Monitoreo de la dark web

Qué es el monitoreo de la dark web

El monitoreo de la dark web es un servicio que vigila los mercados y foros de la dark web en la red Tor para detectar si tu información personal o la información confidencial de tu organización está siendo filtrada o comercializada.

Cuando ocurre una brecha de datos, las credenciales robadas (combinaciones de dirección de correo y contraseña), información de tarjetas de crédito e información de identificación personal se comercializan en la dark web. El tiempo hasta que esta información se utiliza en ataques de credential stuffing es corto, y la detección temprana de filtraciones está directamente vinculada a la prevención de la expansión del daño.

Los servicios de monitoreo rastrean automáticamente sitios de pegado, foros, mercados y canales de Telegram en la dark web, y los comparan con direcciones de correo registradas, nombres de dominio, números de tarjetas de crédito y otras palabras clave. Cuando se detecta una coincidencia, se envía una alerta al usuario.

Monitoreo para individuos y empresas

Monitoreo para individuos: Muchos gestores de contraseñas tienen la función de alertar cuando las credenciales de cuentas almacenadas se detectan en la dark web. "Verificación de contraseñas" de Google y "Detección de contraseñas filtradas" de Apple tienen funciones similares. También puedes verificar el historial de filtraciones de direcciones de correo con servicios gratuitos como Have I Been Pwned.

Monitoreo para empresas: Los servicios empresariales vigilan ampliamente la filtración de credenciales vinculadas al dominio de la organización, la filtración de documentos internos, el uso fraudulento de la marca y la exposición de información personal de ejecutivos. A menudo se proporcionan como una función de las plataformas de inteligencia de amenazas, y la información detectada se puede vincular automáticamente al flujo de trabajo de respuesta a incidentes.

En cualquier caso, el monitoreo no es una tecnología para "prevenir" filtraciones sino para "detectar tempranamente" filtraciones. Para la prevención de filtraciones, son indispensables contraseñas fuertes, autenticación multifactor y fortalecimiento del control de acceso.

Procedimientos de respuesta cuando se detecta una filtración

Si el monitoreo de la dark web detecta tu información, toma las siguientes medidas rápidamente.

1. Cambio inmediato de contraseña: Cambia inmediatamente la contraseña del servicio donde se confirmó la filtración. También cambia todos los demás servicios donde reutilizas la misma contraseña.
2. Habilitación de autenticación multifactor: Si hay servicios donde aún no la has configurado, habilítala en todos en esta oportunidad.
3. Verificación de acceso no autorizado: Revisa el historial de inicio de sesión y los registros de actividad de la cuenta filtrada para verificar si hay accesos sospechosos.
4. Monitoreo de información financiera: Si se filtró información de tarjeta de crédito, contacta a la compañía de la tarjeta para solicitar la reemisión y verifica los estados de cuenta para detectar uso fraudulento.
5. Alerta ante phishing: Pueden llegar correos de phishing dirigido utilizando la información filtrada. Refuerza la vigilancia ante correos sospechosos.

En el caso de empresas, se convoca al equipo de respuesta basándose en el plan de respuesta a incidentes y se procede sistemáticamente con la identificación del alcance del impacto, la contención y la investigación de la causa raíz.

Mecanismo técnico del monitoreo

Los servicios de monitoreo de la dark web recopilan y analizan información filtrada combinando múltiples tecnologías.

Rastreo de la red Tor: Rastreadores dedicados recorren los sitios .onion de Tor y recopilan información de listados de mercados y publicaciones de foros. Como los sitios de la dark web cambian frecuentemente de URL y a veces requieren invitación para acceder, la operación de rastreadores requiere conocimientos especializados.

Monitoreo de sitios de pegado: En Pastebin y servicios similares, hay casos en que los atacantes publican parte de los datos robados como "muestra". Los servicios de monitoreo vigilan estos sitios en tiempo real y detectan filtraciones mediante coincidencia de patrones de direcciones de correo y nombres de dominio.

Escaneo de bases de datos de credenciales: Las credenciales filtradas en brechas de datos pasadas se acumulan y circulan como listas combo (listas de combinaciones de dirección de correo y contraseña). Los servicios de monitoreo escanean continuamente estas bases de datos y detectan credenciales recién añadidas. Have I Been Pwned contiene más de 13 mil millones de cuentas filtradas.

Monitoreo de canales de Telegram y Discord: En los últimos años, además de los mercados de la dark web, los canales privados de Telegram y Discord se utilizan cada vez más para la compraventa de datos filtrados. Los servicios de monitoreo también incluyen estas plataformas de mensajería en sus objetivos de vigilancia.

Respuesta organizacional y obligaciones legales tras la detección de filtraciones

Cuando una empresa detecta una filtración de su propia información mediante monitoreo de la dark web, se necesita una respuesta legal y organizacional además de la respuesta técnica.

Prioridad de respuesta: Primero, identifica el tipo y alcance de las credenciales filtradas. Si se incluyen credenciales de cuentas de administrador o cuentas privilegiadas, se abordan con máxima prioridad, ejecutando inmediatamente el restablecimiento de contraseña e invalidación de sesión de las cuentas afectadas. Para credenciales de usuarios generales, se planifica la notificación a los usuarios afectados y el restablecimiento forzado de contraseñas.

Obligaciones legales de notificación de brechas: La Ley de Protección de Información Personal de Japón obliga a reportar a la Comisión de Protección de Información Personal y notificar a los afectados cuando ocurre una filtración de datos personales (Ley revisada de 2022). El informe preliminar debe presentarse dentro de 3 a 5 días desde que se conoce la situación, y el informe definitivo dentro de 30 días (60 días en caso de acceso no autorizado). El GDPR de la UE requiere notificación a la autoridad supervisora dentro de 72 horas.

Monitoreo de información crediticia: Para individuos, si se filtra información de identificación personal como nombre, dirección y fecha de nacimiento, existe el riesgo de solicitudes de préstamos o apertura de cuentas mediante suplantación de identidad. Realiza una declaración personal ante las agencias de información crediticia (CIC, JICC) y verifica periódicamente si hay consultas sospechosas en tu información crediticia.

Medidas de prevención de recurrencia: Identifica la causa raíz de la filtración e implementa medidas para prevenir incidentes similares. La implementación de gestores de contraseñas en toda la empresa, la obligatoriedad de autenticación multifactor y el fortalecimiento de la formación en seguridad para empleados son medidas representativas de prevención de recurrencia.

Conceptos erróneos comunes

El monitoreo de la dark web puede eliminar la información filtrada

Los servicios de monitoreo solo detectan información filtrada y no tienen la función de eliminar datos de la dark web. Una vez que la información se filtra, se copia y difunde, por lo que la eliminación completa es prácticamente imposible. Después de la detección, lo importante es la respuesta para minimizar el daño, como cambiar contraseñas y configurar autenticación multifactor.

Si te registras en el monitoreo de la dark web, puedes prevenir filtraciones de información

El monitoreo es un medio para la "detección temprana" de filtraciones, no para su "prevención". Para prevenir filtraciones, se necesitan medidas básicas de seguridad como el uso de contraseñas fuertes, la habilitación de autenticación multifactor y no abrir enlaces sospechosos. Posiciona el monitoreo como un elemento de la defensa en profundidad.

Términos relacionados

Artículos relacionados