. Su objetivo es la venta ilícita de datos personales, el desarrollo y la venta de programas maliciosos y herramientas para la ciberdelincuencia, así como la "ciberdelincuencia como servicio". "El objetivo es identificar, desarticular y perseguir a los ciberdelincuentes a escala nacional y a través de alianzas internacionales con los organismos encargados de la aplicación de la ley", afirma un portavoz de la AFP.
"Las actuaciones conjuntas de las fuerzas del orden nacionales e internacionales han conducido a importantes detenciones e incautaciones de activos de origen delictivo y fondos ilícitos, y han mejorado la seguridad del entorno en línea para los australianos", defiende el portavoz.
Algunas de las principales operaciones incluyen el desmantelamiento de Genesis Market, que ofrecía credenciales robadas y acceso a dispositivos comprometidos, y el cierre de 'DarkMarket', que tenía casi 500.000 usuarios, más de 2.400 vendedores y más de 320.000 transacciones.
Las fuerzas y cuerpos de seguridad también tendrán que responder a las filtraciones importantes con grupos de trabajo especializados para vigilar y minimizar el uso indebido de información sensible y de identificación personal (IIP). Otro ejemplo es la Operación Guardián, llevada a cabo en colaboración con la policía de los estados y territorios y el Centro Australiano de Ciberseguridad, que se creó a raíz de las graves filtraciones sufridas por Optus, Medibank y Latitude en Australia. "La Operación Guardián trabaja para desbaratar conductas delictivas, incluida la posible venta de información de identificación personal en la red oscura, y perseguir a los responsables", explica el portavoz.
Hay mucho a la venta en la web oscura
Tal vez no todo, pero casi todo lo que se vende en la web oscura son productos ilícitos e ilegales: drogas, armas de fuego y venenos, así como exploits, vulnerabilidades, accesos, herramientas, técnicas y datos robados.
Según Nirmit Biswas, analista principal de Market Research Future, los datos son la mercancía más común que se vende en la red oscura. "Se han pirateado credenciales de cuentas, datos de tarjetas de crédito, direcciones y números de la seguridad social. Puede que alguien ni siquiera se dé cuenta de que ha sido pirateado, pero la información de su empresa y de sus empleados podría venderse", afirma Biswas.
Según el Índice de Precios de la Web Oscura de Privacy Affairs, los atacantes pueden ganar mucho dinero con la información personal robada, desde tarjetas de crédito hasta cuentas de Netflix. Actualmente, el precio de la información robada de tarjetas de crédito con un saldo de hasta 1.000 dólares es de sólo 70 dólares, mientras que las tarjetas con un saldo de hasta 5.000 dólares cuestan 110 dólares. "El índice muestra lo barato que es conseguir datos en la red oscura", insiste Biswas.
Los nichos específicos están de moda
Lo que antes era una pequeña y desconocida zona de Internet se ha convertido en un poder formidable, según Biswas, y los atacantes están innovando para adelantarse a los defensores en el juego del gato y el ratón. Se ha diversificado y ampliado, y un área que está experimentando un interés creciente son los ataques de ransomware, que están estimulando la actividad delictiva en la web oscura.
Los sindicatos de ciberdelincuentes publicarán los datos robados si no se paga un rescate. También facilitarán a otros delincuentes la búsqueda de correos electrónicos de empleados y clientes en esos datos. Con ello se pretende aumentar el daño a la reputación de una organización, aumentando así la posibilidad de que paguen el rescate.
"Y como el material de ransomware es tan popular, los hackers están tomando fotografías de colecciones de ransomware y archivos de registro de botnets y publicándolas con la esperanza de aumentar su reputación y renombre", afirma Biswas. Muchos vendedores del mercado también proporcionan exploits de día cero que aún no se han encontrado o hecho públicos. "En otros casos, cuando las empresas revelan vulnerabilidades de software, los exploits operativos se hacen accesibles en foros y mercados de la darknet", afirma.
Otro ámbito en auge son las bases de datos de contactos de marketing, que han estado disponibles en la web oscura durante algún tiempo, pero la cantidad agregada ha aumentado drásticamente en los últimos años, según Biswas. Aunque los datos pueden estar disponibles públicamente en las redes sociales o en directorios de empresas, se extraen y se vuelven a publicar. Y puede que ni siquiera sean exactos al 100%. "Pero sigue exponiendo a un gran número de personas a estafas de phishing, fraude corporativo e ingeniería social", afirma.
La estandarización de las violaciones de datos se está convirtiendo en la norma, explica Sarah Boutboul, analista de Inteligencia de Blackbird AI, lo que ayuda a los malos actores a realizar búsquedas más específicas de la información concreta que buscan en la web oscura. Esto significa que la actividad de violación de datos se ha vuelto más organizada en foros de hacking, aplicaciones de chat y sitios de contactos. "Los actores de amenazas solicitan y comparten cada vez más datos que encajan en categorías específicas, lo que conduce a un panorama más estructurado para el comercio ilícito de datos", afirma Boutboul.
Puedes usar la ‘dark web’ para comprar más ‘dark web’
No es de extrañar que la web oscura también venda las herramientas técnicas y la información necesarias para crear otra web oscura. "Ya existen muchas dark webs", afirma Douglas Lubhan, vicepresidente de Inteligencia de Amenazas de BlackFog. "Básicamente, cualquier red que esté protegida de los buscadores de Internet y restrinja el acceso a ella es una dark web. Si se quiere, se pueden crear capas sobre capas", añade.
Aumenta el uso de la web oscura
El número de usuarios a través de repetidores ha aumentado en 2023, y el número de repetidores en sí también lo ha hecho, según las métricas de Tor, lo que sugiere que el uso de la web oscura está creciendo.
Según Estes, de WatchGuard, hay algunos foros muy conocidos que ofrecen subastas, trueques o ventas de vulnerabilidades y exploits, entre los que se incluyen Russian Anonymous Marketplace (RAMP), exploit[.]in y xss[.]is.
Estes asevera que estos foros son también vectores para los esfuerzos de reclutamiento por parte de grupos de ransomware y ofrecen consejos de hacking para la venta. "En algunos casos, los usuarios venden información de acceso a las organizaciones en lo que se denomina IAB (intermediarios de acceso inicial). La web oscura es una mezcolanza de comercio cibercriminal", afirma.
Y cada vez aparecen nuevos dominios. "Observamos un puñado de nuevas páginas de ransomware de doble extorsión al mes; en algunos casos, se trata de nuevas marcas de grupos de ransomware previamente conocidos. Así que, a medida que algunos sitios web caen, otros surgen (rebrand). El volumen de dominios de la web oscura se ha mantenido estancado, aunque el tráfico global ha aumentado recientemente", afirma Estes.
Muchos son perfectamente inocentes
Estes está de acuerdo en que existen propósitos legítimos para utilizar herramientas de anonimato como Tor. En algunos casos, algunas organizaciones crean un dominio web claro y otro oscuro. "La razón más obvia para esto es permitir a los usuarios que no usan Tor acceder a su sitio web", dice Estes, citando al FBI y a X (antes Twitter) como dos ejemplos.
En cuanto a los sitios maliciosos, ha habido casos en los que un grupo de ransomware crea un dominio con errores tipográficos o un dominio de la dark web que refleja el sitio web de una víctima. "A continuación, proporcionan instrucciones o más intentos de chantaje para coaccionar aún más a las víctimas para que paguen. ALPHV/BlackCat y Lorenz son ejemplos de ello", insiste Estes.
Algunos de los usos legítimos de la tecnología de anonimato como Tor, incluyen cuando periodistas, activistas y otros necesitan alojar contenido de forma anónima y proteger sus comunicaciones de gobiernos o regímenes opresivos. Owenson reconoce que Tor tiene usos legítimos para la privacidad y para eludir la censura; sin embargo, su investigación sugiere que la gran mayoría de las actividades son de naturaleza delictiva.
Owenson cree que el problema es que quienes dirigen la red Tor, a pesar de albergar actividades ilícitas, no vigilan activamente los sitios debido a su compromiso ideológico con el anonimato. "Han expresado que no tienen interés en censurar ninguna parte de la web oscura".
Sigue imitando al mundo corporativo
La web oscura se está volviendo cada vez más corporativa en varios ámbitos, como la piratería informática, la contratación y los servicios tecnológicos. Los ciberdelincuentes crearán aplicaciones móviles, sitios web y perfiles de redes sociales de ejecutivos y empresas que parezcan exactamente iguales a los reales.
"Podría ser una aplicación bancaria que se parece a tu banco pero no lo es. Si la descargas o visitas un sitio y envías tu nombre de usuario y contraseña, te verás afectado. Si se trata de un perfil falso en las redes sociales, los ciberdelincuentes pueden compartir información manipulada que afecte a la marca de la empresa y a la cotización de sus acciones", explica Boutboul, de Blackbird AI.
Además, los foros de la web oscura están adoptando controles de acceso más estrictos al estilo empresarial debido al aumento de las acciones policiales. "Los administradores examinan a los recién llegados con más cuidado, exigiendo referencias y tokens de verificación. Algunas plataformas exigen importantes pagos en criptomoneda por adelantado", afirma Boutboul. "Los ciberdelincuentes están respondiendo al aumento de las actividades policiales mejorando sus propias medidas de seguridad".
¿Cómo pueden las organizaciones combatir las amenazas que plantea la web oscura?
Existen una serie de herramientas y servicios que rastrean la web oscura en busca de amenazas y vulnerabilidades corporativas, pero se trata de un objetivo en constante movimiento. "La vigilancia de la web oscura es un campo en constante cambio que requiere actualizaciones y ajustes continuos para seguir teniendo éxito", afirma Biswas.
Un sistema eficaz de vigilancia de la web oscura debe proporcionar una amplia visibilidad sin tener que entrar en ella. "Esto evita que los usuarios administradores se pongan en peligro o se expongan a contenidos provocativos. Las soluciones deben destacar las palabras clave relevantes para su organización. Así podrá observar la amenaza a medida que evoluciona para responder en consecuencia", comenta.
"No existe una única solución de vigilancia de la web oscura para todos los casos de uso; algunas están totalmente automatizadas, otras requieren un equipo de especialistas para su gestión y otras se basan en el aprendizaje automático y la inteligencia artificial para ofrecer información precisa y relevante", concluye Biswas.
