El mercado negro donde se venden las llaves de tu empresa a quien pague más

Imaginate que cada cerradura de tu empresa tiene un duplicado de llave. Ese duplicado no lo tiene un cerrajero de confianza ni tu seguro. Lo tiene un vendedor anónimo en un mercado subterráneo que no tiene dirección, no cierra nunca, y acepta solo pagos imposibles de rastrear. En ese mercado, las llaves de tu empresa se anuncian entre decenas de miles de otras, con precios que van desde $5 hasta $10,000 dependiendo de a qué puertas abren. Y lo peor: probablemente llevan meses o años a la venta, y vos todavía no lo sabés.

Eso es el dark web para la ciberseguridad empresarial. No es ciencia ficción ni exageración. En 2024, investigadores de Recorded Future y SpyCloud documentaron la venta de más de 1.4 mil millones de credenciales únicas en foros y mercados oscuros, junto con gigabytes de datos corporativos: listas de clientes, contratos, correos internos, datos de acceso a sistemas.

Lo que hace al dark web especialmente peligroso no es su existencia, que lleva décadas, sino la combinación de tres factores: datos cada vez más masivos provenientes de brechas acumuladas, herramientas que automatizan el uso de esos datos, y el ciclo de credential stuffing que convierte esas credenciales viejas en accesos activos a sistemas nuevos.

Entender el dark web no requiere acceder a él. Requiere saber qué buscar, cómo monitorear, y qué hacer cuando encontrás algo.

¿Qué es el dark web y cómo funciona realmente?

Internet tiene tres capas:

Surface web (web superficial): Lo que indexan los motores de búsqueda. Google, sitios de noticias, redes sociales, tiendas en línea. Representa aproximadamente el 5% del contenido total de internet.

Deep web (web profunda): Contenido que no está indexado pero tampoco es necesariamente ilegal. Correos electrónicos, bases de datos privadas, portales bancarios, sistemas internos empresariales, expedientes médicos. Representa el 90-95% de todo el contenido de internet. Accedés al deep web cada vez que revisás tu correo o tu cuenta bancaria en línea.

Dark web: Una porción del deep web que requiere software especial, principalmente el navegador Tor (The Onion Router), para acceder. Tor oculta la identidad del usuario y del servidor mediante capas de cifrado y enrutamiento a través de múltiples nodos alrededor del mundo. Esto lo hace atractivo tanto para usos legítimos (periodistas en regímenes autoritarios, activistas, personas que necesitan anonimato real) como para actividades ilegales.

En el contexto de amenazas empresariales, el dark web aloja:

•Mercados de credenciales:: Sitios que venden usuarios y contraseñas robados, organizados por servicio, industria o país. Se puede filtrar por "credenciales de empresas costarricenses" o "accesos a bancos de Guatemala".

•Foros de hackers:: Comunidades donde se intercambia información sobre vulnerabilidades, técnicas de ataque, y datos robados. Algunos son de acceso libre; los más exclusivos requieren invitación o pago.

•Ransom boards:: Publicaciones de grupos de ransomware que listan a sus víctimas y los datos robados que publicarán si no se paga el rescate.

•Servicios ilegales:: Malware-as-a-service, DDoS-for-hire, acceso a redes comprometidas.

Cómo llegan los datos de tu empresa ahí

Los datos corporativos llegan al dark web por múltiples vías:

Brechas en servicios de terceros

Esta es la fuente más común. Tu empresa usa decenas de servicios SaaS: plataformas de email marketing, herramientas de RRHH, sistemas de gestión, plataformas de comercio electrónico. Si cualquiera de esos proveedores sufre una brecha de datos, los correos y contraseñas de tus empleados registrados en ese servicio quedan expuestos.

El problema es que muchos empleados usan la misma contraseña del trabajo en servicios personales. Si se filtran sus credenciales de LinkedIn o de un foro de videojuegos, y esa contraseña es la misma que usan para el correo corporativo, los atacantes ya tienen la llave.

Phishing y malware exitosos

Cuando un empleado cae en un phishing o descarga un infostealer (malware diseñado específicamente para robar credenciales almacenadas en el navegador), sus contraseñas son recolectadas y eventualmente terminan en el dark web. Los infostealers como RedLine, Raccoon y Lumma son especialmente prolíficos: extraen todas las contraseñas guardadas en Chrome, Firefox y Edge en segundos.

Brechas directas a la empresa

Ataques directos de ransomware, SQL injection en aplicaciones web propias, o compromisos de servidores expuestos a internet pueden resultar en datos corporativos publicados en sitios de ransomware o vendidos en foros.

Empleados que venden información intencionalmente

Menos común pero real: empleados descontentos o con motivación financiera que venden accesos o datos de la empresa. Este tipo de incidente raramente se detecta hasta que los datos ya están circulando.

¿Cómo saber si los datos de tu empresa están expuestos?

Have I Been Pwned (HIBP): el punto de partida gratuito

Have I Been Pwned (haveibeenpwned.com), creado por el investigador de seguridad australiano Troy Hunt, es la herramienta gratuita más conocida para verificar si una dirección de correo específica aparece en brechas de datos conocidas.

Para uso empresarial, HIBP ofrece una funcionalidad de Domain Search: podés verificar si cualquier correo con tu dominio (por ejemplo, @tuempresa.com) aparece en su base de datos de brechas. En el momento de escribir este artículo, HIBP contiene más de 14 mil millones de registros de cientos de brechas documentadas.

Los resultados te muestran en qué brechas apareció cada correo y qué datos fueron expuestos (contraseña, nombre, teléfono, etc.). Esto no significa que tus sistemas fueron hackeados directamente; significa que ese correo estaba registrado en un servicio externo que fue comprometido.

Limitaciones importantes de HIBP: solo contiene brechas públicamente conocidas y documentadas. Las brechas recientes o las que se mantienen privadas en el dark web (vendidas a compradores específicos antes de hacerse públicas) no aparecen. Además, no monitorea en tiempo real: si tu dominio aparece en una nueva brecha, no recibirás notificación automática a menos que uses la funcionalidad de alerta.

Google Alerts + búsquedas manuales

Configurá alertas de Google para el nombre de tu empresa combinado con términos como "breach", "leaked", "database dump". Es un filtro burdo pero costo cero que puede alertarte si hay menciones públicas de datos de tu empresa.

Dehashed y Intelx

Dehashed.com e Intelligence X (intelx.io) son motores de búsqueda orientados a seguridad que indexan datos de brechas, incluyendo algunas que HIBP no cubre. Dehashed ofrece búsquedas por correo, dominio, IP y nombre de usuario. Tienen planes gratuitos limitados y planes de pago para búsquedas extensas.

SpyCloud, Flare y Recorded Future: monitoreo continuo profesional

Para empresas que quieren monitoreo activo y en tiempo real, estas plataformas rastrean continuamente el dark web, foros cerrados, canales de Telegram y mercados ilegales:

•SpyCloud:: Especializado en credenciales corporativas. Alerta cuando detecta credenciales de tu dominio en nuevas brechas o en logs de infostealers.

•Flare:: Plataforma de Threat Intelligence que monitorea dark web, deep web y canales de Telegram relevantes para cibercrimen.

•Recorded Future:: Inteligencia de amenazas a nivel empresarial, más orientada a grandes organizaciones por su costo.

Estas herramientas no son baratas, pero para empresas con activos críticos o en sectores regulados, el costo es marginal comparado con el costo de un incidente que podría haberse prevenido.

Por qué muchos ataques exitosos empiezan con datos comprados en el dark web

Esta es la conexión que muchas empresas no comprenden: el dark web no es solo un repositorio de datos históricos irrelevantes. Es la sala de preparación de los próximos ataques.

Así funciona el ciclo típico:

1.Recolección: Un atacante compra un paquete de 50,000 credenciales filtradas de una brecha de hace dos años, por $100 en un foro oscuro.

2.Credential stuffing: Usa herramientas automatizadas para probar esas credenciales contra docenas de servicios: Office 365, VPN corporativas, portales bancarios, Shopify, sistemas de RRHH. La tasa de éxito es baja (1-3%), pero con 50,000 credenciales eso son entre 500 y 1,500 accesos exitosos.

3.Reconocimiento: Para los accesos que funcionan, el atacante explora qué información tiene disponible, a qué sistemas puede moverse lateralmente, qué privilegios puede escalar.

4.Monetización: Vende los accesos más valiosos a otros actores, extrae datos para extorsión, despliega ransomware, o usa el acceso para fraude financiero.

En Centroamérica, este vector es especialmente relevante porque muchas empresas no tienen MFA en sus sistemas críticos, las contraseñas se reutilizan masivamente, y la detección de accesos anómalos es inexistente. Una credencial filtrada en una brecha de 2022 puede seguir funcionando en 2026 si nadie la cambió.

Qué hacer si encontrás datos de tu empresa expuestos

Descubrir que los datos de tu empresa están en el dark web puede ser alarmante, pero hay un proceso claro a seguir:

Paso 1: Identificar el alcance

¿Qué tipo de datos están expuestos? ¿Son contraseñas antiguas de un servicio ya desactivado, o son credenciales activas de sistemas críticos? ¿Son datos de empleados o de clientes? El nivel de urgencia depende de la respuesta.

Paso 2: Cambio inmediato de contraseñas comprometidas

Para cada cuenta cuya credencial está expuesta, forzar el cambio de contraseña inmediatamente. Si la contraseña es la misma que se usa en otros sistemas, cambiarla en todos esos sistemas también.

Paso 3: Activar o reforzar MFA

Incluso si las contraseñas son cambiadas, activar MFA en todos los sistemas críticos elimina el riesgo de que contraseñas reutilizadas o variaciones débiles sean explotadas en el futuro.

Paso 4: Auditoría de accesos recientes

Revisar los logs de acceso de los sistemas comprometidos para determinar si alguien ya usó esas credenciales para acceder. Un inicio de sesión desde una IP inusual o en un horario atípico puede ser señal de que el acceso ya fue explotado.

Paso 5: Notificación según aplique

Si los datos expuestos incluyen información personal de clientes o empleados (nombre, cédula, datos bancarios), pueden aplicar obligaciones de notificación según la Ley 8968 de Costa Rica (Protección de la Persona frente al Tratamiento de sus Datos Personales) u otras normativas regionales. Consultá con asesoría legal.

Paso 6: Revisión de la fuente de la brecha

Si la exposición vino de un proveedor de servicios, notificarlo y evaluar si continuar usando ese servicio. Si vino de una brecha directa a tu infraestructura, activar el protocolo de respuesta a incidentes completo.

El ecosistema de amenazas: foros y mercados que debes conocer (sin visitarlos)

No se necesita acceder al dark web para saber qué pasa ahí. Investigadores de seguridad documentan públicamente la actividad de los principales foros y mercados:

•BreachForums y sus sucesores:: El foro más activo para compra-venta de datos robados después del cierre de RaidForums. Ha sido cerrado y reabierto múltiples veces. En 2024 fue responsable de la distribución de la mega-brecha de National Public Data (2.9 mil millones de registros de ciudadanos estadounidenses).

•Telegram:: Una porción significativa del comercio de datos robados se ha movido a canales de Telegram por su facilidad de uso. Hay canales dedicados exclusivamente a credenciales de países específicos o industrias.

•XSS y Exploit.in:: Foros en ruso con alta actividad en venta de accesos a redes corporativas comprometidas (Initial Access Brokers).

•Sitios Onion de grupos de ransomware:: Grupos como LockBit, BlackCat/ALPHV y Cl0p mantienen sitios donde publican datos de víctimas que no pagaron el rescate, lo que los hace buscables por investigadores.

En la región centroamericana, reportes de ESET Latinoamérica y Kaspersky documentan actividad específica dirigida a empresas de la región, particularmente en sectores financiero, retail y gobierno.

Señales de que tus datos pueden estar en el dark web ahora mismo

Estas señales pueden indicar que credenciales de tu empresa ya están circulando:

•Intentos de inicio de sesión fallidos masivos: en sistemas con acceso desde internet (correo, VPN, portal de clientes). Esto puede ser un atacante probando credenciales compradas.

•Inicios de sesión exitosos en horarios o ubicaciones inusuales: que el usuario reporta que no hizo él.

•Correos de reseteo de contraseñas no solicitados: que empleados reciben sin haberlos pedido.

•Cuentas de empleados usadas para enviar spam: detectadas por otros servicios o reportadas por contactos externos.

•Alertas de Google sobre filtraciones: de datos relacionadas con servicios que usa tu empresa.

Ninguna de estas señales confirma definitivamente una exposición en dark web, pero todas justifican una investigación inmediata.

El monitoreo no es paranoia, es higiene

La pregunta ya no es si los datos de algún empleado o sistema de tu empresa han aparecido en alguna brecha. Con más de 1.4 mil millones de credenciales filtradas en 2024 y cientos de brechas documentadas cada año, la probabilidad estadística de que al menos alguna credencial corporativa esté expuesta es muy alta para cualquier empresa con más de 10 empleados.

La pregunta correcta es: ¿sabrías si ocurriera, y actuarías a tiempo?

Monitorear el dark web no requiere entrar al dark web. Requiere herramientas adecuadas, procesos de respuesta definidos, y la disciplina de actuar cuando se detecta algo. En muchos casos, la diferencia entre un incidente contenido y un breach catastrófico es simplemente cuánto tiempo tardó la empresa en enterarse y reaccionar.

En CiberShield ofrecemos monitoreo continuo de dark web para empresas centroamericanas: te alertamos cuando detectamos credenciales o datos de tu organización en foros, mercados y bases de datos de credenciales comprometidas. Además, te acompañamos en el proceso de respuesta para que cada alerta resulte en una acción concreta, no en pánico. Contactanos para conocer cómo funciona el servicio y qué podemos encontrar sobre tu empresa antes de que lo encuentre un atacante.

Dark Web Monitoring: Lo que los ciberdelincuentes ya saben sobre tu empresa