Darknet 101: Una introducción a los lugares más oscuros en línea

En mi último blog, hablé un poco sobre los principios generales del mercado de ciberataques. Hoy, vamos a echar un vistazo más de cerca a la Darknet. Estos días se habla mucho de la Darknet. Es el material de las novelas policíacas: un hervidero de actividad delictiva en el que se puede comprar y vender cualquier cosa.

Si bien eso es cierto, la Darknet también proporciona una capa de anonimato a los periodistas y activistas de todo el mundo que luchan por la libertad de información y la privacidad. A menudo es un lugar donde pueden comunicarse de forma segura y anónima con sus contactos.

Pero primero, ¿qué es exactamente la Darknet?

• Darknet – Una Darknet es una red superpuesta a la que sólo se puede acceder con software, configuraciones o autorizaciones específicas, a menudo utilizando protocolos y puertos de comunicación no estándar.
• Dark web – La Dark web es el contenido que existe en la Darknet, redes superpuestas que utilizan la Internet pública pero que requieren software, configuraciones o autorizaciones específicas para acceder a ellas.
• Deep web – La Deep web son partes de la World Wide Web cuyos contenidos no son indexados por los motores de búsqueda estándar por ninguna razón.
• Clearnet – La Clearnet es un término que se refiere típicamente a la red no encriptada, o no-darknet. Esta red mundial tradicional tiene una base de anonimato relativamente baja, y la mayoría de los sitios web identifican habitualmente a los usuarios por su dirección IP.

Para ser claros, la Darknet es un lugar peligroso en el que se realizan actividades ilícitas o clandestinas y se puede encontrar si se busca. Una de las características más predominantes que se encuentran en la Darknet son los mercados digitales donde se compran y venden diferentes tipos de bienes y artículos digitales principalmente por bitcoin y otras criptodivisas. Hoy en día vemos un número creciente de mercados que se encuentran tanto en la Clearnet como en la Darknet. Estos sitios venden casi cualquier cosa que se pueda imaginar y a menudo son una ventanilla única para los posibles delincuentes.

Los artículos encontrados en el mercado incluyen:

• Software/Malware
• Seguridad/Hosting
• Falsificación
• Drogas
• Armas

Figura: Servicio DDoS 24 horas

Figura: DoS 0-day exploit para Telegram

¿Cómo llegar desde aquí?

La gente suele pensar que acceder a la Darknet es una tarea técnica y complicada. En realidad, el acceso a la Darknet se ha vuelto muy fácil de usar en los últimos años. Tanto I2P como Tor ofrecen una gran documentación para los usuarios novatos y hay un montón de foros y tutoriales para ayudar a educar a aquellos que quieren aprender más sobre las redes. La única parte de la Darknet que realmente requiere una membresía o invitación para unirse son ciertos mercados que quieren controlar quién puede ver y acceder a los servicios que están ofreciendo.

Cuando se accede a la Darknet tienes muchas opciones para elegir. Dos opciones son Tor, The Onion Router, e I2P, el Proyecto Internet Invisible. Cada una tiene sus propias ventajas y desventajas y la selección para su uso debe basarse en las intenciones del usuario.

Tor es un proxy anónimo de Internet que dirige el tráfico a través de una red voluntaria mundial de miles de repetidores. Tor envuelve los mensajes en capas encriptadas y los envía a través de un circuito bidireccional de repetidores a través de la red Tor. Tor también proporciona un directorio central para gestionar la vista de la red.

El Proyecto Tor ofrece documentación de nivel básico para sus nuevos usuarios y es fácil de usar. Tor a lo largo de los años se ha hecho muy popular entre el usuario común. El Tor Browser Bundle hace que la conexión a Tor sea muy sencilla para el usuario medio. Tor ha recibido una gran cantidad de críticas académicas a lo largo de los años y es un proyecto muy bien financiado. Un problema que aún permanece con Tor es la confianza de los nodos de salida. Los atacantes pueden establecer nodos de salida maliciosos o espiar el tráfico que sale de la red. El mejor uso de Tor es para la salida anónima a Internet.

I2p es una red anónima peer-to-peer que se centra en los servicios internos. Permite a los usuarios enviar datos entre ordenadores que ejecutan I2P con encriptación de extremo a extremo. I2P utiliza túneles unidireccionales y encriptación en capas frente a los túneles bidireccionales de Tor.

I2P no es un servicio muy conocido en comparación con Tor. Ha recibido una revisión académica limitada pero contiene una gran documentación para todos sus usuarios. Un problema con respecto a I2P es el número limitado de proxies de salida a Internet. El mejor uso de i2P es para compartir archivos entre pares.

Acceder a algunos de estos mercados en la Darknet puede ser un reto si no se sabe lo que se está buscando. Muchas veces se pueden encontrar listas de servicios ocultos o enlaces .onion en sitios de Clearnet como Reddit y DeepDotWeb. TheHiddenWiki.org es también un gran lugar para empezar a buscar servicios y mercados ocultos junto con DNstats.net. DNstats proporciona información actualizada sobre el estado actual de ciertos marketplaces junto con noticias sobre nuevos sitios a medida que están disponibles.

Los mercados de la Darknet incluyen:

• AlphaBay
• Valhalla
• Dream
• Hansa
• The Real Deal
• DHL
• Outlaw

Figura: DNstats, una página de estado de la Darknet

También hay algunos motores de búsqueda que le ayudarán a encontrar lo que busca en la Darknet. Dos motores de búsqueda populares en la Darknet son Grams, http://grams7enufi7jmdl.onion/, una imitación de Google, y Torch, http://xmh57jrzrnw6insl.onion/. Ambos sitios le permitirán buscar contenido en los mercados y otros servicios ocultos que se encuentran en la Darknet.

Explorando los Mercados Oscuros:

Estos mercados no son exactamente especiales o únicos, pero han crecido en popularidad tras la retirada de las Rutas de la Seda. Algunos mercados también se pueden encontrar tanto en la Darknet como en la Clearnet. Sitios como 0day today, foros de hackers, TorCrds, Hell y otros venden artículos similares a los que se encuentran en la Darknet y casi siempre negocian también en bitcoin. También puedes encontrar normalmente algunos de los mismos servicios disponibles en la Darknet en un número de foros de hackers también.

Foros de hackers

• V3rmillion
• Foros de Raid
• GreySec
• RealForums
• Evilzone

Figura: Torcrds.cc, una web que vende tarjetas de crédito robadas en Clearnet

Figura: Usuarios de HackForums vendiendo listas de NTP y DNS de SSDP para ataques amplificados

La mayoría de los vendedores suelen comerciar con Bitcoin u otros tipos de criptodivisas. En muchos de los sitios los vendedores tienen que pagar algún tipo de bono para que se les permita vender artículos o servicios en el sitio. Estos bonos pueden costar entre 0,1 y 1 BTC. Algunos de estos sitios también están cerrados al público y requieren una referencia para unirse al mercado.

Algunos de los mercados más nuevos de este año incluyen LEO Market, TheDetoxMarket y Apple Market. El año pasado aparecieron alrededor de una docena de sitios nuevos. Algunos de estos sitios no duran mucho en la Darknet, ya que a menudo son hackeados o retirados de la red por su competencia. El crecimiento del mercado de ataques y la utilización de una red anónima como la Darknet seguirá creciendo en los próximos años, ya que el nivel de entrada para los hackers sigue bajando.

En el próximo blog hablaré de lo que un atacante puede comprar en los mercados subterráneos y cuál es el precio de cosas como DDoS, Ransomware y más. Vamos a ver algunas de las herramientas y servicios que están disponibles para los atacantes potenciales, junto con la forma en que las transacciones funcionan en el mercado.