Dark web
Parte de internet accesible solo mediante software especializado como Tor, donde el tráfico se cifra y anonimiza a través de múltiples nodos. En el contexto forense, la dark web es el principal mercado de credenciales robadas, datos filtrados, malware-as-a-service y comunicación entre actores de amenazas.
Dark web
Más de 3 millones de usuarios acceden diariamente a la dark web a través de la red Tor (Tor Project Metrics, marzo 2025). Solo en 2025, se registraron más de 28.000 dominios falsos vinculados a las 20 principales marcas globales (WIPO, enero 2026), y el robo de identidad representa más del 65% de toda la actividad ilícita monitorizada en mercados oscuros. Las comunidades hispanohablantes se posicionan como una de las seis lenguas dominantes en los foros criminales de la dark web en 2026, lo que convierte a España en un territorio directamente afectado por este ecosistema criminal.
Definición técnica
La dark web es un subconjunto de la deep web (contenido no indexado por motores de búsqueda convencionales) al que solo se puede acceder mediante software de anonimización, principalmente el navegador Tor (The Onion Router). A diferencia de la web superficial (surface web), donde las direcciones IP de servidores y usuarios son visibles, en la dark web el tráfico se cifra y enruta a través de múltiples nodos intermediarios, dificultando enormemente la identificación tanto del visitante como del servidor que aloja el contenido.
Estructura de internet por capas:
┌─────────────────────────────────────────┐
│ Surface Web (4-5% de internet) │
│ Google, Wikipedia, redes sociales... │
│ Indexada por buscadores │
├─────────────────────────────────────────┤
│ Deep Web (90-95% de internet) │
│ Bases de datos, intranets, email... │
│ No indexada, pero accesible con login │
├─────────────────────────────────────────┤
│ Dark Web (0,01% de internet) │
│ Solo vía Tor, I2P, Freenet │
│ Dominios .onion, anonimato extremo │
└─────────────────────────────────────────┘Es fundamental distinguir que la dark web no es ilegal per se. Periodistas, activistas de derechos humanos y disidentes políticos la utilizan legítimamente para comunicarse de forma segura. Sin embargo, su anonimato la convierte en infraestructura preferente para mercados de credenciales robadas, foros de compraventa de exploits, servicios de malware-as-a-service y plataformas de extorsión por ransomware.
Cómo funciona: la red Tor
El protocolo Tor emplea un sistema de cifrado por capas (onion routing) que garantiza que ningún nodo individual conozca simultáneamente el origen y el destino de la comunicación:
Nodo de entrada (Guard node)
El tráfico del usuario entra en la red Tor a través de un nodo de entrada. Este nodo conoce la IP real del usuario, pero no el contenido ni el destino final de la comunicación.
Nodos intermedios (Relay nodes)
El tráfico pasa por uno o más nodos intermedios que solo conocen el nodo anterior y el siguiente en la cadena. Cada nodo descifra una capa de cifrado para conocer únicamente el siguiente salto.
Nodo de salida (Exit node)
El último nodo descifra la capa final y envía la petición al servidor destino. Conoce el contenido de la comunicación (si no usa HTTPS) pero no la IP real del usuario.
Servicios ocultos (.onion)
Los servidores dentro de la dark web (dominios .onion) nunca exponen su IP real. Crean circuitos Tor propios que se encuentran con los del visitante en puntos de encuentro (rendezvous points), garantizando anonimato bilateral.
Dominios .onion
Las direcciones .onion son hashes criptográficos de 56 caracteres (v3) que no se resuelven a través del DNS convencional. Solo son accesibles desde dentro de la red Tor, lo que dificulta su bloqueo por ISPs o gobiernos.
Dark web y cibercrimen: el ecosistema criminal
La dark web alberga un ecosistema criminal organizado con cadena de suministro propia:
Tipos de mercados y servicios ilícitos:
| Categoría | Descripción | Precio medio (2025) |
|---|---|---|
| Credenciales bancarias | Login de banca online con saldo | 50-500 EUR por cuenta |
| Tarjetas de crédito | Dumps con CVV, fullz | 15-80 EUR por tarjeta |
| Identidades completas | DNI + selfie + utilidades | 30-100 EUR |
| Acceso RDP | Servidores comprometidos | 5-50 EUR |
| Bases de datos filtradas | Millones de registros | 500-50.000 EUR |
| Ransomware-as-a-Service | Kit completo + soporte | 30-70% del rescate |
| Kits de phishing | Templates + panel C2 | 100-3.000 EUR |
| Exploits zero-day | Vulnerabilidades no parcheadas | 10.000-2.500.000 EUR |
Modelo de negocio del cibercrimen organizado:
Los mercados de la dark web funcionan con estructura similar al comercio electrónico legítimo: sistema de reputación por estrellas, servicio de escrow (depósito en garantía), disputas con mediación, y soporte al cliente. Los pagos se realizan predominantemente en criptomonedas (Bitcoin, Monero) para dificultar el rastreo.
Investigación forense en la dark web
Para un perito informático forense, la dark web es relevante en múltiples escenarios:
Escenarios de investigación:
- Verificación de brechas de datos: Comprobar si credenciales o datos de una organización están a la venta tras un ciberataque
- Rastreo de ransomware: Los grupos de ransomware publican datos de víctimas en sitios .onion (leak sites) como presión para el pago
- Análisis de amenazas: Identificar si una empresa o persona es objetivo de ataques planificados en foros criminales
- Trazabilidad de criptomonedas: Seguir el flujo de pagos de rescates desde wallets identificadas en la dark web hasta exchanges
- Contrainforme pericial: Verificar la procedencia de datos presentados como prueba en un juicio
Herramientas forenses para monitorización de la dark web:
| Herramienta | Tipo | Uso forense |
|---|---|---|
| Tor Browser | Navegador | Acceso controlado a servicios .onion |
| OnionScan | Scanner | Análisis de seguridad de servicios ocultos, identificación de fugas de metadatos |
| Hunchly | Captura web | Documentación automatizada de evidencia web con hashes |
| Maltego | OSINT | Correlación de entidades entre surface y dark web |
| SpiderFoot | OSINT automatizado | Búsqueda automatizada de indicadores de compromiso |
| DarkOwl | Threat Intelligence | Monitorización comercial de mercados y foros |
| Chainalysis Reactor | Blockchain | Rastreo de transacciones cripto vinculadas a mercados |
Precauciones legales
En España, acceder a la dark web no es ilegal, pero adquirir productos o servicios ilícitos sí lo es. Un perito informático que investigue la dark web debe documentar exhaustivamente el propósito, alcance y método de la investigación, preferiblemente bajo mandato judicial o con autorización expresa del cliente.
Caso práctico: empresa española afectada por leak en la dark web
Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.
Contexto: Una empresa de comercio electrónico con sede en Madrid detectó que las credenciales de 85.000 clientes aparecían a la venta en un mercado de la dark web. El precio era de 0,5 BTC (aproximadamente 15.000 EUR). La AEPD inició procedimiento sancionador y la empresa contrató un perito informático forense.
Investigación forense:
- Monitorización dark web: Identificación del listado en un mercado .onion mediante herramientas de threat intelligence. Captura certificada del anuncio con hashes SHA-256
- Análisis de la muestra: El vendedor ofrecía una muestra gratuita de 500 registros. Análisis de formato, campos y estructura para determinar el origen de la filtración
- Correlación con sistemas internos: Los registros contenían un campo interno
customer_tierque solo existía en la base de datos de producción PostgreSQL, no en backups ni exports - Investigación del vector de ataque: Análisis de logs del servidor, se identificó inyección SQL no parcheada en el endpoint de la API de búsqueda de productos
- Timeline forense: Se estableció que la exfiltración ocurrió 47 días antes de la venta en la dark web, durante un período de mantenimiento sin WAF activo
- Informe pericial: El informe documentó el vector de ataque, timeline, alcance del impacto y medidas de remediación implementadas
Resultado: El informe pericial permitió a la empresa demostrar ante la AEPD que actuó con diligencia en la respuesta al incidente, reduciendo la sanción de 600.000 EUR a 75.000 EUR.
Marco legal en España
Código Penal:
- Art. 197 bis CP: Acceso no autorizado a sistemas informáticos. Penaliza a quien acceda a un sistema vulnerando medidas de seguridad, aplicable a la obtención ilícita de datos luego vendidos en la dark web
- Art. 248.2 CP: Estafa informática. Cubre la utilización de credenciales adquiridas en la dark web para realizar transferencias no autorizadas
- Art. 270 CP: Delitos contra la propiedad intelectual. Aplicable a la distribución de software, contenido protegido o bases de datos comerciales en mercados oscuros
- Art. 301 CP: Blanqueo de capitales. El uso de criptomonedas para lavar beneficios del cibercrimen constituye blanqueo
Normativa de protección de datos:
- RGPD (Art. 33-34): Obligación de notificar brechas a la AEPD en 72 horas y a los afectados si hay riesgo alto. La aparición de datos en la dark web activa esta obligación
- LOPDGDD: Ley Orgánica 3/2018. Complementa el RGPD en el ordenamiento español
- Directiva NIS2: Obliga a entidades esenciales e importantes a reportar incidentes significativos, incluyendo la detección de datos corporativos en la dark web
LECrim:
- Art. 588 ter a-i: Interceptación de comunicaciones telemáticas. Regulación aplicable a investigaciones policiales que requieren acceso a contenido de la dark web bajo autorización judicial
Conceptos relacionados
- OSINT (Open Source Intelligence) - Metodología de investigación complementaria a la monitorización de la dark web
- Credential harvesting - Las credenciales robadas son el producto más vendido en mercados oscuros
- Ransomware - Los grupos de ransomware mantienen sitios de filtración en la dark web
- Trazabilidad de IPs - Técnicas para identificar actores a pesar del anonimato de Tor
- Blockchain forense - Rastreo de pagos en criptomonedas vinculados a la dark web
- MaaS (Malware-as-a-Service) - Modelo de negocio predominante en la dark web
Preguntas frecuentes
¿Es ilegal acceder a la dark web en España?
No. Acceder a la dark web mediante Tor u otro software de anonimización es completamente legal en España. Lo que es ilegal es adquirir productos o servicios ilícitos (credenciales robadas, drogas, armas, material de explotación infantil), participar en actividades delictivas o facilitar la comisión de delitos. Un perito informático puede acceder legítimamente con fines de investigación, siempre documentando el propósito y alcance.
¿Cómo saber si mis datos están en la dark web?
Existen servicios de monitorización como HaveIBeenPwned (gratuito para verificación individual), SpyCloud, DarkOwl o Recorded Future (comerciales para empresas) que rastrean mercados y foros de la dark web en busca de credenciales filtradas. Un perito informático forense puede realizar una auditoría específica del dominio corporativo y credenciales de empleados.
¿Puede un perito informático rastrear a alguien en la dark web?
Es extremadamente difícil, pero no imposible. El anonimato de Tor tiene vulnerabilidades: errores operacionales del usuario (reutilización de emails, metadatos en archivos), correlación de tráfico por agencias con acceso a nodos de entrada y salida, y análisis de patrones de comportamiento. Un perito puede contribuir identificando indicadores de compromiso, correlacionando datos OSINT y apoyando la investigación policial con análisis forense de artefactos.
¿Qué hago si descubro datos de mi empresa en la dark web?
Primero, no entrar en pánico ni intentar contactar con los vendedores. Contactar inmediatamente con un especialista en respuesta a incidentes, notificar a la AEPD dentro de las 72 horas que establece el RGPD si hay datos personales afectados, y preservar toda la evidencia con capturas certificadas y hashes SHA-256. Un perito informático forense puede documentar la brecha, analizar el vector de ataque y elaborar el informe pericial necesario para la AEPD y posibles acciones legales.
