Threat Intelligence
dark web monitoring
dark web
credenciales filtradas

Monitorización de la dark web para empresas

Qué es la monitorización de la dark web, cómo detecta credenciales filtradas y qué hace un escaneo o servicio para empresas y pymes.

Secra6 de julio de 202610 min de lectura

La monitorización de la dark web es el proceso continuo de rastrear foros clandestinos, mercados, canales de mensajería y volcados de filtraciones para detectar si las credenciales, los datos o la marca de una organización han quedado expuestos antes de que un atacante los utilice. Para una empresa sujeta a NIS2 o RGPD, esa detección temprana marca la diferencia entre resetear una contraseña filtrada en cuestión de horas o descubrir el compromiso semanas después, ya convertido en un incidente de ransomware.

Lo esencial

  • La monitorización de la dark web vigila fuentes clandestinas (foros, mercados, canales de Telegram, volcados de filtraciones) buscando datos de tu organización.
  • La detección de exposición se apoya en corpus de brechas, combolists y stealer logs, con servicios tipo Have I Been Pwned como referencia pública.
  • Un escaneo puntual da una foto fija, un servicio de monitorización avisa de forma continua cuando aparece una credencial nueva.
  • Los informes de exposición para consumidores comprueban un perfil (correo, teléfono, documento) frente a bases de datos de filtraciones agregadas.
  • Para una empresa, la monitorización encaja como capa de threat intelligence dentro de un programa que combina seguridad ofensiva y respuesta a incidentes.

Qué es la dark web y qué es la monitorización de la dark web

Conviene separar tres capas de la web para entender de qué hablamos. La surface web es el conjunto de páginas indexadas por buscadores como Google. La deep web es todo lo que existe pero no se indexa: banca online, correo, paneles internos, bases de datos tras un formulario. Y la dark web es la fracción de la deep web accesible solo mediante redes de anonimato como Tor (dominios .onion) o I2P, diseñadas para ocultar la identidad y la ubicación de servidores y usuarios.

No toda la dark web es criminal, pero sí concentra mercados de datos robados, foros de intrusión y servicios de extorsión. La monitorización de la dark web consiste en observar de forma sistemática esas fuentes, junto con otras que técnicamente están en la surface web (canales de Telegram, sitios de pegado de texto, repositorios mal configurados), para localizar información sensible de una organización: credenciales, tarjetas, documentos, código fuente o menciones de marca.

En términos de MITRE ATT&CK, gran parte de lo que se busca corresponde a la fase de reconocimiento del adversario (por ejemplo T1589, recopilación de información de identidad de la víctima). Monitorizar esas fuentes equivale a vigilar la materia prima que un atacante usaría contra ti.

Cómo se detecta la exposición y las filtraciones de credenciales

La detección de credenciales filtradas se apoya en varias familias de fuentes que conviene distinguir porque tienen calidad muy distinta.

  • Volcados de brechas (breach dumps). Cuando una plataforma sufre una intrusión, sus bases de datos acaban circulando en foros como los sucesores de BreachForums. Un servicio serio normaliza esos volcados, extrae correos, hashes y contraseñas, y los indexa para consultarlos.
  • Combolists. Ficheros con millones de pares correo:contraseña recopilados de múltiples brechas y usados directamente para ataques de reutilización de credenciales. Alimentan campañas de account takeover a escala industrial, el mismo insumo que describimos en qué es credential stuffing.
  • Stealer logs. Registros generados por infostealers (RedLine, Lumma, Vidar, Raccoon) que infectan un equipo y exfiltran cookies de sesión, contraseñas guardadas en el navegador y datos del sistema. Son especialmente peligrosos porque incluyen tokens de sesión que permiten saltarse el segundo factor. Muchos de estos programas combinan captura de teclado, como explicamos en qué es un keylogger, con robo del almacén de credenciales.
  • Sitios de pegado y repositorios. Pastebin, Ghostbin, gists o buckets S3 mal configurados donde aparecen claves de API, ficheros .env o credenciales filtradas por error.

La referencia pública más conocida es Have I Been Pwned, el servicio de Troy Hunt que agrega miles de millones de cuentas de brechas conocidas. Su API de contraseñas usa un modelo de k-anonymity: el cliente envía solo los cinco primeros caracteres del hash SHA-1 de la contraseña y recibe el rango de coincidencias, de modo que la contraseña completa nunca sale del equipo. Ese diseño marca el estándar de cómo comprobar exposición sin crear un riesgo nuevo.

Qué hace realmente un servicio o un escaneo de dark web

Aquí conviene ser honesto porque el marketing ha inflado expectativas. Un escaneo de dark web (dark web scan) es una consulta puntual: introduces un dominio o un correo y el servicio compara ese dato contra los corpus de brechas y stealer logs que tiene indexados. Es una foto fija de un momento concreto.

Un servicio de monitorización de la dark web hace lo mismo de forma continua: registra tus dominios, direcciones, ejecutivos clave y activos de marca, y te avisa cuando aparece una coincidencia nueva. La diferencia práctica es el tiempo de detección. Un escaneo te dice qué había ayer, la monitorización te avisa mañana cuando una credencial de tu dominio aparezca en un log recién publicado.

Qué es un escaneo gratuito de dark web y qué límites tiene

Los escaneos gratuitos de dark web (free dark web scan) son casi siempre herramientas de captación comercial. Aportan valor real, pero con límites importantes que conviene conocer:

  • Suelen comprobar solo una dirección de correo, no un dominio completo.
  • Consultan bases de datos de brechas ya conocidas y públicas, no rastrean la dark web en tiempo real.
  • No incluyen contexto de remediación ni priorización.
  • A veces devuelven un simple sí o no, sin decir en qué brecha ni con qué contraseña.

