(+34) 910 42 42 93 [email protected]

dark web

Todos hemos oído hablar alguna vez sobre la Deep Web o la Dark Web, generalmente haciendo mención de las actividades ilícitas que se realizan dentro de la misma ya que permiten anonimizar la identidad de los ciberdelincuentes y de los usuarios que navegan por estas redes anónimas.

En el presente artículo se abordarán conceptos como el proceso llevado a cabo para lograr anonimizar el tráfico de los usuarios de la red y cómo se podría identificar a los ciberdelincuentes.

1. Deep Web vs Dark Web

Antes de explicar en profundidad el funcionamiento de la Dark Web, es importante mencionar la diferencia existente entre la Deep Web y la Dark Web ya que normalmente se confunden ambos términos, considerándolos análogos cuando realmente difieren en su significado.

La Deep Web es una parte de la red que no se encuentra indexada en los navegadores convencionales, es decir, está formada por aquellas páginas web que no se pueden acceder de forma pública. Por ejemplo, cuando accedes a tu cuenta de Netflix, dicha página web no se encuentra indexada en los navegadores, ya que implicaría que cualquier persona que conociera el nombre del usuario, podría acceder a su cuenta de Netflix. Básicamente la Deep Web está formada por páginas web que no pueden ser encontradas de forma pública, pudiendo acceder a ellas una vez se valida el acceso mediante mecanismos de control, como por ejemplo cuando inicias sesión en una página pública, te redirige a tu cuenta que se encuentra sin indexar (forma parte de la Deep Web). Cabe destacar que la Deep Web almacena aproximadamente el 90% del contenido total de Internet y en algunos casos solo puede ser accedida empleando navegadores especializados como TOR (del inglés, The Onion Router), Freenet, I2P (del inglés. Invisible Internet Project), entre otros.

La Dark Web es una pequeña porción de la Deep Web (se estima que es un 0.01% de la Deep Web), en la que se encuentran páginas cuyos dominios son generalmente de tipo .onion, que identifican a un dominio mediante una dirección IP anónima que se puede acceder al emplear TOR, de tipo .i2p que de forma análoga al caso anterior, se pueden acceder al emplear I2P como navegador. Es decir, la Dark Web se encuentra dentro de la Deep Web y solo pueden ser visualizadas las páginas web de la Dark Web si se emplean navegadores específicos, dichos navegadores emplean técnicas de cifrado que permiten enmascarar la navegación de los ciberdelincuentes, por ello su uso es tan recurrente por parte de los cibercriminales. Por desgracia, en muchas de estas páginas se realizan actividades delictivas de diferente índole las cuales son perseguidas por las autoridades encargadas de garantizar la seguridad informática.

2. Cifrado en TOR como ejemplo de red anónima

Una vez se ha dejado claro qué diferencia a la Dark Web de la Deep Web, se puede explicar cómo funciona el cifrado que ofrecen los navegadores para anonimizar la navegación por la Deep Web. Para ello, se explicará el funcionamiento del cifrado que se realiza en redes TOR para garantizar el anonimato en las comunicaciones, el esquema es el siguiente.

Cifrado TOR
Figura 1. Cifrado en redes TOR presentado en https://www.myrasecurity.com/en/knowledge-hub/tor-network/

En primer lugar, el cliente Tor consulta al directorio TOR centralizado para obtener información de 3 nodos (especificamente llamados Bridges TOR) de la red que servirán para encaminar y anonimizar la comunicación. Dicha información es relativa a la clave pública de cada uno de los nodos con las que el cliente generará una clave simétrica con cada nodo intercambiando sus claves públicas. Específicamente, el cliente obtiene la clave pública de los relays y envía su propia clave pública a los nodos mediante Diffie Hellmann para generar una clave simétrica con cada uno de los relays que se utilizarán en el encaminamiento.

Para comprender esto mejor, considere que tiene una información a enviar, consultará al directorio de TOR para obtener la ruta que se empleará para enviar la información (dicha ruta se genera de forma aleatoria por el navegador TOR) y obtendrá las claves públicas de los relays a utilizar. Se emplea Diffie Hellmann para la negociación y una vez se derivan las 3 claves simétricas, una para el nodo de entrada, otra para el nodo intermedio y otra para el nodo de salida, en el lado del cliente se comienza a cifrar el mensaje como una cebolla (que da lugar al conocido como Onion Routing), este cifrado se realiza teniendo en cuenta el orden inverso en el que los relays recibirán el paquete. Por ello, primero se cifrará el paquete indicando que el origen es el relay intermedio y el destino es el relay de salida y se empleará la clave simétrica generada previamente para dicho relay. Tras esto y nuevamente en el lado del cliente, se cifra por segunda vez el paquete indicando esta vez que el origen es el guard relay (nodo de entrada) y el destino es el relay intermedio utilizando la clave simétrica generada inicialmente. De forma análoga a los pasos anteriores, se volverá a cifrar por tercera vez el paquete con la clave simétrica restante indicando que el origen en este caso es el propio cliente y el destino es el guard relay (nodo de entrada). Con esto, se logra que el paquete original (que solo contenía la información a enviar, el origen que es el propio cliente y el destino que puede ser un servidor web por ejemplo) se encuentre cifrado 3 veces con diferentes claves simétricas, una vez ya tenemos el paquete cifrado al completo se prodece con el envío. Un ejemplo visual del resultado final del proceso de cifrado es el siguiente.

Capas cifradas Onion Routing
Figura 2. Funcionamiento del cifrado por capas, más información en https://en.wikipedia.org/wiki/Onion_routing

(NOTA: La información original en ningún caso es cifrada por los relays de TOR, solo será cifrada la información si la comunicación con el destino se realiza utilizando el protocolo HTTPS que implementa el cifrado de la información mediante certificados TLS).

En el envío de la información hasta el destino final, se producen los siguientes saltos:

  • Primer salto – Guard Relay: El primer salto consiste en la conexión a uno de los puntos de entrada de la red TOR, conocido como guard relay o entry relay, el cual conoce la dirección IP del cliente y el siguiente salto, pero no el destino final de la información, por lo que no conoce qué actividades está realizando un determinado usuario en la red TOR conociendo únicamente su IP. Para obtener la información del siguiente salto, el guard relay toma el paquete recibido y lo descifra usando la clave simétrica que solo él y el cliente conocen, obteniendo la información sobre el siguiente salto (el siguiente salto es el relay intermedio) y eliminando la primera capa de cifrado en el paquete, que realmente es la última capa ya que se cifra en orden inverso.
  • Segundo salto – Relay Intermedio: Tras recibir el paquete cuyo origen ha sido el guard relay, lo descifra con la clave simétrica negociada con el cliente y obtiene así el siguiente salto en la comunicación, que será el relay de salida. Cabe destacar que el relay intermedio no sabe quién es el origen (su direccion IP) ni a qué servidor final se va a enviar la información, es decir, solo sabe que ha recibido un paquete del guard relay y que debe encaminarlo hasta el relay de salida.
  • Tercer salto – Relay de salida: Una vez se han eliminado las 2 primeras capas de cifrado del paquete original, solo queda una que deberá ser eliminada por el relay de salida empleando la clave simétrica seleccionada al inicio. Pero cuidado, ahora el relay de salida puede ver el mensaje y a qué destino se lo debe enviar. Si el mensaje original (NO el paquete) no se ha cifrado empleando una clave de cifrado simétrica o asimétrica entre el cliente y el destino final, el mensaje puede ser visto en claro por el relay de salida. Efectivamente, este es uno de los ataques de los que se puede ser víctima en la red TOR, si un ciberdelincuente controla un relay de salida y la información se envía en claro, puede ser visualizada ya que la comunicación entre el relay de salida y el destino final NO va cifrada en ningún caso. Por esto es tan importante emplear HTTPS, ya que al implementar certificados TLS, la información solo puede ser visualizada por el destino final ya que solo él conoce su clave privada.

Cabe destacar que para que se vulnere la seguridad de los usuarios al utilizar, un mismo ciberdelincuente debe controlar tanto el guard relay o nodo de entrada, ya que así conoce la dirección IP del usuario, y el relay de salida, para conocer qué está realizando la víctima dentro de la red TOR. Si además la información se envía en claro empleando HTTP, por ejemplo, el cibercriminal puede conocer absolutamente todo sobre la comunicación. También es importante mencionar que generalmente se producen 3 saltos como se ha visto, pero podrían producirse más saltos si se desease, pudiendo exisitir más nodos intermedios. La latencia aumenta al navegar por redes TOR ya que el proceso repetitivo de cifrado y descifado además de la ubicación de los relays a nivel global produce un jitter mayor, por lo que aumentar el número de nodos intermedios produciría un retardo que aumentaría de forma proporcional al número de relays que se empleen para la comunicación.

3. Seguimiento de ciberdelitos

Siempre surge la misma pregunta al haber sobre la Dark Web y redes anónimas como TOR, ¿Se puede rastrear a un ciberdelincuente? La respuesta es sí, se puede hacer, pero es muy costoso a nivel de recursos. La información como hemos visto, viaja por diferentes relays, por lo que el paquete viaja a lo largo del mundo, dificultando así su seguimiento por las autoridades. A pesar de ello, hay formas de encontrar a los ciberdelincuentes, como no podía ser de otra manera. Organismos como la INTERPOL, la NSA (del inglés, National Security Agency) y servicios de inteligencia como el FBI (del inglés, Federal Bureau of Investigation) tienen diferentes técnicas para perseguir la ciberdelincuencia. Por ejemplo, pueden desplegar relays TOR de salida para ver a qué información se está accediendo (como hemos visto, la comunicación entre el relay de salida y el destino final viaja sin cifrar) y controlar otros relays adicionales para poder correlar tráfico si se diese el caso de que se usasen ambos simultaneamente, además, tu ISP (del inglés, Internet Service Provider) conoce tu dirección IP y sabe si estás conectado o si has accedido a TOR y en qué momento lo has hecho, funcionalidad que puede ser aprovechada para rastrear ciberciminales. Otras opciones posibles dentro de la red para identificar a los ciberdelincuentes es el uso de ataques zero days (vulnerabilidades que no son conocidas por el fabricante y por lo tanto, no están parcheadas) contra Mozilla, ya que el navegador TOR está basado en Mozilla, lo que puede permitir introducir payloads maliciosas que permitan encontrar a los ciberdelincuentes. Otra opción que emplean las autoridades de seguridad es simular ser parte de la red de ciberdelincuencia, ofreciendo supuestos contenidos ilícitos, los cuales una vez son descargados por el cibercriminal instalan un malware que permite redirigir su dirección IP a las autoridades, pudiendo así geolocalizar y capturar al culpable.

Hemos visto algunas opciones de rastreo dentro de la red, pero también se puede cambiar el enfoque. Las actividades ilícitas que se realizan dentro de la Dark Web tienen una motivación económica detrás, por tanto, existe un envío de capital al realizar las diferentes transacciones dentro de la red. Generalmente el envío se realiza en BitCoin, que se tiende a pensar que sus carteras son anónimas al 100%, pero la realidad es que para obtener criptomonedas debes realizar pagos con tu cuenta bancaria, de igual forma que si quieres convertir tus criptomonedas en dinero «real». Es decir, se usa una cuenta bancaria en este tipo de transacciones, por ello, rastrear las transferencias de dinero puede ser otra opción para encontrar a los diberdelincuentes (sí, sabemos que un cibercriminal puede usar cuentas bancarias robadas y usar servicios de transferencia internacional de dinero para dificultar también el rastreo del capital, pero no siempre es el caso).

Si quieres obtener más información sobre la Deep Web y los contenidos que se encuentran dentro de ella, recomendamos el siguiente artículo.

Desde Cyberbrainers consideramos que la mejor opción para que las autoridades no te rastreen es no realizar actividades delictivas 😉.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Monitorización y escucha activa

Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.

Planes de autoridad y Presencia Digital

Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.

Gestión de crisis reputacionales

Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.

César Collado
César Collado

Ingeniero técnico de telecomunicaciones y estudiante de máster en ciberseguridad, motivado por conocer las nuevas tecnologías y las vulnerabilidades que estas poseen. Disfruto realizando competiciones CTF en las que poner a prueba mis conocimientos en seguridad ofensiva.


Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.
Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.