Operaciones policiales destacadas contra la dark web
La colaboración internacional ha logrado desmantelar algunos de los mayores mercados de la dark web:
Operaciones recientes:
| Operación | Año | Mercado | Resultado |
|---|---|---|---|
| Operation SpecTor | 2023 | Monopoly Market | 288 arrestos, 53,4M USD confiscados |
| Operation Disruptor | 2020 | DarkMarket | 179 arrestos en 9 países |
| Operation Cookie Monster | 2023 | Genesis Market | 119 arrestos, cierre del mercado |
| Hansa + AlphaBay | 2017 | AlphaBay, Hansa | Cierre de los 2 mayores mercados, Europol/FBI |
| Silk Road | 2013 | Silk Road | Arresto de Ross Ulbricht, 3,6M USD confiscados |
En España:
- La Policía Nacional y la Guardia Civil participan activamente en operaciones internacionales contra mercados de la dark web a través de Europol y INTERPOL
- El Grupo de Delitos Telemáticos (GDT) de la Guardia Civil y la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional son las unidades especializadas
- España es uno de los países con mayor actividad de monitorización de dark web en Europa meridional
Lecciones para la investigación forense:
La experiencia de estas operaciones demuestra que la dark web no garantiza anonimato absoluto. Los errores operacionales de los administradores (reutilización de emails, metadatos en archivos, pagos rastreables) son las principales vías de desanonimización. Un perito informático puede contribuir a la investigación identificando estos puntos débiles en los artefactos forenses.
Monitorización proactiva de la dark web para empresas
Las organizaciones pueden implementar programas de monitorización para detectar tempranamente la exposición de sus datos:
Niveles de monitorización:
- Básico (gratuito): Verificación periódica en HaveIBeenPwned del dominio corporativo y emails de empleados clave
- Intermedio (herramientas comerciales): Servicios como SpyCloud, DarkOwl o Recorded Future que monitorizan foros y mercados en busca de menciones de la marca, dominios, credenciales y documentos internos
- Avanzado (threat intelligence dedicada): Equipo o proveedor especializado que infiltra foros cerrados, analiza tendencias de amenazas, y proporciona alertas en tiempo real
Qué monitorizar:
- Credenciales: Emails y contraseñas de empleados
- Datos de clientes: Bases de datos, información de pago, datos personales
- Propiedad intelectual: Código fuente, documentos confidenciales, patentes
- Infraestructura: Accesos RDP/VPN a la venta, configuraciones expuestas
- Menciones de marca: Discusiones sobre vulnerabilidades de la organización, planes de ataque
Beneficios de la monitorización temprana:
La detección temprana de datos en la dark web permite activar el protocolo de respuesta antes de que los datos se utilicen para ataques secundarios (phishing dirigido con datos reales, acceso a cuentas con credenciales válidas, suplantación de identidad). El tiempo medio entre la filtración de datos y su utilización en ataques es de 7-14 días, lo que proporciona una ventana de actuación valiosa si la monitorización es efectiva.
Referencias y fuentes
Tor Project - “Tor Metrics: Users”, estadísticas de uso diario de la red Tor. metrics.torproject.org
WIPO - “Cybersquatting dispute filings hit record high in 2025”, World Intellectual Property Organization, enero 2026. wipo.int
Europol - “Internet Organised Crime Threat Assessment (IOCTA) 2024”, análisis del ecosistema criminal en la dark web. europol.europa.eu
Chainalysis - “Crypto Crime Report 2025”, rastreo de flujos financieros ilícitos en criptomonedas. chainalysis.com
INCIBE - “Balance de Ciberseguridad 2025”, 122.223 ciberincidentes gestionados en España. incibe.es
AEPD - “Guía para la notificación de brechas de datos personales”, Agencia Española de Protección de Datos. aepd.es
Panda Security - “Dark Web Statistics 2025”, análisis de mercados y actividad criminal. pandasecurity.com
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Artículos 197 bis, 248.2, 270 y 301. boe.es
Reglamento (UE) 2016/679 (RGPD), artículos 33 y 34 sobre notificación de brechas. eur-lex.europa.eu
DeepStrike - “Dark Web Statistics 2025: A Tiny Web with Massive Cybercrime Impact”. deepstrike.io
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita