¿Qué es Dark Web Monitoring?
Dark Web Monitoring es la vigilancia continua y automatizada de foros, mercados, sitios de leaks y canales de comunicación de la dark web (principalmente Tor) e internet underground (Telegram, foros cerrados) para detectar credenciales filtradas, datos robados, menciones a una organización y amenazas dirigidas, antes de que sean explotadas.
Resumen rápido
- Cubre Tor hidden services, foros cerrados, sitios de ransomware y, cada vez más, Telegram.
- No es lo mismo que tener un usuario navegando manualmente: requiere automatización, parsing de fuentes y normalización.
- Las fuentes más valiosas suelen ser de pago, de acceso restringido o requieren cuentas establecidas para acceder.
- La cobertura multilingüe (foros en español, portugués, ruso, árabe) es el diferencial real entre plataformas.
- Sin scoring y correlación, dark web monitoring genera más ruido que señal.
Qué fuentes cubre dark web monitoring
Servicios ocultos en Tor: foros de hacking (BreachForums y sucesores), mercados de credenciales y exploits, sitios de leaks de grupos de ransomware (LockBit, BlackCat, Cl0p y sus sucesores), mercados de infostealer logs (RedLine, Lumma, Vidar).
Telegram underground: canales públicos y privados donde se comparten dumps, combolists, herramientas de phishing y se coordinan operaciones. Telegram es hoy una de las fuentes más activas para amenazas dirigidas a marcas globales.
Internet profunda y paste sites: Pastebin y alternativas, repositorios públicos con secretos expuestos, sitios de doxing.
Mercados especializados: foros vendedores de accesos iniciales (Initial Access Brokers), mercados de cuentas SaaS comprometidas, plataformas de scam-as-a-service.
Tipos de hallazgos típicos
Credenciales corporativas filtradas: emails @miempresa.com con contraseñas en claro o hash, generalmente provenientes de infostealers que infectaron máquinas de empleados.
Datos de clientes en venta: bases de datos completas o muestras ofrecidas por actores que ya comprometieron a la organización.
Menciones en sitios de ransomware: aparición de la organización como víctima publicada, antes incluso de que se confirme el incidente internamente.
Accesos iniciales en venta: brokers vendiendo acceso a la red corporativa (RDP, VPN, paneles de administración).
Limitaciones y mitos
No todo "está en la dark web". Mucho del intercambio criminal de hoy ocurre en Telegram, Discord y foros clearnet con acceso restringido. Una solución que solo cubre Tor está incompleta.
No basta con tener credenciales filtradas. Hay que correlacionarlas con tu inventario de identidades, evaluar cuáles siguen vigentes, y disparar reseteo automático o notificación al usuario.
Cobertura ≠ valor. Algunas plataformas exhiben "miles de fuentes" pero entregan dumps duplicados, indexados desde fuentes públicas, sin contexto. Lo que importa es relevancia, freshness y reducción de ruido.
Cobertura monolingüe es un punto ciego. Las plataformas que solo procesan inglés pierden volúmenes significativos de actividad en otros idiomas donde operan actores relevantes para muchas marcas.
Preguntas frecuentes
¿Cómo accede una plataforma de dark web monitoring a foros cerrados?
Mediante una combinación de cuentas establecidas en foros (cultivadas durante años), parsing automatizado de sitios públicos, integración con repositorios de inteligencia compartidos y, en algunos casos, alianzas con investigadores y agencias. La calidad de coverage de foros cerrados es uno de los principales diferenciadores entre plataformas.
¿Es legal hacer dark web monitoring?
Sí, monitorear y recolectar inteligencia de fuentes públicas y semi-públicas de la dark web es legal en la mayoría de jurisdicciones. Lo que se vuelve gris o ilegal es comprar datos robados, participar activamente en transacciones criminales o realizar intrusiones. Las plataformas serias operan exclusivamente en el lado de observación pasiva.
¿Qué pasa cuando se detectan credenciales corporativas filtradas?
El flujo típico: la plataforma alerta al equipo de seguridad con detalle (email, hash de contraseña si está disponible, fuente, fecha), correlaciona con el directorio de identidades para confirmar si la cuenta sigue activa, dispara workflow de reseteo forzado y notificación al usuario. Las plataformas modernas integran este flujo con Auth0, Okta, Azure AD u otros IdPs.
¿Cuánto tarda en aparecer una credencial filtrada en una plataforma de monitoreo?
Depende de la fuente. Dumps publicados en foros conocidos pueden aparecer en minutos. Datos vendidos en mercados privados pueden tardar días o semanas. Información de canales de Telegram restringidos puede aparecer en horas si la plataforma tiene cuentas activas en ese canal. Las plataformas líderes apuntan a menos de 1 hora para fuentes prioritarias.