beebright - stock.adobe.com
La dark web en 2021: ¿deberían preocuparse las empresas?
SearchSecurity habló con varios expertos para averiguar cómo ha cambiado la web oscura, cuáles son los riesgos de seguridad para las empresas y el valor de los servicios de monitoreo de la web oscura.
Cuando la web oscura (dark web) entró en la conciencia pública a principios de la década de 2010, fue ampliamente tratada como el punto siniestro más vulnerable de internet. En la dark web, todo vale, ya sea la venta ilegal de drogas, foros de piratas informáticos o cosas mucho, mucho más oscuras.
Desde una perspectiva empresarial y de seguridad, también hubo preocupaciones. La web oscura ha sido conocida como un lugar donde la información robada de violaciones de datos se empaqueta y se vende a cualquier persona con un poco de criptomonedas. El malware, incluido el ransomware, también estaba a la venta, al igual que la información financiera y la información de identificación personal (PII).
Pero los expertos dicen que la web oscura en los últimos años ha cambiado de manera significativa. ¿Qué tan frecuentes son las amenazas a la seguridad en este rincón oculto de internet? ¿Y qué tan preocupadas deberían estar las organizaciones con esas amenazas? Nuestra publicación hermana SearchSecurity habló con varios expertos en seguridad e investigadores de la web oscura, y también examinó varios mercados de la web oscura, para determinar qué se puede (y qué no) encontrar allí, cuáles son los riesgos de seguridad para las empresas y si las empresas deberían considerar invertir en recursos como el monitoreo de la web oscura.
Definiendo la dark web
La web oscura se refiere principalmente a sitios y contenido que residen en redes superpuestas en lugar de la internet tradicional. Estos sitios, a menudo denominados "servicios ocultos", requieren navegadores web especializados para acceder.
Uno de esos navegadores es Tor, que es un software gratuito de código abierto que permite una navegación prácticamente anónima. Además, los usuarios de Tor pueden descargar software para alojar relés (relays) o nodos para "servicios cebolla", que son sitios web que están configurados para ser accedidos solo por Tor. Los servicios de cebolla se enumeran con URLs .onion que incluyen una cadena opaca de caracteres en la dirección. Por ejemplo, una URL del mercado de Silk Road, un mercado negro desaparecido y el sitio web oscuro más famoso, era silkroad7rn2puhj[.]Onion.
Si bien definir la web oscura, que es diferente de la web profunda (deep web), es un poco más complicado que solo los servicios de cebolla, y aunque Tor Browser no es la única opción de navegación anónima, los servicios de cebolla representan una parte importante de la web oscura. Para los propósitos de este artículo, SearchSecurity examinó mercados y sitios web .onion bien conocidos (excepto aquellos con contenido más extremo).
Hay varias utilidades para los servicios de cebolla. Si bien la web oscura es conocida por los mercados negros, los servicios de sicarios falsos y el contenido de abuso, también hay una presencia significativa para aquellos que necesitan privacidad en internet por otras razones, incluido el activismo social y la comunicación dentro de los regímenes represivos; periodistas (incluidos los que trabajan en condiciones represivas) que necesitan comunicarse de forma segura con las fuentes; y defensores de la privacidad. También hay versiones .onion de Facebook, The New York Times, BBC y muchos otros.
Los servicios ocultos o de cebolla han existido antes de la aparición de Silk Road en 2011, pero el sitio fue uno de los primeros mercados importantes de la red oscura que ayudó a establecer la reputación de la red oscura como se la conoce hoy.
Lo que se puede (y no se puede) encontrar
Desde que se hizo pública, la dark web ha construido una mitología para sí misma y todas las cosas que pueden (o no) encontrarse allí.
Eileen Ormsby, experta en la web oscura desde hace mucho tiempo y autora de varios libros sobre el tema, incluido The Darkest Web, dijo que cuando se trata de las partes más oscuras de la web oscura, generalmente se encuentran tres tipos de contenido.
"La mayor parte de la web oscura son las drogas, el fraude –información pirateada, tarjetas de crédito robadas, ese tipo de cosas– y explotación infantil, una cantidad masiva de explotación infantil", dijo. "Esas son las tres cosas que realmente están en la web oscura. Todas las demás cosas son en su mayoría pelusa en el costado. Es divertido mirar en el costado, pero no son reales".
El contenido "en su mayoría pelusa" y "no real" se refiere a todo, desde supuestos servicios de sicarios a sueldo (los expertos dicen que son estafas) hasta "salas rojas", que se rumorea que ofrecen tortura y asesinato en vivo (los expertos dicen que esto también es falso). Hay sitios que afirman ofrecer contenido relacionado con la experimentación humana, archivos secretos del gobierno cuidadosamente categorizados en un repositorio en línea, ventas de animales exóticos y muchos otros engaños.
"Realmente, las únicas cosas que son viables para realizar transacciones en la web oscura son las que se pueden transferir fácilmente y tienen clientes habituales, por lo que los productos y bienes digitales se pueden enviar al correo como si fuesen pequeñas cantidades de medicamentos", dijo Ormsby. "Todo lo que no sea fácilmente transferible no tiene un gran mercado. Hay mercados de armas, pero son muy, muy pequeños y muy pocas transacciones se realizan con éxito en los mercados de armas".
Cuando se trata de los mercados de la red oscura, hay cierta diversidad (algunos se apegan a cosas como la marihuana o los psicodélicos mientras que otros venden drogas más duras, malware y/o fraude), pero muchos de los mercados más grandes venden casi todo, fuera de los materiales de explotación infantil y armas capaces de causar daños a gran escala.
Por ejemplo, un sitio web oscuro llamado "White House Market" es un mercado que usa una imagen de Walter White del programa de televisión Breaking Bad en su logotipo y anuncia todo tipo de drogas, así como algunas armas y defensa (incluidos chalecos antibalas y pistolas impresas en 3D), información financiera robada, inicios de sesión de cuentas robadas, malware (incluido ransomware), software pirateado y otras cosas, aunque sin contenido de explotación o armamento significativo.
Otro sitio, Versus Market, ofrecía una selección mixta similar, mientras que Monopoly Market (que tenía un logo con la mascota de Monopoly, Rich Uncle Pennybags) se enfocaba principalmente en narcóticos.
Todas las compras se realizan con criptomonedas. Si bien bitcoin es la criptomoneda más utilizada, numerosos mercados de redes oscuras se han trasladado a Monero debido a preocupaciones sobre la falta de anonimato. La capacidad de las fuerzas del orden para rastrear las transacciones de bitcoins ha mejorado con el tiempo, tanto que incluso se pueden rastrear las criptomonedas lavadas.
"La idea de que bitcoin es anónimo no es cierta y nunca lo ha sido. Absolutamente todas las transacciones que han existido pueden ser vistas en la cadena de bloques por cualquiera en cualquier momento. Lo que pasa es que no sabías quién estaba a cada lado de esas transacciones, y solía ser el caso que enviar bitcoins a través de un par de direcciones diferentes generaría suficiente confusión como para que nadie pudiera rastrearlo", dijo Ormsby. "Pero ahora, [la policía tiene] una tecnología de rastreo tan buena que pueden rastrear bitcoins a través de muchas direcciones diferentes. Mucha gente está siendo derribada ahora incluso después de muchos, muchos años, debido a ese mejor rastreo de bitcoins".
Monero tiene un libro mayor público similar a la cadena de bloques de bitcoin, pero el libro mayor de Monero confunde los detalles de la transacción con cifrado (el equipo de código abierto de Monero ha dicho que las transacciones son completamente confidenciales e imposibles de rastrear, pero los investigadores de seguridad han descubierto varias vulnerabilidades y debilidades que refutan esas afirmaciones). El enfoque de privacidad ahora también va más allá de las criptomonedas; el uso de PGP para cifrar las comunicaciones ahora se considera una necesidad debido a los temores de cierres del mercado por parte de las fuerzas del orden y las adquisiciones gubernamentales. Ambos son incidentes regulares en la web oscura.
Otros sitios ajenos al mercado que SearchSecurity visitó incluyen Dread, un foro de la web oscura inspirado en gran medida en Reddit, y Riseup, un colectivo destinado a brindar métodos y herramientas de comunicación segura en línea a los activistas sociales.
Cuando se le preguntó sobre cómo ha evolucionado la dark web desde que comenzó a navegar por ella en 2011, Ormsby calificó el estado actual de la dark web como una especie de "devolución".
"En muchos sentidos, creo que ha involucionado. En ese entonces, se necesitaba una cierta cantidad de conocimientos técnicos para ingresar a la web oscura y realizar transacciones, aunque era más simple en ese momento. Realmente era del dominio de unos pocos tipos de personas, y la mayoría de esos tipos de personas estaban básicamente dirigidos por Dread Pirate Roberts (Ross Ulbricht), el autor de Silk Road; era en gran medida un filósofo y quería crear casi esta nueva comunidad, y muchas personas en ese entonces eran parte de los cypherpunks y toda la parte de esa filosofía, que estamos tratando de construir esta nueva vida en línea", dijo. "Solía ser muy civilizado, discusiones de muy alto nivel, y ahora tienes a todos los hombres y sus perros ahí. Es muy parecido a Reddit o 4chan o ese tipo de cosas en las que hay mucho ruido para llegar al oro.”
Malware, información robada y violaciones de datos
El comercio de malware, información personal robada y filtraciones de datos son preocupaciones principales desde una perspectiva de seguridad. Los mercados, los foros de piratas informáticos y los sitios de grupos de ransomware albergan este tipo de contenido. Los sitios de ransomware se han convertido últimamente en una de las principales prioridades de las fuerzas del orden, gracias al creciente número de ataques y rescates de millones de dólares. Por ejemplo, el mes pasado, el Departamento de Justicia, en asociación con las autoridades búlgaras, interrumpió la operación del ransomware NetWalker al deshabilitar "un recurso oculto de la web oscura utilizado para comunicarse con las víctimas del ransomware NetWalker" y acusar a un ciudadano canadiense, Sebastien Vachon-Desjardins de Gatineau, Quebec, en relación con los ataques.
Las empresas llevan mucho tiempo preocupadas por los datos confidenciales, ya sean correos electrónicos internos o información de clientes, que terminan en foros y mercados de ciberdelincuentes. Pero John Shier, asesor de seguridad senior de Sophos e investigador de la web oscura, explicó que no es solo un problema de la web oscura.
"Cualquier infracción que se haga pública, se dividirá, se revenderá y volverá a empaquetar de un millón de formas diferentes y luego se venderá en los mercados, foros de la web clara y oscura, por todas partes. Está siempre presente. Siempre habrá este tipo de cosas en los mercados, en los foros de la dark web. Una de las razones por las que los delincuentes acuden en masa a la dark web es que la ven como una forma más segura de intercambiar esta información", dijo. "Esto ofrece una oportunidad para que los criminales que no se conocen entre sí encuentren un terreno común de una manera 'segura' a través de foros y mercados para comerciar con sus bienes mal habidos".
Lo mismo ocurre con el malware; Shier dijo que la mayor parte del código malicioso que se vende y comercializa en la web oscura también se puede encontrar en la web pública.
Roman Sannikov, director de ciberdelincuencia e inteligencia clandestina del proveedor de inteligencia de amenazas Recorded Future, dijo que las discusiones sobre la web oscura se han alejado del malware tradicional y se han orientado más hacia temas relacionados con el ransomware.
"En los últimos años, hemos visto un cambio en las discusiones de la web oscura que se alejan de cosas como DDoS, kits de explotación, malware de Android, malware en general y discusiones sobre fraude, tarjetas y temas similares. Eso no quiere decir que hayan desaparecido por completo –los temas todavía están ahí, pero el enfoque se ha desplazado más hacia temas relacionados con el ransomware, incluidas las infracciones, las criptomonedas y la extorsión. Por lo tanto, aunque los actores de amenazas pueden no anunciar los principales tipos de malware en la web oscura de manera muy abierta, hay mucho enfoque en las brechas y el acceso que facilitan los ataques de ransomware", dijo.
Sannikov también dijo que las discusiones sobre ciberdelincuentes se están alejando de los foros de la web oscura y más hacia los servicios de chat privados. Esto ha provocado algunas predicciones sobre la "muerte" de los foros de la web oscura, aunque dijo que eso es prematuro.
"Una de las cosas que ha cambiado en los últimos años es que muchas de estas discusiones se llevan a cabo y finalizan en servicios de chat más privados como Telegram, Discord y otros", dijo. "Si bien la muerte de los foros de la web oscura ha sido muy exagerada, y todavía son muy necesarios para las publicaciones iniciales y el contacto inicial, así como para generar confianza, la existencia de canales muy privados y altamente examinados en los servicios de chat ha hecho que sea aún más difícil y lento obtener acceso a las áreas sensibles donde se discuten algunos de los contenidos más interesantes".
En grandes mercados como White House Market, los listados de datos robados y malware están ampliamente disponibles.
El ransomware estaba a la venta por alrededor de $15-20 dólares (en Monero); se ofreció un listado de WannaCry por aproximadamente $50 dólares; y había algo llamado "El paquete completo y absoluto de virus peligrosos 2020" que se anunciaba por $10. Ofrecía una VPN, un "paquete de phishing", herramientas de administración remota, herramientas para descifrar contraseñas, herramientas DDoS y más. También había una lista titulada "Paquete de ransomware con código fuente", que afirmaba ofrecer nueve tipos diferentes de ransomware, incluidos CryptoLocker, BasicLocker y Jigsaw ransomware, entre ellos.
En cuanto a la información robada, White House Market presentó muchos inicios de sesión de cuentas, desde servicios como Netflix y Disney+ hasta cuentas financieras, así como "fullz", que se refiere a paquetes completos de PII de un individuo. SearchSecurity no pudo verificar la autenticidad de ningún listado de datos robados o malware. No está claro cuántos de estos listados son legítimos, ya que las estafas y los listados fraudulentos no son poco frecuentes en muchos mercados de la web oscura.
Riesgos potenciales de seguridad para empresas
Shier dijo que si bien ocurren cosas en la web oscura que pueden ser de interés para las empresas, no son necesariamente problemas exclusivos de la web oscura. Un ejemplo es el software crackeado.
"Una vez estaba en un foro y vi algo sobre una clave de activación de Sophos; todo era falso. Estaba junto con McAfee y Symantec y Kaspersky y algunos de los otros. Era una clave de activación para nuestro producto de punto final; lo investigué y era una estafa. Ese es el tipo de cosas a las que las empresas deben prestar atención", dijo. "La web oscura no es un lugar único para ese tipo de cosas. Se pueden ver esas cosas en la web clara. El software crackeado está en la web clara. Los keygen también están disponibles en la web clara. ¿Representa eso un peligro para las empresas? No lo creo", dijo Shier.
Luego, está el asunto de la información obtenida ilegalmente a partir de violaciones de datos. Shier dijo que las organizaciones deberían preocuparse por la venta o exposición de dichos datos, pero no solo en la web oscura. Señaló el ejemplo reciente de "SolarLeaks", un sitio en la web pública que afirmaba tener datos confidenciales de empresas violadas en los ataques de SolarWinds.
"SolarLeaks está promocionando un montón de código fuente a la venta que salió del hack de SolarWinds. Ahí hay código de Microsoft y algunas herramientas FireEye. No sé la validez de este material, pero hay una dirección web clara y una dirección de cebolla que ofrecen exactamente lo mismo", dijo. "No sé si la web oscura ofrece un riesgo adicional para las empresas".
En realidad, mientras que la web oscura ofrece una mayor privacidad y puede facilitar una criminalidad más abierta, casi todo lo que hay en la web oscura también se puede encontrar en la web clara. El malware, los datos robados (tanto personales como empresariales), las fugas de ransomware, el software descifrado e incluso el contenido de abuso no son exclusivos de las direcciones .onion opacas.
Sin embargo, Sannikov dijo que las empresas deberían prestar más atención a la web oscura porque puede ser un presagio de amenazas futuras, u ofrecer pistas sobre brechas o ataques que ya están en curso.
"Encontrarse a sí mismo como objeto de discusión en los foros o que las credenciales se filtren en las tiendas es a menudo la primera señal de que una empresa será o está siendo atacada por actores de amenazas y es un precursor de cosas como robos de datos importantes, ataques de ransomware u otros tipos de acciones maliciosas. Si un actor de amenazas está anunciando una inyección bancaria para un banco, es probable que ese banco vea un aumento en los ataques o intentos de fraude que son facilitados por esa inyección bancaria", dijo.
Servicios de monitoreo de la web oscura
Si bien el monitoreo de la web oscura es un término amplio que cubre diferentes servicios en diferentes compañías, generalmente se puede definir como un servicio que monitorea la web oscura en busca de señales de datos robados, ya sea información personal robada para el robo de identidad o credenciales de administrador para redes corporativas.
Algunos proveedores se especializan en servicios centrados en la empresa. Por ejemplo, Recorded Future ofrece monitoreo de la web oscura como uno de sus servicios de inteligencia de amenazas; la oferta combina la inteligencia recopilada por investigadores humanos dentro del Grupo Insikt de Recorded Future con tecnología automatizada para escanear todo, desde credenciales privilegiadas y código de software propietario hasta simples menciones de una marca corporativa.
Aamir Lakhani, estratega de seguridad global e investigador de Fortinet, dijo que la automatización es clave para monitorear la web oscura, pero también advirtió contra confiar únicamente en dicha tecnología sin investigadores y analistas humanos.
"Hay muchos sitios web oscuros y profundos. La mayoría de los datos no representan un desafío para buscar cuando una organización tiene la experiencia, pero puede llevar mucho tiempo. Las empresas necesitan desarrollar técnicas que protejan a la organización de ataques cibernéticos, no atraigan la atención de los actores de amenazas y no suponga ninguna responsabilidad para usted o su organización. Muchos sitios de darknet se cierran, cambian de dirección o cambian los requisitos sobre cómo acceder a los sitios. La automatización es vital para recopilar información en índices de búsqueda. Sin embargo, no es tan infalible como puede parecer".
Hay otros proveedores que ofrecen servicios de monitoreo de la web oscura que atienden a los consumidores. David Putnam, director de productos de protección de identidad de NortonLifeLock, dijo que, en comparación con los servicios gratuitos como Have I Been Pwned?, el servicio de monitoreo de la web oscura de LifeLock (que se ofrece para uso individual, así como para empresas como un beneficio para los empleados), permite que el usuario "lo configure y lo olvide". El servicio verifica no solo el correo electrónico de una persona, sino también 120 tipos de información, incluidos títulos universitarios y datos de atención médica personal, y alerta a los usuarios cuando se encuentra dicha información.
"No solo les decimos que algo ha sucedido como lo hace Have I Been Pwned? para la web oscura o Credit Karma para el crédito. Cuando se encuentra algo, y ahora se encuentra por millones, estamos allí para ayudarlos. Esa es nuestra gran obra en esto. Hacemos todo el trabajo, y si algo realmente sucede y están preocupados, pueden llamarnos y les ayudaremos a superarlo", dijo.
Incluso cuando la web oscura ha cambiado en los últimos años, varios proveedores de seguridad han introducido nuevos productos de monitoreo que están vinculados para satisfacer la demanda de los usuarios empresariales y los consumidores por igual.
En octubre, CrowdStrike anunció Falcon X Recon, un nuevo módulo en su oferta de inteligencia de amenazas que proporciona "conocimiento de la situación" al ir "más allá de la web oscura para incluir foros con acceso restringido en la web profunda, filtros de datos, repositorios de código fuente, copias de sitios, tiendas de greyware móvil, almacenamiento en la nube no seguro, publicaciones en redes sociales públicas y aplicaciones de mensajería", según su comunicado de prensa.
El vicepresidente senior de inteligencia de CrowdStrike, Adam Meyers, dijo que Falcon X Recon no se llama producto de monitoreo de la web oscura porque, uno, el servicio monitorea más que la web oscura, y dos, "web oscura" es un término de marketing.
“'Dark web' es un término de marketing. La gente dice cosas como 'estamos viendo la dark web'. Esto va más allá de la web oscura, también busca diferentes sitios de tipos de servicios ocultos que no son de Tor", dijo Meyers. "No queremos limitarlo diciendo web oscura, porque permite una conciencia situacional más completa de las amenazas que existen".
Katie Petrillo, gerente senior de marketing de productos LastPass en LogMeIn, dijo que el servicio de monitoreo de la web oscura de su compañía, presentado en agosto pasado, se proporciona como parte de su oferta general de administración de contraseñas para los clientes de LastPass que pagan, incluidos los usuarios finales de LastPass Enterprise. Petrillo también explicó que la ventaja del servicio es que es una función "siempre activa" que no necesita ser revisada activamente.
