La sociedad en la que vivimos está inmersa en un proceso en el que sus miembros permanecen hiperconectados con otros semejantes y con multitud de aplicaciones y servicios. Todo ello gracias a Internet, lo que ha hecho de esta red un elemento imprescindible en nuestras vidas. En el ámbito de las empresas, el impulso de la transformación digital está consiguiendo que, independientemente del tamaño de la organización, y por muy pequeña que esta sea, todas operen en Internet.
Este gigantesco mundo paralelo que se ha creado en la Red es cada vez más complejo y no está privado de la presencia de actores maliciosos que, con diferentes propósitos, ponen en riesgo activos de particulares y empresas.
A pesar de la magnitud de Internet, únicamente tenemos acceso a una pequeña parte de los sitios que aloja. Según el tipo de acceso requerido para visualizar los contenidos de estos sitios, se puede estructurar Internet en tres zonas:
- La web abierta o superficial. Esta web supone un porcentaje muy pequeño de toda la Red. Son sitios web a disposición del público a los que se accede utilizando los navegadores tradicionales. Gracias a la indexación, el acceso es muy rápido.
- La Deep Web es la gran porción de la tarta de Internet. Es allí donde se aloja la mayor parte de la información disponible en la Red. Es la zona en la que se encuentra la información de empresas e instituciones.
- La Dark Web forma parte de la Deep Web. Ocupa una mínima parte de esta. Esta zona oscura ha estado rodeada desde sus inicios de un halo de misterio, estando considerada como un espacio en el que se gestan actos ilícitos. Sin embargo, dada su opacidad y sus restricciones para acceder, también se ha utilizado para alojar contenido legal. Se trata de una zona donde no existe la indexación, donde no pueden acceder los navegadores tradicionales y que requiere de accesos virtuales para llegar hasta allí.
Paralelamente a la transformación digital que están abordando las empresas, en el ámbito de la ciberdelincuencia se está produciendo un salto exponencial en la actividad maliciosa a escala global. La Dark Web está siendo protagonista de este nuevo escenario, pues, al cobijo del anonimato que se obtiene formando parte de ella, se fraguan numerosas acciones ilícitas.
En la Dark Web se cobijan actores maliciosos que debaten en foros sobre asuntos ilícitos y trafican en mercados con bienes obtenidos de manera ilegal. Asuntos relacionados con acciones terroristas, tráfico de drogas y armas, extorsiones, ataques a la reputación de las marcas, fraudes, software malicioso o fuga de información forman parte de la actividad que se genera en la Dark Web.
Múltiples consecuencias gestadas en la Dark Web
Las consecuencias que sufren las organizaciones que se ven afectadas por acciones gestadas en la Dark Web son múltiples y, en su mayoría, tienen una traducción económica:
- En el ámbito de las telecomunicaciones, en la Dark Web se trafica con el sim swapping o suplantación de las tarjetas SIM de los teléfonos móviles.
- En entornos bancarios, los actos ilícitos habituales tienen que ver con la falsificación de tarjetas de crédito.
- Son especialmente sensibles las amenazas a las que están sometidas las infraestructuras críticas y esenciales, generalmente asociadas a acciones terroristas y sabotajes.
- De forma genérica, se pueden organizar acciones que atenten contra la reputación de marcas comerciales o de los directivos de las compañías.
- Asimismo, la Dark Web está sirviendo para traficar con grandes bases de datos de información robadas a las organizaciones. En particular, están siendo de sumo interés para los ciberdelincuentes las que albergan credenciales de cuentas de usuarios. Disponer de los datos de acceso a servicios o aplicaciones de una empresa les facilita enormemente la ejecución de ciberataques basados, por ejemplo, en ransomware.
Para anticiparse a estas amenazas, las empresas de ciberseguridad disponen de herramientas con capacidad para realizar investigaciones con las que obtener visibilidad continua y en tiempo real de lo que acontece en la zona oscura de Internet.
Los analistas de los SOC pueden acceder a fuentes y foros cerrados y realizar investigaciones encubiertas
Distintos escenarios
Las tecnología que implementan estas herramientas permite abordar una amplia gama de escenarios:
- Detección en tiempo real de credenciales comprometidas. Es posible detectar la filtración y el compromiso de credenciales de empleados que hayan aparecido en la web profunda u oscura.
- Monitorización de amenazas dirigidas contra directivos. Se puede hacer seguimiento de posibles amenazas cibernéticas o físicas de las que sean objeto directivos de la organización (estafa del CEO, doxing, spear-phising, etc.).
- Protección de la marca. Detección de amenazas que prevengan de ataques contra la marca empresarial y sus activos críticos.
- Análisis del fraude. Permite investigar fugas de tarjetas de crédito, suplantación de tarjetas SIM y otros tipos de fraudes.
- Investigaciones de amenazas terroristas. Se puede acceder a docenas de foros y canales relacionados con esto.
- Investigaciones sobre armas y drogas. Igualmente, es posible acceder a numerosos mercados relacionados con el tráfico de drogas y armas.
- Referencias genéricas. El alcance de las investigaciones incluye todos los dominios pertenecientes a la organización.
La operación de este servicio la realiza habitualmente el equipo de analistas del SOC, con la colaboración de la organización que solicita el servicio, definiendo los parámetros de búsqueda de amenazas con el fin de establecer las alertas que prevengan de las acciones fraudulentas que se estén gestando o que hayan podido llegar a materializarse.
El servicio de Vigilancia Digital reporta beneficios evidentes para las organizaciones que optan por él. Además del evidente ahorro económico que puede suponer anticiparse a una amenaza que atente contra la organización, se pueden evitar daños físicos para las personas y materiales en las instalaciones, así como afecciones a la reputación de la marca.