Son un buen punto de partida para una persona o para una primera comprobación, pero no sustituyen a un programa continuo con cobertura de dominio, alertas y un proceso de respuesta detrás.

Cómo funcionan los informes de exposición para consumidores

En los últimos años varios buscadores, gestores de contraseñas y bancos han incorporado informes de exposición dirigidos al usuario particular. El patrón, más allá de la marca concreta, es siempre parecido: el usuario define un perfil de vigilancia (nombre, correo, teléfono, documento de identidad, número de tarjeta) y el servicio compara periódicamente esos datos contra un conjunto agregado de bases de datos de filtraciones. Cuando encuentra una coincidencia, genera un aviso e indica en qué brecha apareció el dato y qué campos quedaron expuestos.

Es importante entender qué no hacen estos informes. No exploran mercados .onion en directo, sino que consultan datasets ya recopilados y normalizados. Y cubren identidades individuales, no la superficie de exposición de una organización con cientos de empleados, subdominios y proveedores. Para una empresa, ese enfoque de consumidor se queda corto: hace falta cobertura de dominio, correlación con activos y un flujo de remediación.

Monitorización de la dark web para empresas y pymes

Para una organización, la monitorización de la dark web no es un producto aislado sino una capa de threat intelligence dentro de un programa de seguridad más amplio. Encaja de forma natural entre la seguridad ofensiva (que descubre tu superficie de ataque) y la respuesta a incidentes (que actúa cuando algo se materializa). La misma información de OSINT que un atacante recopila para preparar un golpe es la que tú debes vigilar para adelantarte.

El valor concreto para una empresa o una pyme se ve en escenarios cotidianos:

  • Detectar que las credenciales corporativas de un empleado aparecen en un stealer log permite forzar el reseteo y revocar sesiones antes de que alguien las use para un acceso inicial.
  • Localizar cuentas de un proveedor o de un directivo expuestas ayuda a anticipar campañas de fraude, incluidas las de vishing que se apoyan en datos reales para ganar credibilidad.
  • Ver que tu dominio o tu marca se menciona en un foro de venta de accesos puede ser la primera señal de una operación de ransomware en preparación.

Herramientas y fuentes

El mercado ofrece opciones para todos los tamaños. En el lado consultable directamente están Have I Been Pwned, DeHashed, Intelligence X o Leak-Lookup. En plataformas gestionadas y de mayor cobertura aparecen SpyCloud, Recorded Future, Flare, DarkOwl o Constella Intelligence, capaces de correlacionar exposición, priorizar por riesgo e integrarse con el SIEM. La elección depende de la madurez del programa: una pyme puede empezar con cobertura de dominio y alertas por correo, mientras que una organización sujeta a NIS2 querrá integración con su centro de operaciones y evidencia trazable. Conviene recordar que estas plataformas también son terreno abonado para el fraude asistido por IA, un riesgo que tratamos en seguridad de ChatGPT en empresas.

Sea cual sea la herramienta, la clave es el proceso que hay detrás: alerta, verificación, reseteo de credenciales, revocación de sesiones y análisis de uso previo. Una alerta sin respuesta no reduce el riesgo.

Preguntas frecuentes

Sí. Observar fuentes públicas o semipúblicas y comprobar si tus propios datos están expuestos es una actividad legítima de inteligencia y defensa. Lo que no es legal es participar en la compra de datos robados o acceder a sistemas ajenos. Un servicio profesional trabaja con volcados ya publicados y respeta el RGPD en el tratamiento de los datos personales que localiza.

¿Un escaneo de dark web encuentra todo lo filtrado?

No. Ningún servicio tiene visibilidad completa de todas las fuentes clandestinas, y muchos datos se venden en privado sin llegar nunca a un corpus indexable. Un escaneo o una monitorización reducen la incertidumbre y acortan el tiempo de detección, pero no garantizan cobertura total. Por eso son una capa dentro de un programa, no una solución única.

¿Qué diferencia hay entre un escaneo y un servicio de monitorización?

El escaneo es una consulta puntual que da una foto fija del momento. El servicio de monitorización vigila de forma continua y avisa cada vez que aparece una exposición nueva. Para una empresa, la monitorización continua es lo que aporta valor real, porque las filtraciones no ocurren una vez, sino de forma constante.

¿Sirve la monitorización de la dark web para una pyme?

Sí, y a menudo es donde más se rentabiliza. Muchas pymes carecen de un SOC propio y descubren un compromiso tarde. Una monitorización con cobertura de dominio y alertas permite reaccionar ante credenciales filtradas sin necesidad de un gran equipo, integrándose en un servicio gestionado externo.

¿Qué hago si aparecen credenciales de mi empresa filtradas?

Actúa rápido: fuerza el reseteo de esas contraseñas, revoca las sesiones activas y los tokens, revisa si hubo accesos anómalos y comprueba si esa contraseña se reutiliza en otros servicios. Si la filtración incluye datos personales, valora las obligaciones de notificación bajo RGPD. Documenta todo el proceso para el expediente.

Recursos relacionados

Monitorización de la dark web con Secra

En Secra integramos la monitorización de la dark web en un programa de threat intelligence adaptado a tu organización: cobertura de dominio y activos de marca, detección de credenciales filtradas y stealer logs, priorización por riesgo y un proceso de respuesta que conecta la alerta con el reseteo, la revocación de sesiones y el análisis de impacto. Todo con encaje en NIS2 y RGPD y trazabilidad para el expediente.

Conoce nuestro servicio de dark web monitoring y planifica con nosotros la vigilancia de tu exposición.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo