Clear Web vs. Deep Web vs. Dark Web Los profesionales de inteligencia de amenazas dividen Internet en tres componentes principales: Clear Web: activos web que se pueden ver a través de motores de búsqueda públicos, incluidos medios, blogs y otras páginas y sitios. Deep Web: sitios web y foros que no están indexados por los motores de búsqueda. Por ejemplo, correo web, banca en línea, intranets corporativas, jardines amurallados, etc. Algunos de los foros de piratas informáticos existen en la Deep Web y requieren credenciales para ingresar. Dark Web: fuentes web que requieren un software específico para obtener acceso. Estas fuentes son anónimas y cerradas, e incluyen grupos de Telegram y foros solo para invitados. La Dark Web contiene Tor, P2P, foros de piratas informáticos, mercados criminales, etc. Según Etay Maor, estratega jefe de seguridad de Cato Networks, «hemos estado viendo un cambio en la forma en que los criminales se comunican y realizan sus negocios, pasando de la parte superior del glaciar a sus partes inferiores. Las partes inferiores permiten una mayor seguridad». Spotlight: ¿Qué es Tor? Tor es una red libre, construida sobre código abierto, que permite la comunicación anónima. Aunque Tor fue desarrollado originalmente por el Laboratorio de Investigación Naval de los Estados Unidos, se ha convertido en una solución cada vez más popular para actividades ilegales. Llevar a cabo estas actividades en la Clear Web puede llevar a la vigilancia de las fuerzas del orden y permitir el rastreo hasta el delincuente. Pero a través de Tor, la comunicación se cifra en tres capas que se despegan en cada salto de nodo hasta salir de la red. Las agencias de aplicación de la ley que monitorean Tor no verán la IP del delincuente, sino el nodo de salida de Tor, lo que dificulta el rastreo hasta el delincuente original. Arquitectura de comunicación de Tor: Etay Maor agrega «En la década de 2000, una alineación celestial de capacidades digitales impulsó los esfuerzos delictivos. Primero, surgió la Dark Web. Luego, los servicios ocultos y seguros a través de Tor. Finalmente, la criptomoneda permitió transacciones seguras». Servicios criminales disponibles en la Dark Web Estos son algunos ejemplos de servicios que estaban disponibles en la dark web en el pasado. Hoy, muchos de ellos han sido eliminados. En cambio, los delincuentes se están moviendo hacia la plataforma de mensajería Telegram, debido a sus características de privacidad y seguridad. Ejemplos incluyen: Venta de drogas: Servicios de identidad falsa: Mercado para búsqueda de proveedores, incluyendo una advertencia sobre intentos de phishing: ¿Cómo se gestionan los foros criminales? Crear confianza en un entorno no confiable Los atacantes intentan explotar vulnerabilidades e irrumpir en los sistemas como una forma de obtener ganancias. Al igual que cualquier otro ecosistema comercial, utilizan foros en línea para comprar y vender servicios de piratería. Sin embargo, estos foros necesitan crear confianza entre los miembros, mientras que ellos mismos se basan en el crimen. En términos generales, dichos foros se diseñaron inicialmente de la siguiente manera: Administrador: modera el foro Depósito en garantía: facilita los pagos entre los miembros Lista negra: un árbitro para resolver problemas como pagos y calidad del servicio Soporte del foro: varias formas de asistencia para alentar la participación de la comunidad Moderadores: líderes de grupo para diferentes temas Proveedores verificados: proveedores que fueron avalados, a diferencia de algunos proveedores que son estafadores Miembros regulares del foro: los miembros del grupo. Fueron verificados antes de que se les permitiera ingresar al foro para filtrar a los estafadores, las agencias de aplicación de la ley y otros miembros irrelevantes o riesgosos. El camino desde la infección de malware hasta la fuga de datos corporativos en la Dark Web Veamos cómo se representan las diferentes etapas de un ataque en la Dark Web, a través de un ejemplo de malware utilizado para robar información con fines de ransomware: Fases previas al incidente: 1. Recopilación de datos: los actores de amenazas ejecutan campañas de malware de robo de información en todo el mundo y roban registros de credenciales comprometidas y huellas digitales de dispositivos. 2. Proveedores de datos: los actores de amenazas suministran datos a los mercados de la Dark Web que se especializan en credenciales y huellas digitales de dispositivos de computadoras infectadas con malware. 3. Suministro fresco: los registros se ponen a la venta en el mercado de la Dark Web. El precio de un registro suele oscilar entre unos pocos dólares y 20 dólares. Fases del incidente activo: 4. Compra: un actor de amenazas especializado en el acceso inicial a la red compra los registros y se infiltra en la red para elevar el acceso. Muchas veces la información comprada incluye más que credenciales. Incluye sesiones de cookies, huellas digitales de dispositivos y más. Esto permite imitar el comportamiento de la víctima para eludir los mecanismos de seguridad como MFA, lo que hace que los ataques sean más difíciles de detectar. 5. Subasta: el acceso se subasta en un foro de la Dark Web y lo compra un grupo de amenazas experto. Etay Maor señala: «Las subastas se pueden realizar como una competencia o como «Flash», lo que significa que un actor de amenazas puede comprar inmediatamente sin la competencia. Los grupos de amenazas graves, especialmente si están respaldados por estados nacionales o son grandes bandas criminales, pueden usar esta opción para invertir en su negocio». 6. Extorsión: el grupo ejecuta el ataque, colocando ransomware en la organización y extorsionándola. Esta vía resalta las diversas áreas de especialización dentro del ecosistema criminal. Como resultado, un enfoque de múltiples capas impulsado por la operacionalización de los datos de amenazas puede alertar y posiblemente prevenir incidentes futuros. El papel de HUMINT Las soluciones automatizadas son indispensables para combatir el cibercrimen, pero para comprender completamente este ámbito, también se requiere inteligencia humana (HUMINT). Estos son los oficiales de delitos cibernéticos, los actores de las agencias de aplicación de la ley que inician sesión en foros y actúan como actores comerciales. La participación es un arte, y también tiene que ser un ARTE: procesable, confiable y oportuno. Veamos algunos ejemplos de los foros rastreados por los oficiales de delitos cibernéticos y cómo responden. En este ejemplo, un atacante está vendiendo inicios de sesión de VPN: El oficial de delitos cibernéticos intentará interactuar y comprender a qué VPN o cliente pertenece. En otro ejemplo, un atacante está vendiendo acceso a Citrix a un proveedor de servicios y soluciones de infraestructura de TI en el Reino Unido. Un oficial de delitos cibernéticos podría comunicarse como un comprador potencial y solicitar muestras. Dado que el vendedor está actuando desde un punto de vista económico y podría no estar en una buena situación financiera (procedente de países de la ex URSS), estará dispuesto a enviar muestras para promover una venta. Protección contra ataques de red La Dark Web opera como un ecosistema económico, con compradores, vendedores, oferta y demanda. Por lo tanto, la protección eficaz contra los ataques de red requiere un enfoque de múltiples capas para cada etapa del ataque, tanto antes del incidente como durante el incidente mismo. Tal enfoque incluye el uso de herramientas automatizadas, así como HUMINT, el arte de interactuar con los ciberdelincuentes en línea para recopilar inteligencia imitando la forma en que operan. Para ver más ejemplos fascinantes y conocer más detalles sobre HUMINT y los foros de la Dark Web, mira la clase magistral completa aquí. ¿Te resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.