¿Qué hay en la Dark Web? Tu guía de los mayores actores en 2025

¿Qué podemos esperar de la dark web en 2025? Como parte oculta de Internet, la dark web es una base ideal para muchas redes de ciberdelincuencia, albergando mercados ilegales, foros anónimos, software poco ético y más.

Desde el auge del ciberdelito impulsado por la IA hasta las crecientes medidas enérgicas a nivel mundial, este blog explora los actores clave, las tendencias emergentes y lo que las empresas y los individuos deben prepararse para el próximo año.

1. ¿Qué es la dark web?

La dark web es una porción de Internet inaccesible para los motores de búsqueda normales.

A diferencia de Chrome, Bing o Firefox, las personas no pueden acceder a la dark web sin cierto software o configuraciones. Por ejemplo, podrían necesitar iniciar sesión a través de Freenet o el navegador Tor, que utiliza el enrutamiento de cebolla para cifrar datos a través de varios nodos diferentes.

Si bien la web oscura no es intrínsecamente ilegal, alberga una serie de contenidos ilegales, servicios ocultos y actividades ilícitas.

Los tipos de actividad ilegal en la dark web incluyen:

  1. Alojamiento ransomware RaaS (Renderizado como Servicio) El malware RaaS puede hackear y cifrar datos sensibles, restaurándolos solo cuando se realiza el pago de un rescate.
  2. Venta de datos robados: Fugas de PII puede ser muy rentable en los mercados de la dark web, con detalles como la información de tarjetas de crédito que se venden al mejor postor.
  3. Cripto-lavado de dinero Los ciberdelincuentes pueden utilizar la dark web para cortar rastros de criptomonedas, como Bitcoin, y ocultar sus orígenes. Por ejemplo, Europol derribó ChipMixer en 2017, ‘una de las mayores lavanderías de criptomonedas de la dark web’.’
  4. Distribución de contenido y productos ilegales: Debido al anonimato de los usuarios de internet en la dark web, cualquiera puede circular contenido poco ético, productos falsificados y drogas ilegales sin temor a represalias.

2. ¿Quiénes son las mayores bandas de ciberdelincuencia en la dark web?

El mercado de la dark web alberga a diversos grupos cibercriminales, desde actores patrocinados por estados hasta pandillas independientes de ransomware. Estos grupos operan a nivel mundial, aprovechando herramientas y redes sofisticadas para ejecutar ataques a gran escala y mantener el anonimato.

Exploremos algunos hechos y tendencias sombrías sobre estos actores de amenazas.

Actores de amenaza patrocinados por el estado

Patrocinado por el estado los actores de amenazas son grupos cibercriminales apoyados o gestionados directamente por agencias gubernamentales en el mercado de la web oscura. A menudo llevan a cabo ataques que se alinean con los objetivos políticos, económicos o militares de su país.

Principales actores patrocinados por el estado

  1. APT28 (Fancy Bear): Un grupo ruso de ciberespionaje, conocido por su enfoque en países de la OTAN y campañas de desinformación.
  2. Andariel: Un grupo de hackers vinculado a Corea del Norte, y responsable de ciberespionaje contra organizaciones aeroespaciales y de defensa.
  3. APT41 (Winnti, BARIUM, Double Dragon): Un grupo conocido por el espionaje y los ciberdelitos financieros, que se cree está afiliado al gobierno chino, y buscado por el FBI (abajo).
Un cartel de "Se Busca" del FBI para miembros del grupo APT41. Fuente.

Qué esperar en 2025

En 2025, se espera que los actores patrocinados por el estado continúen utilizando la dark web para ciberataques de motivación política. Se sospecha que países como Rusia, China y Corea del Norte albergan o financian directamente a estos grupos.

También podríamos ver colaboraciones entre pandillas patrocinadas por el estado, que agruparán recursos para ataques más devastadores. Sin embargo, las rivalidades por los mercados de la web oscura también podrían conducir a guerras territoriales, interrumpiendo sus operaciones y creando nuevos riesgos para las empresas.

