Threat Intelligence
dark web
threat intelligence
credenciales filtradas

Qué es la dark web y sus riesgos para empresas

Qué es la dark web, qué se comercializa en ella (credenciales, accesos RaaS, datos robados) y por qué es un riesgo real para tu empresa.

Secra6 de julio de 202611 min de lectura

Qué es la dark web es una de las preguntas más buscadas en ciberseguridad, y casi siempre se responde con morbo en lugar de con criterio. La dark web es la fracción de internet a la que solo se accede mediante redes de anonimato como Tor, diseñadas para ocultar quién publica un contenido y dónde está alojado. Para una empresa lo relevante no es el misterio, sino un hecho incómodo: en esa capa se compran y se venden las credenciales, los datos de clientes y los accesos a redes corporativas que un atacante usará contra ti. Este artículo explica qué es la dark web, qué se comercializa en ella y por qué te afecta aunque tú nunca entres.

Lo esencial

  • La dark web es la parte de internet accesible solo con redes de anonimato (Tor, I2P), no un sinónimo de deep web.
  • No es ilegal en sí misma, pero concentra mercados de datos robados, foros de intrusión y sitios de extorsión de ransomware.
  • Se comercializan credenciales filtradas, stealer logs, datos de clientes, accesos corporativos (IAB) y kits de phishing.
  • Los datos llegan allí tras una brecha o una infección por infostealer, siguiendo una cadena predecible hasta el ransomware.
  • Te afecta aunque nunca entres: el riesgo existe porque tus datos ya circulan, y la monitorización es lo que lo detecta a tiempo.

Qué es la dark web en 30 segundos

La dark web es el conjunto de sitios y servicios que no se pueden abrir con un navegador convencional ni encontrar en Google, porque residen en redes de anonimato. La más conocida es Tor, cuyos servicios usan direcciones terminadas en .onion. Existen otras redes con la misma filosofía, como I2P (con dominios .i2p) o Hyphanet. El rasgo común es que disocian el contenido de la identidad: ni el visitante revela quién es ni el servidor revela dónde está.

Conviene deshacer dos mitos de entrada. Primero, la dark web no es ilegal en sí misma: aloja espejos de medios censurados, buzones seguros para fuentes periodísticas y foros de privacidad. Segundo, es diminuta comparada con el resto de internet. Lo que la hace relevante para el negocio es que concentra mercados de datos robados, foros de intrusión y los sitios de extorsión (leak sites) de los grupos de ransomware.

Surface web, deep web y dark web: las tres capas

Para situar la dark web hay que distinguir tres capas de la misma red, que no son mundos separados sino niveles de accesibilidad distintos.

  • Surface web: las páginas que un buscador rastrea e indexa (un sitio corporativo, un blog, una tienda online). Es una fracción pequeña del total.
  • Deep web: todo lo que existe pero no se indexa y que usas a diario: banca online, correo, intranets, paneles de administración, bases de datos tras un formulario. No tiene nada de clandestino.
  • Dark web: una porción minúscula de la deep web accesible solo con redes de anonimato.

El error más común es tratar deep web y dark web como sinónimos. La relación correcta es de inclusión: toda la dark web es deep web, pero casi nada de la deep web es dark web. Si quieres el detalle técnico de cómo funciona Tor por dentro (circuitos, nodos de entrada y salida, direcciones .onion v3 derivadas de una clave ed25519), lo desarrollamos en deep web vs dark web: diferencias.

Qué se comercializa en la dark web

El comercio de la dark web funciona como un mercado maduro, con vendedores reputados, servicios de garantía (escrow) y precios de referencia. Estos son los productos que más afectan a una empresa:

  • Credenciales filtradas y combolists. Ficheros con millones de pares correo:contraseña recopilados de múltiples brechas. Alimentan ataques automatizados de reutilización de credenciales, el mecanismo que describimos en qué es credential stuffing.
  • Stealer logs. Registros generados por infostealers como RedLine, Lumma, Vidar o StealC, que infectan un equipo y exfiltran contraseñas guardadas en el navegador, cookies de sesión y datos del sistema. Son especialmente valiosos porque incluyen tokens de sesión: con una cookie válida, un atacante puede saltarse el segundo factor sin conocer siquiera la contraseña.
  • Datos de clientes. Bases de datos con información personal (PII), historiales de compra, números de tarjeta y los llamados fullz, paquetes de identidad completa (nombre, documento, dirección, datos bancarios) que sirven para fraude e ingeniería social.
  • Accesos corporativos. Los corredores de acceso inicial (initial access brokers, IAB) venden entradas ya validadas a redes de empresas: credenciales de VPN, escritorio remoto (RDP) expuesto o paneles de administración. Los precios habituales van de unos cientos a varios miles de dólares según la facturación de la víctima.
  • Kits de phishing y phishing como servicio. Plataformas de PhaaS como Tycoon 2FA o EvilProxy alquilan infraestructura de adversario en el medio (AiTM) capaz de interceptar el token de sesión y sortear el MFA. También se venden plantillas que clonan portales de banca o de Microsoft 365.
  • Servicios a demanda. Malware, exploits y, cada vez más, fraude asistido por IA, incluidos deepfakes de voz y vídeo para suplantar a un directivo en una orden de transferencia.

Cómo llegan ahí los datos corporativos tras una brecha

Los datos no aparecen en la dark web por azar: siguen una cadena bastante predecible.

  1. Compromiso inicial. Una brecha en una plataforma expone su base de datos, o un infostealer infecta el portátil de un empleado a través de un adjunto o un instalador troyanizado.
  2. Extracción y empaquetado. El atacante vuelca la base de datos o recoge el stealer log. Los correos, hashes y contraseñas se normalizan y se agrupan en combolists reutilizables.
  3. Primera venta. El material se publica en foros como los sucesores de BreachForums, en mercados de logs (Russian Market, 2easy) o en canales de Telegram. Parte se vende y parte se filtra gratis para ganar reputación.
  4. Reventa y especialización. Un IAB compra un stealer log, comprueba que las credenciales de VPN siguen activas y revende ese acceso ya validado a un afiliado de un programa de ransomware como servicio (RaaS).
  5. Explotación. El afiliado usa ese acceso como punto de entrada, se mueve lateralmente, exfiltra datos y despliega el cifrado. Si la víctima no paga, sus datos acaban publicados en un leak site como parte de la doble extorsión. Es el patrón que analizamos en ransomware en España 2026.

La lección es que una credencial filtrada rara vez es el final de un incidente: suele ser el principio de otro.

Por qué le importa a tu empresa aunque nunca entres

Aquí está el cambio de mentalidad. No necesitas abrir Tor ni visitar un solo mercado para verte afectado: el riesgo existe porque tus datos ya circulan allí, con o sin tu conocimiento. Tratar la dark web como un asunto de morbo es precisamente lo que retrasa la detección.

El impacto es concreto y medible:

  • Acceso inicial regalado. Una sola credencial de empleado en un stealer log puede ser la puerta de un incidente de ransomware que pare tu operación durante días.
  • Fraude dirigido. Los datos de directivos y proveedores alimentan campañas de fraude del CEO (BEC) y de ingeniería social por voz, que ganan credibilidad precisamente porque parten de información real.
  • Obligaciones regulatorias. Si la filtración incluye datos personales, el RGPD puede obligarte a notificar a la autoridad de control en 72 horas; NIS2 añade deberes de gestión y reporte de incidentes para sectores esenciales e importantes. Descubrir la exposición tarde reduce tu margen para cumplir.
  • Daño reputacional y de cadena de suministro. Un acceso a tu red puede reutilizarse para atacar a tus clientes, convirtiéndote en el eslabón débil de terceros.

La dark web no es, por tanto, un problema de curiosidad, sino de superficie de exposición: se gestiona vigilándola, no ignorándola.

Señales de exposición y cómo se detecta

Pocas empresas descubren su exposición navegando: la descubren cuando alguien la vigila por ellas. Estas son señales de que tus datos pueden estar ya en circulación:

  • Correos corporativos que aparecen en brechas públicas conocidas.
  • Aumento repentino de intentos de inicio de sesión fallidos o de bloqueos de cuenta por credential stuffing.
  • Menciones de tu dominio o tu marca en foros de venta de accesos.
  • Cuentas de empleados con sesiones activas desde ubicaciones geográficamente imposibles.

Detectar esto a tiempo es tarea de la threat intelligence, y en concreto de la monitorización de la dark web: observar de forma sistemática breach dumps, combolists, stealer logs y menciones de marca, correlacionarlos con tus dominios y activos, y disparar una respuesta (reseteo de credenciales, revocación de sesiones, análisis de uso previo). Desarrollamos el proceso completo en monitorización de la dark web para empresas.

Esta vigilancia se apoya en la misma disciplina de OSINT que un atacante usa para preparar su golpe: la diferencia es que tú la aplicas para adelantarte. En términos de MITRE ATT&CK, buena parte de lo que se compra en estos mercados alimenta la fase de reconocimiento del adversario (por ejemplo T1589, recopilación de información de identidad de la víctima) y el posterior uso de cuentas válidas (T1078) como acceso inicial.

Preguntas frecuentes

¿Qué es exactamente la dark web?

Es la parte de internet accesible solo mediante redes de anonimato como Tor, cuyos servicios usan direcciones .onion que un navegador convencional no resuelve. Está diseñada para ocultar la identidad y la ubicación tanto de quien publica como de quien visita. No es sinónimo de deep web ni de actividad ilegal, aunque sí concentra mercados de datos robados y foros criminales.

¿Es ilegal entrar en la dark web?

En la mayoría de países no lo es: usar Tor o abrir un sitio .onion es legal, porque son herramientas legítimas de privacidad. Lo ilegal son actividades concretas que puedan realizarse allí, como comprar datos robados, contratar servicios criminales o acceder a sistemas ajenos. Para una empresa, el interés no está en entrar, sino en vigilar si sus propios datos aparecen expuestos.

¿Qué datos de mi empresa pueden acabar en la dark web?

Principalmente credenciales de empleados, cookies de sesión, correos corporativos, datos de clientes (PII, tarjetas, fullz), documentos internos y, en el peor caso, accesos completos a tu red vendidos por un corredor de acceso inicial. También pueden aparecer menciones de tu marca en foros donde se prepara un ataque.

¿Puedo saber si mis datos ya están expuestos?

Sí, mediante un servicio de monitorización de dark web que correlaciona tus dominios y activos con breach dumps, combolists y stealer logs. Referencias públicas como Have I Been Pwned permiten una primera comprobación individual, pero para una organización hace falta cobertura de dominio, alertas continuas y un proceso de respuesta detrás.

¿En qué se diferencia de la deep web?

La deep web es todo lo que no indexan los buscadores, incluida tu banca online o tu correo, y es perfectamente legítima. La dark web es una fracción minúscula de esa deep web accesible solo con redes de anonimato. Toda la dark web es deep web, pero casi nada de la deep web es dark web.

Recursos relacionados

Vigila tu exposición con Secra

En Secra tratamos la dark web como lo que es para tu negocio: una fuente de riesgo que hay que vigilar. Integramos la monitorización en un programa de threat intelligence adaptado a tu organización, con cobertura de dominio y marca, detección de credenciales filtradas y stealer logs, priorización por riesgo y un proceso de respuesta que conecta la alerta con el reseteo, la revocación de sesiones y el análisis de impacto. Todo con encaje en NIS2 y RGPD y trazabilidad para el expediente.

Conoce nuestro servicio de threat intelligence y planifica con nosotros la vigilancia de tu exposición.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo