El panorama actual de una dark web más activa, fragmentada y peligrosa que nunca
Imagen: Ozy
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
Lejos de desaparecer, la dark web se reinventa cada vez que las autoridades logran desmantelar una de sus plataformas clave. En este mercado clandestino, se comercian credenciales robadas, accesos a redes corporativas y servicios “as a service” que permiten a cualquier delincuente lanzar ataques sofisticados. El auge del ransomware, la inteligencia artificial criminal y las criptomonedas enfocadas en el anonimato han convertido a este ecosistema en un reto cada vez más complejo para la ciberseguridad.
La dark web, compuesta por sitios que no aparecen en los motores de búsqueda convencionales, es un entorno donde los ciberdelincuentes operan bajo el anonimato para comercializar herramientas y servicios destinados a atacar organizaciones. A pesar de las operaciones internacionales dirigidas a desmantelar sus infraestructuras, este ecosistema ilícito demuestra una notable capacidad de adaptación, incorporando nuevas tecnologías y estrategias para evadir a las autoridades. Para los especialistas en ciberseguridad, la dark web no debe ser vista únicamente como un problema que surge después de una brecha, sino como una amenaza persistente que requiere vigilancia continua.
Operaciones recientes contra la dark web
En los últimos años, las fuerzas de seguridad han intensificado su ofensiva contra estas plataformas criminales. En 2024, la Policía Federal Australiana (AFP), en colaboración con Europol, cerró la principal infraestructura del grupo de ransomware LockBit, confiscando 34 servidores ubicados en Estados Unidos, Reino Unido, Europa y Australia, además de congelar más de 200 cuentas de criptomonedas asociadas. En otra acción, se desmanteló LabHost, un servicio utilizado para realizar ataques de phishing y robar información personal, eliminando más de 40,000 dominios fraudulentos.
Australia también impuso sanciones económicas y restricciones de viaje a individuos vinculados con ZServers, un proveedor de alojamiento “a prueba de balas” que dio soporte al ataque contra la aseguradora Medibank Private.
Aunque estas operaciones afectan temporalmente la infraestructura delictiva, la dark web ha demostrado ser altamente adaptable. Los grupos más sofisticados cuentan con planes de contingencia, como el uso de sitios espejo, foros alternativos o migración a plataformas privadas. Tras los cierres, algunos actores crean nuevas marcas de ransomware o migran hacia tecnologías descentralizadas, como el alojamiento en blockchain, que dificulta el rastreo.
Estas redes restringidas ofrecen mayor velocidad, menor costo y resistencia a interrupciones. Aunque los desmantelamientos proporcionan información valiosa a la comunidad de ciberseguridad, la capacidad de evolución de los delincuentes suele superar la velocidad de reacción de las fuerzas policiales.
La dark web funciona como un mercado en línea altamente dinámico, donde se comercian credenciales robadas, exploits de día cero, kits de malware y accesos a sistemas corporativos comprometidos. Los grupos criminales han profesionalizado sus operaciones, adoptando modelos como el ransomware-as-a-service (RaaS) y ofreciendo herramientas premium.
Los brokers de acceso inicial (IABs) venden puntos de entrada a redes corporativas que luego son explotados para ataques de ransomware o extorsión de datos. El comercio de credenciales de infostealers está en auge, con registros de sesiones de navegador, carteras de criptomonedas y cuentas corporativas vendidas por tan solo 2 a 5 dólares.
La fragmentación de la dark web ha dado lugar a comunidades más pequeñas y cerradas. Tras la caída de grupos como AlphV/BlackCat y LockBit, varios afiliados han migrado a plataformas como RansomHub o han creado sus propias marcas.
En 2025, la unidad de investigación de SILIKN identificó más de 90 grupos de ransomware y extorsión de datos, muchos con nuevos sitios de filtración activos. Este escenario complica la labor de las autoridades, ya que los actores se organizan a través de mensajería cifrada en Telegram, TOX y Matrix, reduciendo su dependencia de los foros en Tor.
Los servicios de denegación de servicio distribuido (DDoS) bajo demanda han crecido tanto en escala como en accesibilidad. Existen plataformas que ofrecen ataques masivos por unos pocos miles de dólares e incluso pruebas gratuitas. Algunos grupos, como NoName057(16), han gamificado la actividad con el Project DDoSia y su criptomoneda propia, dCoin.
Estas plataformas imitan comercios electrónicos legítimos, incluyendo reseñas de clientes y sistemas de resolución de disputas. La incorporación de inteligencia artificial para evadir CAPTCHAs aumenta la eficacia de estos ataques.
El modelo as a service predomina en la dark web: ransomware-as-a-service, phishing-as-a-service y malware stealers son ofrecidos junto con kits de exploits, herramientas de ofuscación y droppers. Incluso desarrolladores como el de Rhadamanthys promueven asociaciones con servicios de cifrado para hacer su malware más difícil de detectar.
Esta especialización reduce las barreras técnicas y permite que incluso delincuentes con poca experiencia ejecuten ataques complejos.
La IA generativa está revolucionando las operaciones en la dark web. Los delincuentes la usan para crear identidades sintéticas con voces deepfake y documentos falsos que superan verificaciones biométricas. Surgen plataformas de IA-as-a-service (AIaaS) que ofrecen estas capacidades a bajo costo.
Herramientas como WormGPT, FraudGPT y DarkBard se emplean para crear campañas de phishing, desarrollar malware y construir herramientas de hacking más avanzadas.
Las transacciones en la dark web dependen en gran medida de criptomonedas como Bitcoin, aunque monedas enfocadas en la privacidad como Monero y Zcash están ganando terreno. Entre 2023 y 2024, casi la mitad de los nuevos mercados comenzaron a aceptar exclusivamente Monero.
Además, el uso de servicios de mezcla y tumblers está en aumento, dificultando el rastreo de fondos. Algunos mercados han incorporado sistemas de escrow y herramientas automatizadas de lavado de dinero, imitando el funcionamiento de comercios electrónicos legítimos.
En este panorama cambiante, la dark web exige monitoreo constante y un enfoque estratégico en inteligencia de amenazas. Detectar en tiempo real credenciales comprometidas y actividades sospechosas permite ajustar las defensas y anticiparse a los movimientos criminales.
Integrar la información obtenida de la dark web en los programas de inteligencia de amenazas, junto con el uso de navegadores Tor confiables, VPNs y dispositivos dedicados, refuerza la seguridad operativa y contribuye a una postura de ciberseguridad más sólida.
Para más información, visite: https://www.silikn.com/
Lejos de desaparecer, la dark web se reinventa cada vez que las autoridades logran desmantelar una de sus plataformas clave. En este mercado clandestino, se comercian credenciales robadas, accesos a redes corporativas y servicios “as a service” que permiten a cualquier delincuente lanzar ataques sofisticados. El auge del ransomware, la inteligencia artificial criminal y las criptomonedas enfocadas en el anonimato han convertido a este ecosistema en un reto cada vez más complejo para la ciberseguridad.
La dark web, compuesta por sitios que no aparecen en los motores de búsqueda convencionales, es un entorno donde los ciberdelincuentes operan bajo el anonimato para comercializar herramientas y servicios destinados a atacar organizaciones. A pesar de las operaciones internacionales dirigidas a desmantelar sus infraestructuras, este ecosistema ilícito demuestra una notable capacidad de adaptación, incorporando nuevas tecnologías y estrategias para evadir a las autoridades. Para los especialistas en ciberseguridad, la dark web no debe ser vista únicamente como un problema que surge después de una brecha, sino como una amenaza persistente que requiere vigilancia continua.
Operaciones recientes contra la dark web
En los últimos años, las fuerzas de seguridad han intensificado su ofensiva contra estas plataformas criminales. En 2024, la Policía Federal Australiana (AFP), en colaboración con Europol, cerró la principal infraestructura del grupo de ransomware LockBit, confiscando 34 servidores ubicados en Estados Unidos, Reino Unido, Europa y Australia, además de congelar más de 200 cuentas de criptomonedas asociadas. En otra acción, se desmanteló LabHost, un servicio utilizado para realizar ataques de phishing y robar información personal, eliminando más de 40,000 dominios fraudulentos.
Australia también impuso sanciones económicas y restricciones de viaje a individuos vinculados con ZServers, un proveedor de alojamiento “a prueba de balas” que dio soporte al ataque contra la aseguradora Medibank Private.
Aunque estas operaciones afectan temporalmente la infraestructura delictiva, la dark web ha demostrado ser altamente adaptable. Los grupos más sofisticados cuentan con planes de contingencia, como el uso de sitios espejo, foros alternativos o migración a plataformas privadas. Tras los cierres, algunos actores crean nuevas marcas de ransomware o migran hacia tecnologías descentralizadas, como el alojamiento en blockchain, que dificulta el rastreo.
Estas redes restringidas ofrecen mayor velocidad, menor costo y resistencia a interrupciones. Aunque los desmantelamientos proporcionan información valiosa a la comunidad de ciberseguridad, la capacidad de evolución de los delincuentes suele superar la velocidad de reacción de las fuerzas policiales.
La dark web funciona como un mercado en línea altamente dinámico, donde se comercian credenciales robadas, exploits de día cero, kits de malware y accesos a sistemas corporativos comprometidos. Los grupos criminales han profesionalizado sus operaciones, adoptando modelos como el ransomware-as-a-service (RaaS) y ofreciendo herramientas premium.
Los brokers de acceso inicial (IABs) venden puntos de entrada a redes corporativas que luego son explotados para ataques de ransomware o extorsión de datos. El comercio de credenciales de infostealers está en auge, con registros de sesiones de navegador, carteras de criptomonedas y cuentas corporativas vendidas por tan solo 2 a 5 dólares.
La fragmentación de la dark web ha dado lugar a comunidades más pequeñas y cerradas. Tras la caída de grupos como AlphV/BlackCat y LockBit, varios afiliados han migrado a plataformas como RansomHub o han creado sus propias marcas.
En 2025, la unidad de investigación de SILIKN identificó más de 90 grupos de ransomware y extorsión de datos, muchos con nuevos sitios de filtración activos. Este escenario complica la labor de las autoridades, ya que los actores se organizan a través de mensajería cifrada en Telegram, TOX y Matrix, reduciendo su dependencia de los foros en Tor.
Los servicios de denegación de servicio distribuido (DDoS) bajo demanda han crecido tanto en escala como en accesibilidad. Existen plataformas que ofrecen ataques masivos por unos pocos miles de dólares e incluso pruebas gratuitas. Algunos grupos, como NoName057(16), han gamificado la actividad con el Project DDoSia y su criptomoneda propia, dCoin.
Estas plataformas imitan comercios electrónicos legítimos, incluyendo reseñas de clientes y sistemas de resolución de disputas. La incorporación de inteligencia artificial para evadir CAPTCHAs aumenta la eficacia de estos ataques.
El modelo as a service predomina en la dark web: ransomware-as-a-service, phishing-as-a-service y malware stealers son ofrecidos junto con kits de exploits, herramientas de ofuscación y droppers. Incluso desarrolladores como el de Rhadamanthys promueven asociaciones con servicios de cifrado para hacer su malware más difícil de detectar.
Esta especialización reduce las barreras técnicas y permite que incluso delincuentes con poca experiencia ejecuten ataques complejos.
La IA generativa está revolucionando las operaciones en la dark web. Los delincuentes la usan para crear identidades sintéticas con voces deepfake y documentos falsos que superan verificaciones biométricas. Surgen plataformas de IA-as-a-service (AIaaS) que ofrecen estas capacidades a bajo costo.
Herramientas como WormGPT, FraudGPT y DarkBard se emplean para crear campañas de phishing, desarrollar malware y construir herramientas de hacking más avanzadas.
Las transacciones en la dark web dependen en gran medida de criptomonedas como Bitcoin, aunque monedas enfocadas en la privacidad como Monero y Zcash están ganando terreno. Entre 2023 y 2024, casi la mitad de los nuevos mercados comenzaron a aceptar exclusivamente Monero.
Además, el uso de servicios de mezcla y tumblers está en aumento, dificultando el rastreo de fondos. Algunos mercados han incorporado sistemas de escrow y herramientas automatizadas de lavado de dinero, imitando el funcionamiento de comercios electrónicos legítimos.
En este panorama cambiante, la dark web exige monitoreo constante y un enfoque estratégico en inteligencia de amenazas. Detectar en tiempo real credenciales comprometidas y actividades sospechosas permite ajustar las defensas y anticiparse a los movimientos criminales.
Integrar la información obtenida de la dark web en los programas de inteligencia de amenazas, junto con el uso de navegadores Tor confiables, VPNs y dispositivos dedicados, refuerza la seguridad operativa y contribuye a una postura de ciberseguridad más sólida.
Para más información, visite: https://www.silikn.com/