Por ejemplo, mientras que las bandas cibernéticas rusas han librado una guerra de información contra Ucrania, utilizando redes de bots para difundir propaganda, los hackers ucranianos han respondido exponiendo los datos sensibles de altos funcionarios rusos.

Actores de amenazas infostealer

Robo de información los actores de amenazas se especializan en malware que recopila datos personales sin consentimiento, como credenciales de inicio de sesión, cuentas bancarias y números de seguro social. Sus herramientas a menudo se propagan a través de campañas de phishing o descargas de software comprometido, lo que permite delitos como el robo de identidad.

Jugadores principales de infostealer

  1. Redline StealerUn malware muy utilizado que se dirige a las credenciales almacenadas en navegadores y aplicaciones.
  2. VidarUna herramienta de malware como servicio, que ofrece capacidades personalizables de robo de datos.
  3. Mapache: Conocido por atacar a pequeñas empresas, este malware puede robar credenciales y billeteras de criptomonedas. Este año, un El ucraniano se declaró culpable para ejecutar la operación del malware.
Noticia sobre el infostealer Raccoon. Fuente.

Qué esperar en 2025

La proliferación de dispositivos IoT y 5G proporcionará nuevas vías de ataque para infostealer pandillas. A medida que la IA se vuelve más accesible, los hackers pueden usar herramientas impulsadas por IA para automatizar el robo de datos a una escala masiva.

Las plataformas de redes sociales y de videojuegos se utilizan cada vez más para reclutar hackers inexpertos, lo que amplía aún más el alcance de estas bandas. Por ejemplo, Europol ha advertido que los delincuentes utilizarán mensajes codificados y ‘tácticas de gamificación’ para animar a los menores a cometer delitos.

Actores de amenazas de criptomonedas

Los actores de amenazas de cripto-lavado se especializan en robar y ocultar los orígenes de su criptomoneda. El cryptojacking implica la minería secreta de criptomoneda a través del dispositivo de la víctima.

Principales actores de amenazas en criptomonedas

  1. Grupo Lazarus: Un grupo supuestamente respaldado por Corea del Norte, conocido por robar miles de millones en criptomonedas para financiar la economía y los programas de armas de su país.
  2. EquipoTNT: Un actor de amenazas responsable de ataques de cryptojacking, utilizando malware para minar criptomonedas de forma ilegal.

Qué esperar en 2025

Con los precios de las criptomonedas fluctuando, las bandas de cripto-lavado de dinero pueden capitalizar la volatilidad del mercado para ocultar fondos ilícitos, y usar redes de bots para extraer datos de criptomonedas ilegalmente.

También pueden aprovechar software legítimo para ocultar sus huellas. Por ejemplo, YoMix es un mezclador de bitcoin utilizado por el Grupo Lazarus para lavar las ganancias de sus criptomonedas robadas, con una afluencia masiva de fondos blanqueados en 2023.

Un gráfico de Chainalysis que muestra la afluencia de criptomonedas blanqueadas de YoMix. Fuente.

Actores de amenazas de ransomware

Los actores de amenazas de ransomware utilizan malware para bloquear el acceso de los usuarios a sus sistemas, exigiendo un pago para restaurar el acceso. Estos grupos a menudo operan bajo un modelo de ransomware como servicio (RaaS), alquilando sus herramientas a afiliados a cambio de una parte de las ganancias.

Principales actores del ransomware

  1. LockBit: Un grupo dominante de RaaS que continúa innovando su malware para eludir las medidas de seguridad, y que fue objeto de una drástica desarticulación por parte de las fuerzas del orden en 2024.
  2. BlackCat (ALPHV)Conocido por atacar empresas de alto perfil con ataques personalizados, y también por cesar operaciones en 2024.
  3. RansomHub: Un nuevo participante, que gana rápidamente terreno como líder en el mercado de RaaS, tras la caída de sus competidores.

Qué esperar en 2025

El derribo de grupos importantes como LockBit, AlphaBay y Hansa en 2024 demuestra una mejora en la colaboración global entre las agencias de aplicación de la ley. Sin embargo, esto probablemente conducirá al surgimiento de nuevos grupos descentralizados como RansomHub.

También se espera que las bandas de ransomware diversifiquen sus tácticas, apuntando a empresas más pequeñas y usuarios individuales para maximizar su alcance. Las empresas deberían prepararse para campañas de ransomware más sofisticadas, aprovechando potencialmente la IA para explotar las brechas de seguridad.

3. Preguntas frecuentes de la dark web

La web oscura plantea muchas preguntas tanto para empresas como para particulares. Echemos un vistazo a algunas de las preocupaciones más comunes.

¿Cuál es la diferencia entre la web profunda y la dark web?

La web profunda se refiere a todo el contenido en línea que no está indexado por los motores de búsqueda, como las redes privadas virtuales y los sistemas internos de las empresas.

La web oscura, por otro lado, es una pequeña parte de la web profunda que requiere herramientas especiales como el navegador Tor para acceder.

Las empresas pueden usar profundo y monitoreo de la dark web Herramientas para rastrear credenciales robadas o la mención de su marca para protegerse de ciberataques.

¿Qué es el navegador Tor?

El navegador Tor, acrónimo de The Onion Router, es un software que permite a los usuarios acceder a la red Tor. Originalmente desarrollado por el Marina de los EE. UU., anonimiza la actividad de Internet enrutando los datos a través de múltiples servidores, enmascarando tu dirección IP.

El proyecto Tor ganó notoriedad por permitir mercados ilegales como Silk Road, un mercado negro desmantelado por el FBI en 2013, y un sinfín de proveedores de servicios cibercriminales desde entonces. Aún así, el navegador Tor de la dark web sigue siendo una herramienta vital para los usuarios preocupados por su privacidad.

¿Es ilegal navegar por la dark web?

No, no es ilegal navegar por la dark web. Si bien se puede utilizar para actividades ilegales, también existen foros, redes sociales y comunidades perfectamente legítimos.

Por ejemplo, la CIA tiene un sitio en la dark web para servicios de reportes anónimos. Además, los motores de búsqueda de la dark web también pueden permitir que los disidentes políticos eviten la censura gubernamental, o que los periodistas interactúen de forma segura con informantes.

¿Es peligrosa la web oscura?

Sí, la web oscura puede ser un espacio peligroso e impredecible. Si bien tiene usos legítimos, también es un centro para ciberdelincuentes, hackers y otros actores de amenazas.

Por ejemplo, los sitios web de la dark web podrían infectarse con malware o diseñarse como estafas para recopilar datos robados. Herramientas como las VPN pueden hacer que navegar sea un poco más seguro, pero las personas aún deben tener extrema precaución al visitar páginas web en la darknet.

Vigilancia de la dark web

La vigilancia de la dark web implica monitorear información en la darknet, como para identificar credenciales comprometidas siendo vendidos, o a monitorear foros para anticipar (y prevenir) ciberataques.

Herramientas de ciberseguridad como CybelAngel’s Una plataforma de gestión de ataques externos (EASM) puede ayudar a las empresas a monitorear la dark web de manera efectiva. Al proporcionar información en tiempo real sobre las amenazas, estas herramientas permiten a las empresas salvaguardar su marca y prevenir filtraciones de datos antes de que ocurran.

Terminando

Desde grupos patrocinados por estados hasta bandas de ransomware, la actividad criminal está innovando a un ritmo acelerado en la dark web. Las empresas deben mantenerse vigilantes y proactivas al abordar estas amenazas, utilizando herramientas como CybelAngel para monitorear la actividad en la dark web y proteger sus activos.

Sobre el autor