Threat Intelligence
deep web
dark web
Tor

Deep Web vs Dark Web: qué son y diferencias

Deep web vs dark web: qué son, en qué se diferencian (Tor, .onion) y por qué importan a tu empresa por las filtraciones de credenciales y datos.

Secra6 de julio de 202610 min de lectura

La confusión entre deep web vs dark web es una de las más extendidas en ciberseguridad, y no es inocua: mezclar ambos conceptos lleva a subestimar dónde acaban realmente los datos de una empresa cuando se filtran. La deep web es simplemente todo lo que existe en internet pero no aparece en Google, mientras que la dark web es una fracción diminuta de esa capa, accesible solo con software de anonimato como Tor. Este artículo aclara las diferencias con precisión técnica y explica por qué esa distinción importa para el negocio: las credenciales, los datos y la marca de tu organización pueden surgir en cualquiera de estas capas.

Lo esencial

  • La surface web es lo indexado por buscadores; representa una fracción pequeña del total.
  • La deep web es todo lo no indexado (banca online, correo, paneles internos, bases de datos tras un formulario) y es perfectamente legítima.
  • La dark web es una porción minúscula de la deep web accesible solo mediante redes de anonimato como Tor (dominios .onion) o I2P.
  • El error habitual es tratar deep web y dark web como sinónimos: la deep web es enorme y cotidiana, la dark web es marginal y mixta.
  • Para una empresa, la relevancia es concreta: filtraciones de credenciales, stealer logs y venta de accesos que se materializan en ambas capas y en canales de superficie como Telegram.

Deep web vs dark web: las tres capas de la web

La forma más clara de entender la diferencia es visualizar internet en tres capas superpuestas. No son mundos separados, sino niveles de accesibilidad distintos sobre la misma red.

La surface web

La surface web (web superficial) es el conjunto de páginas que los buscadores rastrean e indexan: un sitio corporativo, un blog, una tienda online. Para que Google la muestre, la página debe ser accesible sin autenticación y no estar bloqueada por robots.txt ni por etiquetas noindex. Representa solo una fracción pequeña del contenido total de internet, aunque cualquier cifra concreta es difícil de verificar.

La deep web

La deep web (web profunda) es todo lo que existe pero no se indexa. No tiene nada de clandestino: es la mayor parte de internet y la usas cada día. Entran aquí tu banca online, la bandeja de tu correo, el panel de administración de un CMS, una base de datos consultable solo a través de un formulario, los documentos de una intranet o el contenido tras un muro de pago. No aparece en buscadores por razones triviales: requiere autenticación, se genera de forma dinámica al enviar una consulta, o su propietario ha pedido explícitamente que no se indexe. Confundir esto con actividad ilícita es el primer malentendido que conviene desmontar: la deep web es cotidiana y legítima.

La dark web

La dark web (web oscura) es una porción minúscula de la deep web que solo es accesible mediante redes de anonimato diseñadas para ocultar la identidad y la ubicación de servidores y usuarios. La más conocida es Tor, cuyos servicios usan dominios con el sufijo .onion, que un navegador convencional no resuelve. No toda la dark web es criminal (alberga espejos de medios, buzones seguros para filtradores y foros de privacidad), pero sí concentra mercados de datos robados, foros de intrusión y sitios de extorsión de grupos de ransomware.

Por qué se confunden deep web y dark web

El origen de la confusión es de escala y de encuadre. La deep web es gigantesca y aburrida (tu correo no es noticia), mientras que la dark web es diminuta pero mediática. Los titulares han usado "deep web" como sinónimo de "lo oscuro de internet", cuando la relación correcta es de inclusión: la dark web es un subconjunto muy reducido de la deep web, no un sinónimo. Dicho de otro modo, toda la dark web es deep web, pero casi nada de la deep web es dark web. Mantener la precisión define dónde buscas cuando investigas una exposición.

Cómo funciona la dark web por dentro: Tor y los dominios .onion

Entender la mecánica de Tor ayuda a dimensionar qué se puede vigilar y qué no. Tor implementa enrutamiento cebolla (onion routing), una técnica nacida en investigación de la marina estadounidense y hoy mantenida por un proyecto abierto. Cuando te conectas, el cliente construye un circuito de tres repetidores (relays): un nodo de entrada o guardia, un nodo intermedio y un nodo de salida. El tráfico se cifra en capas sucesivas, de modo que cada repetidor solo conoce al anterior y al siguiente, nunca el origen y el destino completos a la vez. Esa es la propiedad que da anonimato.

Los servicios cebolla (onion services, antes llamados hidden services) van un paso más allá: el servidor tampoco revela su dirección IP. En lugar de salir por un nodo de salida, cliente y servicio se encuentran en un punto de encuentro (rendezvous point) previamente negociado a través de puntos de introducción. Las direcciones .onion de tercera generación (v3), que sustituyeron a las v2 obsoletas desde 2021, tienen 56 caracteres en base32 y derivan de una clave pública ed25519. Su descriptor se publica en una tabla hash distribuida entre repetidores con el flag HSDir. En la práctica, esto significa que no existe un directorio central que puedas rastrear: para encontrar un sitio .onion necesitas conocer su dirección de antemano.

Tor no es la única red de este tipo. I2P usa un esquema llamado garlic routing y aloja servicios internos (eepsites) con dominios .i2p. Hyphanet (antes Freenet) funciona como almacén distribuido de contenido. Todas comparten el objetivo de disociar contenido de identidad, lo que las hace atractivas tanto para la privacidad legítima como para el comercio ilícito.

Qué hay realmente en cada capa

Bajar del concepto a lo concreto evita alarmismos y despistes:

  • En la surface web vive lo público e indexable, pero también aparecen credenciales por descuido: claves de API en repositorios, ficheros .env expuestos, volcados en sitios de pegado de texto o canales de Telegram con combolists. Mucha "filtración de dark web" está, en realidad, en la superficie.
  • En la deep web está lo legítimo y protegido: tus sistemas internos, portales de clientes, APIs autenticadas. El riesgo no es el contenido en sí, sino una configuración deficiente que lo empuje a la superficie.
  • En la dark web se concentran los mercados de datos robados, los foros donde los corredores de acceso inicial (initial access brokers) venden accesos a redes corporativas y los sitios de filtración de grupos de ransomware.

Por qué importa a tu empresa: filtraciones y threat intelligence

Aquí la disambiguación deja de ser académica: tu superficie de exposición se reparte por las tres capas y necesitas vigilarlas con criterio. Un infostealer que infecta el portátil de un empleado (los describimos en qué es un infostealer) genera un stealer log con cookies de sesión y contraseñas guardadas que puede acabar tanto en un canal de Telegram de superficie como en un mercado .onion. Ese mismo dato, en manos de un corredor de acceso, se convierte en el pie que un grupo usa para desplegar ransomware. Muchos de esos programas combinan captura de teclado, como explicamos en qué es un keylogger, con el robo del almacén de credenciales del navegador.

En términos de MITRE ATT&CK, buena parte de lo que circula en estas capas alimenta la fase de reconocimiento del adversario (por ejemplo T1589, recopilación de información de identidad de la víctima). Vigilar esas fuentes es adelantarse a la materia prima de un ataque. Esa lógica es la misma que aplica un equipo ofensivo cuando prepara un ejercicio de red team: la información que un atacante recopila en abierto o en foros clandestinos es la que tú debes vigilar primero. Y cuando en esos foros se vende un exploit para una vulnerabilidad sin parche, hablamos de un zero-day que puede afectarte antes de que exista mitigación.

Traducir esa vigilancia en un proceso continuo es lo que llamamos monitorización, un enfoque que detallamos en monitorización de la dark web para empresas. No consiste en "navegar" por la dark web, sino en observar de forma sistemática breach dumps, combolists, stealer logs y menciones de marca, correlacionarlos con tus dominios y activos, y disparar una respuesta: reseteo de credenciales y revocación de sesiones. La misma disciplina de OSINT que estructura la recopilación en abierto se aplica también a las fuentes clandestinas.

Preguntas frecuentes

¿Es lo mismo la deep web que la dark web?

No. La deep web es todo el contenido de internet que no está indexado por buscadores, incluida tu banca online o tu correo, y es perfectamente legítima. La dark web es una fracción muy pequeña de la deep web accesible solo con redes de anonimato como Tor. Toda la dark web es deep web, pero casi nada de la deep web es dark web.

¿Es ilegal entrar en la deep web o en la dark web?

Acceder a la deep web es algo que haces a diario al iniciar sesión en cualquier servicio, así que no tiene nada de ilegal. Usar Tor o entrar en la dark web tampoco lo es en la mayoría de países, ya que el navegador es una herramienta legítima de privacidad. Lo ilegal son actividades concretas: comprar datos robados, contratar servicios criminales o acceder a sistemas ajenos.

¿Qué es un dominio .onion?

Es la dirección de un servicio alojado en la red Tor. Las direcciones actuales (v3) tienen 56 caracteres en base32 y derivan de una clave pública ed25519, de modo que ocultan tanto la ubicación del servidor como su identidad. Un navegador convencional no las resuelve: necesitas el navegador Tor y conocer la dirección de antemano, porque no existe un buscador central que las indexe.

¿Por qué debería preocuparle a mi empresa la dark web?

Porque las credenciales, los datos y la marca de tu organización pueden acabar expuestos en foros y mercados clandestinos antes de que un atacante los utilice. Detectarlo a tiempo permite resetear contraseñas y revocar sesiones en horas, en lugar de descubrir el compromiso semanas después convertido en un incidente. Es una capa de threat intelligence dentro de un programa de seguridad más amplio.

¿Se puede rastrear toda la dark web?

No de forma completa. No existe un índice central de sitios .onion y muchos datos se venden en privado sin llegar nunca a un corpus consultable. Una monitorización profesional reduce la incertidumbre y acorta el tiempo de detección, pero ninguna herramienta ofrece visibilidad total. Por eso es una capa dentro de un programa, no una solución única.

Recursos relacionados

Vigila tu exposición con Secra

En Secra integramos la vigilancia de la dark web en un programa de threat intelligence adaptado a tu organización: cobertura de dominio y activos de marca, detección de credenciales filtradas y stealer logs, priorización por riesgo y un proceso de respuesta que conecta la alerta con el reseteo de credenciales. Todo con encaje en NIS2 y RGPD y trazabilidad para el expediente.

Conoce nuestro servicio de dark web monitoring y planifica con nosotros la vigilancia de tu exposición.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo