Dark Web Intelligence: Monitorización sin Exponerse

La dark web es una fuente de inteligencia defensiva de alto valor: credenciales filtradas, exploits en venta, comunicaciones de actores y datos de ransomware leak sites

La monitorización de la dark web no es una actividad de hacking. Es una disciplina de inteligencia que permite a los equipos de seguridad detectar amenazas antes de que impacten a su organización: credenciales de empleados vendidas en foros, datos corporativos publicados en leak sites, exploits para vulnerabilidades de su infraestructura, o menciones de su organización como objetivo de un actor.

Este artículo cubre qué monitorizar, cómo hacerlo de forma segura, qué herramientas existen y las consideraciones legales que todo analista debe conocer.

Qué es Dark Web Intelligence

Dark Web Intelligence (DWI) es la recopilación y análisis de información procedente de redes overlay que requieren software específico para acceder (Tor, I2P, Freenet). A diferencia del OSINT convencional, que opera sobre la web abierta, DWI implica acceder a espacios donde los actores de amenazas operan con expectativa de anonimato.

La dark web no es un bloque monolítico. Se compone de:

• Foros cerrados: comunidades donde los actores intercambian conocimiento, herramientas y accesos. Algunos requieren invitación o pago para entrar.
• Mercados (marketplaces): plataformas de compra-venta con escrow, reputación de vendedores y categorías de productos (accesos, credenciales, exploits, datos).
• Ransomware leak sites: páginas operadas por grupos de ransomware donde publican datos de víctimas que no pagaron el rescate.
• Paste sites: servicios tipo Pastebin en .onion donde se publican dumps de credenciales, configs, listas de IPs.
• Canales de Telegram y Discord: grupos semi-públicos donde actores comparten datos, herramientas y coordinan operaciones. Técnicamente no son dark web, pero funcionan como extensión de ese ecosistema.
• Chats IRC/XMPP: comunicación directa entre actores, difícil de monitorizar sin acceso.

Red Tor: fundamentos para defensores

Tor (The Onion Router) enruta el tráfico a través de tres nodos (entrada, intermedio, salida) cifrando en capas. Los servicios .onion operan dentro de la red sin pasar por nodos de salida, lo que dificulta localizar tanto al servidor como al cliente.

Lo que un defensor necesita saber:

• Los .onion son efímeros: un sitio puede cambiar de dirección en horas. Los foros y mercados se cierran y reabren bajo nuevas direcciones periódicamente.
• No hay indexación centralizada: no existe un "Google de la dark web". Los directorios de enlaces (.onion) son incompletos y desactualizados.
• La velocidad es baja: la latencia de Tor hace que el scraping sea lento y poco fiable.
• El contenido desaparece: un leak site puede estar online hoy y desaparecer mañana. La captura inmediata es crucial.

Qué monitorizar

1. Credenciales filtradas

Las credenciales corporativas (email + password, tokens de sesión, cookies) aparecen en la dark web por tres vías: breaches masivos (dumps de bases de datos comprometidas), infostealers (malware que roba credenciales del navegador y las exfiltra), y combolists (compilaciones de credenciales de múltiples fuentes).

Qué buscar:

• Dominios corporativos en dumps de credenciales (@tuempresa.com)
• Credenciales de servicios críticos (VPN, RDP, correo, cloud)
• Cookies de sesión activas (permiten bypass de MFA)

Impacto: una credencial VPN válida vendida por 10 USD puede ser el initial access de un ataque de ransomware que cueste millones.

2. Data leaks y ransomware leak sites

Los grupos de ransomware operan leak sites donde publican datos de víctimas que no pagan. Monitorizar estos sitios permite:

• Detectar si tu organización (o proveedores) ha sido comprometida antes de que el grupo publique todos los datos
• Obtener IOCs del grupo: IPs de infraestructura, samples del ransomware, TTPs de la intrusión
• Identificar tendencias: qué sectores atacan, qué vectores de entrada usan, cómo evoluciona su operación

Grupos activos con leak sites (2025-2026): LockBit, BlackBasta, Cl0p, ALPHV/BlackCat, Play, 8Base, Akira, Hunters International, Medusa, RansomHub.

Herramientas de monitorización gratuitas: Ransomware.live indexa y archiva víctimas publicadas en leak sites con screenshots y metadatos.

3. Venta de exploits y accesos

Los mercados y foros de la dark web son el canal de distribución de:

• Exploits zero-day y N-day: código de explotación para vulnerabilidades no parcheadas o recientes. Los precios van de cientos a millones de USD.
• Initial Access Broker (IAB): actores que venden accesos a redes corporativas (credenciales VPN, RDP, sesiones Citrix). Son el primer eslabón de la cadena de ransomware.
• Herramientas ofensivas: builders de RATs, C2 frameworks crackeados, phishing kits.

Para un defensor, detectar que un acceso a tu red (o la de un proveedor) se vende en un foro es una alerta de nivel crítico.

4. Comunicaciones de actores de amenazas

Los foros cerrados son donde los actores:

• Reclutan afiliados para programas RaaS (Ransomware as a Service)
• Discuten TTPs y comparten experiencias de intrusión
• Publican tutoriales y herramientas
• Coordinan campañas y dividen beneficios

Monitorizar estas comunicaciones (cuando es posible) proporciona inteligencia estratégica sobre la evolución de las amenazas.

5. Menciones de tu organización

Buscar el nombre de tu empresa, dominios, rangos de IP, nombres de productos o de ejecutivos en foros, paste sites y canales. Una mención puede indicar:

• Reconocimiento previo a un ataque
• Discusión sobre vulnerabilidades específicas de tu infraestructura
• Filtración de datos que aún no has detectado internamente

OPSEC para analistas

La monitorización de la dark web requiere medidas de seguridad operacional estrictas. Un error de OPSEC puede exponer la identidad del analista, la dirección IP de la organización, o contaminar la estación de trabajo.

Hardware dedicado

No uses tu equipo de trabajo habitual. Opciones:

• Laptop dedicada: sin datos corporativos, sin cuentas personales, sin conexión a la red interna
• Raspberry Pi con Tails: arranca desde USB, no deja rastro en disco, todo el tráfico pasa por Tor
• VM aislada: Whonix (dos VMs: gateway Tor + workstation) o Tails en VM con red NAT aislada

Sistema operativo

• Tails (The Amnesic Incognito Live System): arranca desde USB, enruta todo por Tor, no persiste datos al apagar. Ideal para sesiones de monitorización.
• Whonix: dos VMs (Gateway + Workstation). El gateway fuerza todo el tráfico por Tor. La workstation no puede hacer leak de la IP real incluso si el navegador se compromete.
• Qubes OS: aislamiento por compartimentos. Cada actividad en una VM separada. El compromiso de una VM no afecta a las demás.

Identidad y personas

• Nunca uses credenciales corporativas: no tu email, no tu nombre, no nicknames que uses en otros contextos.
• Crea personas dedicadas: email desechable, nickname único para cada foro, historia consistente pero ficticia.
• No reutilices personas: si una persona queda "quemada" o asociada a tu organización, descártala y crea una nueva.

Conexión de red

• Nunca desde la red corporativa: usa una conexión separada (4G/5G con SIM prepago, WiFi público con VPN previa a Tor).
• Cadena VPN + Tor: opcional pero añade una capa. El VPN oculta el uso de Tor al ISP; Tor oculta el destino al VPN.
• No uses la misma conexión para actividades personales y de monitorización.

Comportamiento

• No interactúes: no publiques, no respondas, no compres, no descargues software ejecutable. Observa y documenta.
• Captura inmediatamente: usa screenshots y herramientas de archivo (wget con Tor, HTTrack). El contenido puede desaparecer en horas.
• No descargues ficheros sospechosos: si necesitas analizar un fichero encontrado, envíalo a una sandbox (ANY.RUN, Hybrid Analysis) desde una conexión separada.
• Registra tus sesiones: fecha, hora, sitio visitado, qué encontraste, acciones tomadas. Este log es importante para auditoría interna y para demostrar que la actividad fue defensiva.

Herramientas

Comerciales

DarkOwl: indexa y archiva contenido de la dark web (foros, mercados, paste sites, leak sites, canales Telegram). Búsqueda por dominio, email, keyword, hash. API REST para integración con plataformas CTI. Es probablemente la base de datos indexada más completa del sector.

Flashpoint: inteligencia sobre amenazas con foco en la dark web y comunidades cerradas. Ofrece analistas humanos que cubren foros en ruso, chino, árabe y otros idiomas. Incluye alertas automatizadas y análisis contextual.

Recorded Future: plataforma de inteligencia que combina web abierta, dark web, redes sociales y fuentes técnicas. Su módulo de dark web indexa foros, mercados y paste sites con NLP para extracción de entidades y relaciones.

Intel 471: especializado en inteligencia sobre actores de amenazas. Monitorización de foros underground, mercados y canales privados. Foco en adversary intelligence con perfiles detallados de actores.

Gratuitas y de código abierto

Tor Browser: el punto de partida. Configurado correctamente (nivel de seguridad "Safest", JavaScript deshabilitado por defecto), permite acceso directo a servicios .onion.

Ahmia.fi: motor de búsqueda de servicios .onion. Indexa una fracción del contenido de la dark web, pero es un punto de entrada útil. Disponible tanto en clearnet como en .onion.

Ransomware.live: monitorización automatizada de leak sites de grupos de ransomware. Gratuito, actualizado constantemente, con API y RSS.

Have I Been Pwned (HIBP): no es dark web en sentido estricto, pero indexa credenciales de breaches que circulan en la dark web. Búsqueda gratuita por email y dominio. API para monitorización automatizada.

IntelX (Intelligence X): motor de búsqueda que indexa paste sites, leaks, breaches y contenido de la dark web. La versión gratuita tiene búsqueda limitada; la versión académica ofrece acceso más amplio.

OnionScan: herramienta de análisis de servicios .onion. Identifica configuraciones inseguras, información filtrada y conexiones entre servicios. Útil para mapear infraestructura de actores.

DarkSearch.io: API de búsqueda en la dark web. Indexa servicios .onion y permite búsquedas por keyword. Versión gratuita con límite de queries.

Consideraciones legales

La monitorización de la dark web opera en un marco legal que varía por jurisdicción, pero hay principios generales:

Lo que es legal (generalmente)

• Acceder a la red Tor y navegar servicios .onion
• Observar y documentar contenido público en foros y mercados
• Buscar credenciales de tu propia organización en dumps filtrados
• Monitorizar leak sites para detectar datos de tu organización
• Reportar hallazgos a las autoridades competentes

Lo que es ilegal (en la mayoría de jurisdicciones)

• Comprar datos robados, credenciales, exploits o accesos
• Contratar servicios de DDoS, phishing o intrusión
• Descargar CSAM (material de abuso sexual infantil) bajo cualquier circunstancia
• Participar activamente en foros delictivos (publicar, intercambiar)
• Acceder a sistemas ajenos sin autorización (incluso si encuentras credenciales)

Zona gris

• Descargar una muestra de datos filtrados para verificar si son reales: depende de la jurisdicción y del tipo de datos
• Usar credenciales encontradas para verificar si son válidas en sistemas propios: técnicamente es testing de seguridad propio, pero documentar el proceso
• Registrarse en foros cerrados con una persona ficticia: legal como técnica de inteligencia, pero la organización debe tener una política que lo autorice

Recomendaciones

1. Documenta todo: mantén un registro de cada sesión con fecha, hora, fuente, hallazgos y acciones. Este log te protege.
2. Política interna: antes de iniciar un programa de DWI, obtén aprobación escrita de la dirección. Define qué está autorizado y qué no.
3. Consulta legal: involucra al departamento legal para validar que las actividades cumplen con la legislación aplicable (RGPD en la UE, CFAA en EE.UU., etc.).
4. Coordina con LEA: si encuentras evidencia de delitos graves (en particular CSAM o amenazas inminentes), tienes obligación de reportar a las autoridades.

Construir un programa de monitorización

Nivel 1: Monitorización básica (sin coste)

• HIBP Domain Search: monitorizar credenciales de empleados en breaches conocidos
• Ransomware.live: alertas RSS cuando un grupo de ransomware publica víctimas de tu sector
• Google Alerts: buscar el nombre de tu organización + "leak", "breach", "hack" en la web abierta
• abuse.ch feeds: IOCs de malware activo para correlacionar con tu tráfico

Esfuerzo: 2-3 horas/semana. Un analista junior puede gestionarlo.

Nivel 2: Monitorización activa (bajo coste)

Todo lo anterior, más:

• Tor Browser en hardware dedicado: sesiones semanales de revisión de foros y leak sites relevantes para tu sector
• IntelX: búsquedas periódicas por dominio, email y keywords de la organización
• MISP: correlación de IOCs de dark web con telemetría interna
• Alertas automatizadas: scripts que consultan APIs de fuentes gratuitas y notifican por email/Slack

Esfuerzo: 5-8 horas/semana. Requiere un analista con formación en OPSEC.

Nivel 3: Programa dedicado (inversión)

Todo lo anterior, más:

• Plataforma comercial (DarkOwl, Flashpoint o similar): indexación automatizada, búsqueda por dominio/email/keyword, alertas en tiempo real
• Analista dedicado (parcial o completo): perfil con experiencia en foros underground, idiomas relevantes (ruso, chino) y capacidad analítica
• Integración con CTI platform: los hallazgos de DWI alimentan automáticamente la plataforma CTI (MalwareIntel, MISP, OpenCTI)
• Reporting ejecutivo: informes mensuales sobre la exposición de la organización en la dark web

Esfuerzo: 15-20 horas/semana. ROI demostrado en organizaciones con activos de alto valor.

Integración con plataforma CTI

Los datos de DWI deben fluir hacia la plataforma CTI para correlacionarse con otras fuentes:

Credenciales filtradas

Detección en DW: [email protected] + password en dump
  -> Crear IOC tipo "credential" en plataforma CTI
  -> Correlacionar con intentos de login fallidos en SIEM
  -> Acción: forzar reset de password + investigar si la cuenta fue usada

IOCs de leak sites

Detección en DW: grupo ransomware publica datos de proveedor
  -> Crear incidente en plataforma CTI
  -> Extraer IOCs del grupo (IPs C2, hashes ransomware, TTPs)
  -> Verificar si los mismos IOCs aparecen en telemetría propia
  -> Acción: reforzar monitorización de accesos del proveedor

Venta de accesos

Detección en DW: IAB vende acceso VPN a "empresa sector X, país Y"
  -> Evaluar si coincide con tu organización o sector
  -> Buscar accesos VPN anómalos en los últimos 30 días
  -> Acción: rotar credenciales VPN, activar MFA si no existe

Recursos

• Tor Project
• Tails OS
• Whonix
• Ransomware.live
• Have I Been Pwned
• Intelligence X
• Ahmia Search Engine
• DarkSearch API
• FIRST (Forum of Incident Response and Security Teams)
• ENISA Threat Landscape