"La función de supervisión de la web oscura de LastPass evalúa todas sus direcciones de correo electrónico almacenadas en su bóveda y emite alertas de inmediato, a través de una notificación por correo electrónico y dentro del panel de seguridad de LastPass, si alguna de sus direcciones de correo electrónico se ha encontrado en la base de datos de credenciales violadas. Si tiene direcciones de correo electrónico comprometidas, se le guiará a través de los pasos para cambiar su contraseña para el sitio asociado con la infracción. También puede administrar las direcciones de correo electrónico que desea excluir de la supervisión. LastPass hace que todo el proceso sea fácil e intuitivo para usted, no se necesitan pasos adicionales", dijo.
¿Las empresas deben preocuparse por la web oscura?
A medida que la web oscura continúa evolucionando, o devolviendo, como dijo Ormsby, la pregunta sigue siendo para los CISO empresariales: ¿Deberían las empresas tomar medidas específicas con respecto a la web oscura, o es suficiente mantener una postura de seguridad sólida en general?
"Creo que tendría que ir con lo último", dijo Shier. "Para mí, la pregunta es: ¿comienza a mirar cosas específicas –las llamaré casos extremos– como la web oscura? Antes de hacer eso, debe tener su casa de seguridad en orden. Tiene que haber construido esa sólida base de seguridad".
Dio varios ejemplos, como asegurarse de que se realicen parches regulares; asegurarse de que 2FA esté habilitado en todas las cuentas críticas, así como en cualquier otra que pueda tenerlo; utilizar herramientas de monitoreo proactivo; y "realizar una formación continua de concienciación con su base de usuarios".
Una vez que una organización maneja estas cosas, la cuestión de "esa última milla" se vuelve más apropiada.
"A medida que avanzamos en este espectro de madurez de la seguridad, y cuando hayamos llegado al punto en el que sea una máquina de seguridad bien engrasada en la que esté haciendo todos los aspectos básicos, que se realicen búsquedas proactivas de amenazas, se cuente con supervisión de seguridad 24 horas al día, 7 días a la semana, un SOC [centro de operaciones de seguridad] y todas estas excelentes cosas, entonces estaremos llegando a la última milla en la que todas las cosas adicionales podrían ayudar, pero ¿hasta qué punto?", cuestionó.
Muchos servicios de monitoreo de la web oscura se ofrecen como soluciones individuales en plataformas y servicios más grandes, por lo que, en ciertos casos, el monitoreo no necesariamente debe ser una opción especializada.
Meyers calificó a los servicios especializados de la web oscura como "parte de un plan de seguridad más amplio".
"Es parte de un plan de seguridad más amplio y un modelo de seguridad. Creo que encontrar infracciones será lo más importante para cualquier empresa o CISO: asegurarse de que no tengan una infracción activa. La forma en que se hace es básica higiene, implementación de principios adecuados como principios de privilegio mínimo, segmentación de la red y cosas de esa naturaleza, gestión de vulnerabilidades; en realidad, solo se trata de convertirse en un objetivo difícil", dijo.
Al igual que Shier, Meyers también llamó la atención para asegurarse de que la "tienda" de uno esté en orden.
"Monitorear la web oscura es útil, pero no es lo único útil. Debe tener su taller en orden. Debe comprender qué actores de amenazas lo persiguen y qué van a hacer. "
El que las empresas deban prestar atención a los productos centrados en la web oscura depende de sus necesidades específicas y de si su "casa de seguridad está en orden", según Shier. Si bien la web oscura ha construido su propia mitología en la década que ha sido parte de la conciencia pública (y aunque existen algunas cosas muy oscuras dignas del nombre de "web oscura"), no hay nada exclusivo de la web oscura aparte del potencial para una mayor privacidad y anonimato.
Y en cuanto a la mitología que rodea a la web oscura, quizás Ormsby lo expresó mejor: "Muchas de las cosas que la gente piensa, cree o espera que están en la web oscura simplemente no existen".
Sobre el autor: Alexander Culafi es un escritor, periodista y podcaster con sede en Boston.