ransomware ciberseguridad establecer un entorno ciberseguridad brecha en datos de clientes dark web

La Dark Web es un mundo misterioso y oculto que genera muchas dudas y equívocos, al que acceden miles de personas a diario, sin ser conscientes del peligro que ello entraña. En primer lugar, hay que distinguirlo del Deep Web, aunque muchas veces se usan ambos términos como si fueran sinónimos. Dicho de forma básica, Internet tiene una parte visible que se encuentra a través de Google y otros buscadores, llamada “Surface web” o “Clear web” (un 10% aproximadamente); y otra parte no visible para contenidos no indexables, llamada “Invisible web”, “Hidden web” o “Deep web” (un 90% aproximadamente).

La Deep Web contiene webs protegidas, como las de los bancos con los datos de los clientes, las que alojan contenidos audiovisuales de pago (Netflix, Amazon, HBO, Spotify, etc.), las que alojan cuentas de correo electrónico (Gmail, Hotmail, etc.), páginas de contactos (Meetic, Badoo, etc.), páginas dinámicas que se generan al hacer una consulta en buscadores de hoteles o vuelos (Kayak, Rastreator, Lastminute, etc.), etc. Dentro de la Deep Web hay una pequeña parte (se calcula que un 0,1% del total), llamado “Dark web”, al que se accede mediante navegadores específicos como TOR (“The onion router”) o I2P (Invisible Internet Project), que ocultan la identidad y la dirección IP los usuarios.

La opacidad que ofrece la Dark Web hace que sea un entorno de reunión de cibercriminales en el que se ofrecen diversos servicios delictivos, que, en muchas ocasiones, realmente son una estafa a quien pretende contratarlos (una “scam”), ya que cobran el precio, pero nunca llevan a cabo lo contratado.

La opacidad que ofrece la Dark Web hace que sea un entorno de reunión de cibercriminales

También navegan por él las policías de casi todos los países, que a veces montan webs señuelos (“honeypot”) para localizar prácticas delictivas. Veamos algunos de estos delitos ofrecidos en la Dark Web:

  • Venta de bases de datos robadas, con direcciones de mail asociadas a contraseñas. Algunos ejemplos sonados fueron el robo de 100 millones de contraseñas de Linkedin en 2012 y 2016; el incidente que sufrió Wallapop en noviembre de 2019; la sustracción de los datos de más de 5 millones de clientes de la cadena hotelera Marriot en marzo de 2020; la copia de contraseñas de Zoom y Nintendo en abril de 2020, en pleno confinamiento por el coronavirus; o en 2021 los casos que afectaron a la aseguradora Zurich y T-Mobile. El robo se sanciona con prisión de 6 meses a 2 años y su venta o cesión con prisión de 6 meses a 2 años o multa de 3 a 18 meses (artículos 197 bis y ter del Código Penal).
  • Ciberestafas realizadas mediante mails con todo tipo de argumentación (supuestas herencias, servicios profesionales, contactos para pareja, etc.), para que los destinatarios hagan disposiciones económicas; o mediante “phishing”, mails con la apariencia de ser de una entidad bancaria, usando bases de datos con números de tarjetas bancarias y cuentas de PayPal, sus claves y sus códigos CVV. Se sanciona con la pena de prisión de 6 meses a 3 años cuando exceda de 400 € (artículos 248-2-b) y 249 del Código Penal).
  • Sextorsión, mediante el uso de bases de datos robadas para lanzar spam indiscriminado mediante bots, enviando mails que incluyen la contraseña del destinatario para darle credibilidad, y se le amenaza con enviar una supuesta grabación sexual a sus contactos si no accede a pagar la cantidad que se le exige en bitcoins. Se sanciona como delito de coacciones con prisión de 6 meses a 3 años o con multa de 12 a 24 meses (artículo 172 del Código Penal).
  • Pornografía infantil y grabaciones “snuff” (asesinatos, violaciones, torturas, etc.), mediante la descarga de contenidos o indicación de los nombres de los archivos para descargarlos con programas de intercambio de archivos P2P (eMule, µTorrent, etc.). La venta y/o intercambio de material pedófilo se sanciona con prisión de 5 a 9 años y libertad vigilada, que se ejecutará tras la pena privativa de libertad, de 5 a 10 años (artículos 189-1-b) y 2 y 192-1 del Código Penal). La tenencia o adquisición para propio uso de pornografía infantil se castiga con 3 meses a 1 año de prisión o con multa de 6 meses a 2 años y libertad vigilada, que se ejecutará tras la pena privativa de libertad, de 1 a 5 años (artículos 189-5 y 192-1 del Código Penal).
  • Tráfico de drogas, que se envían por correo postal o servicios de mensajería y reciben el pago mediante bitcoins. En 2015 la Corte Federal de Nueva York impuso la cadena perpetua a Ross Ulbricht, de 30 años de edad, creador de la web conocida como “Ruta de la seda” (“Silk Road”) en la Dark Web, en la que se vendían drogas y otros productos ilegales, como culpable de narcotráfico, blanqueo de dinero, violación informática y otros cuatro cargos criminales. La sentencia fue confirmada en 2017 al desestimarse el recurso de apelación. El tráfico de drogas está sancionado con la pena de prisión de 6 meses a 3 años y multa de 6 a 12 meses, e inhabilitación especial para profesión o industria por tiempo de 6 meses a 2 años (artículo 359 del Código Penal).
  • Infracción de derechos de Propiedad Intelectual, permitiendo la descarga de contenidos audiovisuales (películas, series, música, etc.), libros (ebooks en distintos formatos) y software y contraseñas para el pirateo de videojuegos o accesos a plataformas online. Cuando se haga con el ánimo de obtener un beneficio económico directo o indirecto, y en perjuicio de tercero, y no se limite a un tratamiento meramente técnico, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios, se sanciona con prisión de 6 meses a 4 años y multa de 12 a 24 meses (artículo 270-2 del Código Penal).
  • Infracción de derechos de Propiedad Industrial, ofreciendo productos falsificados (relojes, gafas, ropa, bolsos, material deportivo, etc.) que imitan los signos distintivos registrados por sus titulares sin su autorización. La distribución al por menor de productos que incorporen un signo distintivo idéntico o confundible con uno registrado se castiga con 6 meses a 3 años de prisión (artículo 274-2 del Código Penal).
  • Venta de objetos robados, como vehículos (normalmente robados en la Unión Europea y “legalizados” en otros países), productos tecnológicos (smartphones, tablets, ordenadores, etc.), obras de arte sustraídas, etc. Con independencia de la pena que pueda corresponder a quien robó los objetos, el hecho de venderlos está sancionado como delito de receptación con prisión de 6 meses a 2 años (artículo 298-1 del Código Penal). En el caso de expolio de obras de arte, la pena es de prisión de 6 meses a 3 años o multa de 12 a 24 meses (artículo 323 del Código Penal).
  • Usurpación de identidad, ofreciendo el acceso, espionaje o toma de control de perfiles de redes sociales (Meta-Facebook, Linkedin, Twitter, Instagram, TikTok, etc.) o sistemas de mensajería instantánea (WhatsApp, Line, etc.) de terceros. En el supuesto del acceso al perfil, se sanciona como delito de violación de secreto de las comunicaciones y la intimidad con prisión de 1 a 4 años y multa de 12 a 24 meses (artículo 197-2 del Código Penal); y en el caso de que se controle el perfil, se castiga como delito de suplantación de identidad con prisión de 6 meses a 3 años (artículo 401 del Código Penal).

Por Javier López, socio de Écija