Explicación de la monitorización de la dark web

¿En qué consiste la monitorización de la dark web?

El proceso de monitorización de la dark web consiste en buscar y rastrear la información de tu empresa en la dark web. Las herramientas de monitorización de la dark web son similares a los motores de búsqueda de la dark web (por ejemplo, Google). Este tipo de herramientas son muy útiles a la hora de encontrar información que se haya robado o filtrado, por ejemplo, contraseñas comprometidas, credenciales filtradas, propiedad intelectual y otros datos confidenciales que se estén compartiendo y vendiendo entre atacantes en la dark web.

Las herramientas de monitorización de la dark web ofrecen mejores funciones de detección de amenazas en la dark web en comparación con las herramientas de monitorización de robos de identidad o los programas antivirus y antimalware. Las herramientas de monitorización de robos de identidad están diseñadas para proteger a particulares, no a empresas. Por su parte, el objetivo de los programas antivirus y antimalware es evitar que se ejecute código malicioso, pero, de llegar a hacerlo, no ofrecen asistencia. En cambio, las herramientas de monitorización de la dark web ayudan a empresas y particulares por igual buscando cualquier tipo de información confidencial en la dark web, como credenciales de inicio de sesión, secretos comerciales e información patentada.

¿Cómo funciona la monitorización de la dark web?

La monitorización de la dark web consiste en realizar búsquedas constantes en la dark web y mostrar inteligencia sin procesar prácticamente en tiempo real. Para ello, se monitorizan millones de sitios web en busca de información específica (como direcciones de correo electrónico corporativas) o general (como el nombre de la empresa y el sector en el que desarrolla su actividad).

Cuando se detecta una amenaza, los usuarios pueden crear una alerta personalizada que notifique a los miembros del equipo y a cualquier otra persona de la empresa que deba obtener información sobre la amenaza, como los departamentos de marketing, jurídico, de recursos humanos o antifraude.

Características de la monitorización de la dark web

• Inteligencia de amenazas. Los datos obtenidos a través de la solución de monitorización de la dark web se pueden introducir en sistemas de inteligencia sobre amenazas para enriquecer su base de datos.
• Threat Hunting. Los Threat Hunters pueden usar la monitorización de la dark web para acelerar los procesos de detección de amenazas e identificar mejor a los ciberdelincuentes y sus métodos.
• Respuesta más rápida a incidentes. Los flujos de trabajo de investigación y respuesta pueden ayudar a mitigar las amenazas lo más rápido posible.
• Integración con plataformas de seguridad. Los datos recopilados se pueden enviar a otros sistemas para que los datos del modelo de capas de seguridad sean más precisos.

¿Cuáles son los motivos para utilizar la monitorización de la dark web?

Las credenciales comprometidas no son lo único por lo que deben preocuparse las empresas en relación a la dark web. Las conversaciones y cualquier actividad en la dark web pueden avisar a las empresas de que son o han sido objeto de un ataque, o de que se las ha asociado con algún otro tipo de actividad que supone una amenaza para la empresa, como una brecha en uno de sus socios de la cadena de suministro. En el marco de las estrategias de seguridad general, podríamos decir que la monitorización de la dark web actúa como conejillo de indias.

Además de detectar brechas de datos, los servicios de monitorización de la dark web se pueden utilizar para clasificar los riesgos de fuentes desconocidas. Las empresas recibirán alertas cuando sus datos aparezcan en la dark web, lo que les permitirá establecer una conexión entre esas ocurrencias y otras fuentes de amenaza, y utilizar esa información para definir y mitigar las amenazas más rápidamente.

Algunos tipos de riesgos que se pueden detectar mediante el uso del sistema de monitorización de la dark web son:

• Brechas externas
• Volcados de datos en foros de hackeo y salas de chat ilegales
• Filtraciones P2P
• Filtraciones accidentales
• Uso indebido de la marca
• Suplantación de identidad
• Suplantación de dominios
• Amenazas potenciales

Ventajas de la monitorización de la dark web

Una de las ventajas de utilizar el servicio de monitorización de la dark web es que identifica los datos expuestos y la cantidad de tiempo que llevan estándolo. Al realizar una monitorización activa y constante de la dark web y reducir las identidades y recursos expuestos, estas herramientas reducen el tiempo que tienen los ciberdelincuentes para utilizar tu información confidencial. Al abordar rápidamente estos aspectos, puedes prevenir futuras filtraciones de información.

Las empresas que monitorizan la dark web pueden descubrir si han sufrido brechas o consultar indicadores que les indican que son propensas a sufrirlas en el futuro, así como identificar a los ciberdelincuentes que las atacan y los métodos que emplean.

¿Quién necesita los servicios de monitorización de la dark web?

Respuesta corta: todo el mundo. Cualquier organización encargada de proteger datos confidenciales de clientes, que posea propiedad intelectual valiosa o que constituya un objetivo común para los hacktivistas, atacantes patrocinados por Estados u organizaciones criminales es una buena candidata para implementar herramientas de monitorización de la dark web.

La verdadera pregunta es "¿merece la pena monitorizar la dark web?" Los servicios de monitorización de la dark web ofrecen visibilidad sobre amenazas que las herramientas de seguridad tradicional no pueden detectar. Las organizaciones que se comprometan a proteger su negocio y a sus clientes mediante una estrategia de seguridad integral deberían valorar los beneficios de implementar los servicios de monitorización de la dark web en su modelo de capas de seguridad.

¿Cómo llega la información personal a la dark web?

Los ciberdelincuentes venden la información personal, las credenciales o los datos de acceso a diferentes recursos en la dark web. Según el "Informe Global sobre Amenazas de CrowdStrike", los adversarios de las empresas siguen demostrando que sus amenazas van más allá del malware. Cada vez más, los ciberdelincuentes intentan lograr sus objetivos robando credenciales y las herramientas incorporadas (un enfoque basado en los recursos que ya existen en el entorno de la víctima y que se conoce como "living off the land o LOTL") en un intento deliberado de evitar ser detectados por los antivirus convencionales. De todas las detecciones registradas por CrowdStrike Security Cloud en el cuarto trimestre de 2021, el 62 % no estaban basadas en malware.

Los usuarios malintencionados roban la información personal utilizando uno o una combinación de varios de los siguientes métodos comunes:

• Phishing: Los ciberdelincuentes envían correos electrónicos de phishing imitando solicitudes legítimas enviadas a través de correo electrónico en un intento por obtener información confidencial.
• Malware, cargadores y redes de bots: Los hackers utilizan diferentes tipos de software malicioso para robar datos confidenciales y filtrarlos poco a poco.
• Redes poco seguras: Los ciberdelincuentes pueden obtener acceso a la información personal si te conectas a una red poco segura y el ciberdelincuente está cerca.
• Vulnerabilidad y exploits: Los kits de exploits se pueden encontrar en una gran variedad de foros. Atacan software específico o debilidades (o vulnerabilidades) del sistema para instalar código adicional y obtener acceso.
• Registro de pulsaciones: Los registros de pulsaciones de teclas detectan las teclas que pulsas, lo que permite a los ciberdelincuentes monitorizar tu actividad y obtener información personal.
• Screen Scraping: El "raspado de pantalla" o "screen scraping" es una técnica que permite copiar la información que se muestra en tu pantalla.

Una vez que se ha captado la información, se agrupan conjuntos de datos sobre los individuos (a los que habitualmente se denomina "fullz") para, posteriormente, venderlos. Estos conjuntos incluyen datos como el nombre, la fecha de nacimiento, el número de afiliación a la Seguridad Social, la dirección, etc. Los fullz pueden costar 30 $, y su valor varía en función de los recursos de la víctima y de la demanda actual del mercado. Muchos atacantes van un paso más allá y agrupan toda la información personal que hayan robado de una o varias organizaciones y la venden en lote.

¿Qué implicaciones tiene que tu información esté en la dark web?

Desde el punto de vista de los consumidores, que su información esté disponible en la dark web suele implicar la necesidad de cambiar todas sus contraseñas, revisar sus extractos bancarios y plantearse cancelar sus tarjetas de crédito y solicitar unas nuevas. Tras años de grandes brechas de datos en las que se llegaron a robar hasta 148 millones de registros en una única brecha, la información personal de todo el mundo (o parte de ella) ha estado a la venta en algún momento, aunque puede que algunas víctimas de robos de identidad se estén enterando al leer esto. Si bien es cierto que los consumidores deberían tomar las medidas de protección que señalamos a continuación, no debe cundir el pánico.

La respuesta de las empresas debe ser mucho más contundente. Su labor es actuar como "guardianes" de los datos de sus clientes. De exponer a los clientes a algún riesgo, habrán fracasado en su misión. Además, hacerlo podría implicar litigios, pérdida de la reputación de la marca, sanciones reglamentarias y costes de auditoría. Asimismo, el robo de credenciales aumenta el riesgo de sufrir nuevos ataques en el futuro, ya que se utilizan para la inserción de credenciales en ataques posteriores.

Si recibes una alerta que indica que tu información está en la dark web, tu identidad, tus datos o tus recursos están en riesgo. La información que corre riesgos en la dark web son las credenciales y los identificadores personales que se pueden utilizar para realizar robos de identidad u obtener accesos de forma ilegal. Debes tomar las medidas necesarias inmediatamente para evitar que los ciberdelincuentes sigan utilizando estos datos robados.

Herramientas que te ayudarán a protegerte de las amenazas de la dark web

A fin de protegerte de amenazas ocultas de la dark web, plantéate utilizar una herramienta que te permita mantener la seguridad de la información privada y prevenir los robos de identidad. A continuación, te presentamos una serie de métodos que constituyen muestras de buenas prácticas en materia de protección contra las amenazas de la dark web, así como de monitorización de las mismas.

• Creación de una cultura de ciberseguridad: el usuario final es un eslabón fundamental para detener las brechas. Deberían llevarse a cabo programas de concienciación de usuarios para combatir la continua amenaza del phishing y las técnicas de ingeniería social relacionadas. Los equipos de seguridad deberían fomentar un entorno en el que se realicen rutinariamente ejercicios de simulación teórica y de equipo rojo contra equipo azul con el fin de identificar y eliminar las lagunas en la ciberseguridad y las debilidades.
• Protección de todas las cargas de trabajo: una organización solo está segura cuando todos sus recursos están protegidos. Deben protegerse todas las áreas críticas ante riesgos empresariales: endpoints y cargas de trabajo en la nube, identidades y datos. Busca soluciones que ofrezcan detecciones hiperprecisas, protección y corrección automáticas y Threat Hunting de élite, y que prioricen la observabilidad de vulnerabilidades, de manera que los exploits de tus entornos no se puedan vender en foros ilegales.
• Establecimiento de una higiene informática sólida con un inventario de recursos y una gestión de vulnerabilidades constante. Recuerda: Es imposible que defiendas sistemas que no sabes que existen.
• Gestión de identidad: las herramientas de gestión de identidad te ayudan a gestionar el ciclo de vida de las identidades de tu entorno. La tecnología de protección de amenazas contra identidades puede segmentar las identidades para aplicar anónimamente el acceso condicional basado en riesgos y retirarlo rápidamente cuando se detectan amenazas.
• Monitorización de la dark web: Estas herramientas monitorizan la dark web en busca de datos robados y notifican a los usuarios y las empresas si se producen brechas, suplantaciones de identidad, filtraciones accidentales u otras amenazas detectadas en foros ilegales.

Cómo protegerse de las amenazas con CrowdStrike

La solución de inteligencia sobre amenazas Falcon Counter Adversary Operations ofrece asistentes sencillos que evitan que los equipos de seguridad pierdan el tiempo creando consultas complejas y, al mismo tiempo, minimizan los falsos positivos y los problemas. Los resultados se muestran en tarjetas fáciles de entender que contienen información sobre las publicaciones del autor de la amenaza original, el autor y el sitio. Esta información se puede consultar en el idioma original o traducir a otro. Las traducciones se realizan utilizando diccionarios mejorados y se incluyen jergas.

Asimismo, CrowdStrike ofrece soluciones de seguridad integrales que ayudan a los consumidores a entender su presencia digital y mitigar cualquier tipo de riesgo. Si quieres comprobar cómo los servicios de CrowdStrike os podrían ayudar a ti y a tu empresa a aumentar vuestra seguridad en línea, inicia una prueba gratuita.