OpiniónSeguridad

Dark Web: la parte oculta del iceberg

¿Quién no ha oído decir que un iceberg muestra por encima del nivel del mar solo la décima parte de su volumen total? Por Juanjo Galán, Business Strategy de All4Sec.

Juanjo Galán, Business Strategy de All4Sec

En muchas ocasiones, algunos de ustedes habrán visto imágenes de un enorme iceberg flotando las aguas del océano. Su figura resulta impresionante, cuando no desalentadora si se piensa en términos de las condiciones medioambientales que a menudo son causa de su origen. Ahora bien, ¿han llegado a plantearse la pregunta de cuánto ocupa la parte que se encuentra por debajo del nivel del agua? La respuesta es físicamente sencilla: un iceberg apenas muestra en superficie la décima parte de su volumen total.

Algo parecido ocurre cuando hablamos de la Web. Si nos referimos a la World Wide Web todos reconocerán en ella un entorno de información de tamaño monumental puesto a nuestra disposición para ejecutar infinidad de consultas de todo tipo. Un “iceberg” inmenso. Sin embargo, la mayoría de los usuarios desconocen que el contenido de esa Web apenas representa el 4% del total de la información que tiene disponible. La mayor parte de los datos y servicios permanecen ocultos, inaccesible al gran público. Es lo que se conoce con el nombre de Deep Web.

Deep Web

La Deep Web resulta ser un mundo desconocido y que, sin embargo, centraliza la mayor parte del contenido de Internet. Mientras en la Web pública encontramos elementos que son accesibles y que están indexados por los principales buscadores de Internet —Google, Yahoo o Bing—, en la Deep Web se localiza aquella información que los buscadores no son capaces de indexar. Contenidos alcanzables solo si se dispone del conocimiento o las claves para llegar a ellos. Ejemplos evidentes de estos tipos de datos lo constituyen los servicios de correos electrónicos, las Intranets de las empresas, los portales financieros o cualquier otro servicio cuya accesibilidad se encuentra restringida bajo algún mecanismo de protección de acceso.

Pues bien, llegados a ese punto, si siguiéramos profundizando en la red —como lo haría un buzo en el descenso a las profundidades del iceberg— llegaríamos a la Dark Web, el “extremo oculto de Internet”. La Dark Web vendría a ser esa pequeña parte de la Deep Web donde “la información y los usuarios se mueven sin ser detectados”.

Dark Web

Se conoce como Dark Web a la parte de Internet inaccesible a buscadores y que está constituida por redes de sistemas de información ocultos en niveles cifrados de comunicación que requieren de herramientas especiales para acceder a ellas.

Ante esta definición, algunos estarán tentado de pensar que la Dark Web debe ser algo así como un club clandestino y privado, un conjunto de redes delictivas donde no rige ninguna ley y donde se debe de comerciar con casi todo. En cierto modo no estarán demasiado desencaminados, aunque su conclusión no sea del todo correcta. Es cierto que la Dark Web representa al conjunto de usuarios y contenidos que pretenden moverse manteniendo la privacidad y el anonimato. Ahora bien, ¿quiere eso decir que privacidad y anonimato sean sinónimos de actos delictivos? La respuesta es clara: en absoluto.

Bajo las premisas de privacidad y anonimato se pueden llevar a cabo actividades legales. Se pueden superar barreras a la información o a la investigación impuestas por regímenes políticos —tal y como demostró ProPublica, Premio Pulitzer en 2010, y que actualmente presta servicios en la Dark Web; se pueden expresar opiniones sin que se coarte la libertad de expresión; se puede mantener la privacidad entre dos personas sin ser víctimas de espionaje… Sin embargo, también es cierto que se pueden cometer delitos. Por eso vayamos por partes.

¿Cómo se accede a la Dark Web?

Lo primero que hay que saber es que para acceder a los contenidos de la Dark Web se necesita un software especial que se encarga de llegar a esa zona de la red.

El “Onion Router” o Tor es la herramienta de uso más común. Se trata de un navegador que se conecta a la red Tor, una de las redes, y quizás la más conocida, dentro de la Dark Web. Con este navegador se garantiza el anonimato del usuario. Un nivel de anonimato superior al que proporcionan navegadores como Chrome Incognito o las propias VPN. Su instalación es una operación sencilla y puede descargarse de dominios públicos sobradamente conocidos .

¿Cómo se navega?

Antes de continuar debemos insistir en que existen otras subredes dentro de la Dark Web que también mantienen oculta la identidad, tales como I2P o Freenet , aunque no son tan populares como la red Tor.

Se ha comprobado que alrededor de 2 millones de usuarios la utilizan diariamente. Una particularidad de esta red es que sus dominios son diferentes a los que empleamos habitualmente. Para empezar, llevan la extensión “.onion”, al igual que en la Web pública tienen las extensiones “.com” o “.org”.

La extensión “.onion” responde a una característica fundamental de esta Dark Web y expresa el hecho de que las comunicaciones de los usuarios se completan a través de tres capas aleatorias en la red —entrada, gateway y salida— dentro de las cuales ninguna conoce a la vez el origen y el contenido de la comunicación a realizar —al igual que las capas de una cebolla. Esta característica resulta fundamental para mantener la privacidad y el anonimato.

Los servicios disponibles en tienen su dirección IP oculta de modo que es muy difícil identificarlos. Una URL típica estará constituida por una secuencia de 16 caracteres entre letras y números (p.ej. xmh57jrzrnw6insl.onion.to) que serán difíciles de memorizar.

Otra característica relevante es que no tiene servicios de buscadores avanzados, aunque continuamente se crean dominios que intentan indexar sus URLs —NotEvil, , Candle, DarkWebLink o Torch — para facilitar el acceso a los usuarios. Lo cierto es que muchos de estos buscadores acaban desapareciendo transcurrido un cierto tiempo. Por eso si un usuario quiere acceder a un determinado servicio lo más habitual es que conozca su URL completa.

¿Qué hay dentro de la Dark Web?

Los servicios disponibles en la Dark Web son innumerables. Desde hace varios años se viene intentando hacer una clasificación de sus principales dominios. La tarea no resulta sencilla en tanto que se trata de indexar un espacio desconocido y a menudo cambiante.

Análisis recientes indican que solo en la red Tor puede haber en torno a 180.000 servicios ocultos . Bien es cierto que muchos de estos servicios resultan muy difícil o imposible de catalogar debido a la limitada información que proporcionan o a que en ocasiones solo se utilizan para actividades muy puntuales.

Un estudio realizado por la Universidad de León y el INCIBE en 2016 clasificó un subconjunto de ellos —algo menos de 7.000 que realmente estaban activos en ese momento— en torno a 26 categorías dentro de una base de datos definida como DUTA —Darknet Usage Text Addresses

Esta base de datos permitió identificar servicios de violencia, falsificación, drogas, pornografía, apuestas, incluso de tráfico de seres humanos. Todos ellos resultan escalofriantes. Pero también encontró servicios de redes sociales privados, juegos online, recursos de investigación periodística, gestores de criptomonedas, dominios de arte o música, etc. Visto con cierta perspectiva, nos encontraremos con una muestra evidente del uso dual que puede tener una misma tecnología .

La cara más oscura de la Dark Web

Más recientemente, un estudio realizado por profesores de la Universidad Babasaheb Bhimrao Ambedkar en India ha repetido el análisis, centrándose en los dominios considerados ilegales.

De los más de seis mil dominios activos encontrados ha sido posible clasificar algo más de cuatro mil, después de eliminar en torno a dos mil servicios que no tenían apenas contenido útil.

En el estudio se utilizaron 16 categorías que incluían, entre otros, servicios de criptomonedas (dirigidos al pago de transacciones), marketplaces (para la compra-venta ilegal de joyas, objetos robados, productos falsificados o incluso órganos humanos), falsificaciones (documentos de identidad, moneda…), información personal (datos de tarjetas de crédito, números de la seguridad social…), drogas (anfetaminas, cannabis, estimulantes…), contenidos para adultos (pornografía, imágenes gore…), violencia (sicarios, armas, guías de fabricación de explosivos…), licencias piratas de productos (ICloud, cuentas de servicios de televisión de pago…) o servicios para hackear o bloquear sistemas (DDoS, Doxing, RAT, phishing, ransomware…).

Básicamente, en torno al 38% de los servicios totales identificados fueron clasificados como delictivos. Es decir, y expresado de otra forma, más de 1.300 dominios fueron catalogados como prestadores de servicios que podrían ser perseguidos por las autoridades… Perseguidos si pudieran acceder a los usuarios que participan de ellos.

Persecución de delitos en la Dark Web

Ante este panorama, podríamos hacernos la siguiente pregunta: ¿qué deberían hacer las autoridades con este ecosistema? Los delitos que se cometen en la Dark Web a menudo resultan complicados de perseguir . En particular porque no todos los que navegan por la Dark Web intentan cometer delito alguno. En muchas ocasiones se trata simplemente de personas que prefieren mantener su anonimato y privacidad sin por ello tener que estar bajo sospecha. Aun así, las autoridades no dejan de prestarles atención.

Uno de los primeros éxitos en la persecución de los delitos en la Dark Web tuvo lugar en 2013 cuando el FBI consiguió desmantelar Silk Road, uno de los más importantes marketplaces para la compraventa de drogas . Años más tarde, en 2017, norteamericanos y holandeses lanzaron Operation Bayonet que permitió desmantelar dos nuevos servicios —AlphaBay y Hansa— donde centenares de miles de compradores y vendedores completaban transacciones ilegales por valor de miles de millones de dólares.

Más recientemente, en mayo de 2019, una operación coordinada internacionalmente consiguió desmantelar otro par de ellos: Wall Street and Valhalla. En la misma operación incluso se bloqueó un servicio de noticias muy popular en la Dark Web conocido como DeepDotWeb que, aunque no llevaba a cabo actividades de contrabando directamente, sí publicitaba en sus páginas servicios ilegales.

Como puede observarse, los dominios con fines delictivos son numerosos y no tienen visos de desaparecer. Se trata de una continua lucha entre servicios de inteligencia y contrainteligencia.

ISP y organismos gubernamentales tienen mucho que decir en este proceso. Ellos tienen parte de la información que resulta necesaria para la investigación. Por ejemplo, los ISP pueden conocer la dirección IP desde donde un usuario Tor ha establecido la conexión y con ella —tal y como en su día estableció una sentencia en la Corte Suprema norteamericana — localizar y bloquear un ordenador. Pero en ocasiones ni siquiera esto no resulta suficiente. Muchos usuarios suelen utilizar Tor encapsulado en una conexión VPN para evitarlo, dando al traste con los procesos de investigación. Asimismo, las infraestructuras que soportan los servicios, y que son básicas para su funcionamiento, no siempre son fáciles de localizar.

Delincuentes contra delincuentes

En este contexto, algunos de los dominios que hemos mencionados persisten actualmente en el tiempo; otros resultaron efímeros después de adquirir un relativo éxito y verse deshabilitados por los ataques que la propia competencia interna genera dentro de la red.

Casos concretos los encontramos en muchos foros especializados. Olympus, por ejemplo, cesó sus actividades después de que los administradores del servicio completaran una estafa a sus propios usuarios. Dream Market acabó cerrando tras verse sometido a un agresivo ataque de DDoS. Y así podríamos seguir con otros muchos dominios.

Al final, podríamos decir que también en la Dark Web existen luchas de poder. En ocasiones los gestores de estos servicios se espían o combaten entre sí, llegando a ser víctimas de sus propias difamaciones o engaños —los llamados “rippers”. Es fácil de imaginar las razones que les mueven a ello. Probablemente las mismas que se plantean en algunos sitios “de la superficie”, aunque en la Dark Web con más razón si cabe. Y es que precisamente en ese entorno quizás más de uno piense que “quien roba a un ladrón…”.

Computing 796