La Dark Web siempre ha sido un mundo envuelto en misterio, un espacio donde el anonimato es la norma y donde tanto ciberdelincuentes como hacktivistas operan lejos del alcance de las autoridades. En este entorno, los ataques informáticos y la venta de datos robados son moneda corriente, y las amenazas evolucionan constantemente.
Solo en enero de 2025, informes recientes sobre la Dark Web revelan que se analizaron más de 250 afirmaciones de actores maliciosos, y más de una cuarta parte de ellas estaban dirigidas a organizaciones en EE. UU. Dentro de estas amenazas, los grupos de ransomware fueron responsables de alrededor del 40% de los ataques reportados, ya sea vendiendo datos robados o comercializando accesos a redes comprometidas.
Sin embargo, lo que realmente ha llamado la atención en estas investigaciones es la presencia de un nuevo grupo hacktivista, que parece tener motivaciones políticas y está llevando a cabo ataques coordinados. Aunque aún se sabe poco sobre ellos, su aparición ya ha generado preocupación en la comunidad de ciberseguridad.
Un grupo emergente llamado "Sector 16" se ha unido a los hacktivistas rusos Z-Pentest en un ataque a un sistema SCADA (Supervisión, Control y Adquisición de Datos) que administra bombas de petróleo y tanques de almacenamiento en Texas. Para demostrar su acceso, ambos grupos compartieron un video en el que se muestra la interfaz del sistema con datos en tiempo real, incluyendo niveles de los tanques, presiones de las bombas y funciones de gestión de alarmas.
Lo más llamativo es que ambos grupos pusieron sus logotipos en el video, lo que sugiere que están trabajando juntos de manera coordinada.
Además, Sector 16 también se atribuyó otro ataque, esta vez contra los sistemas de control de una instalación de producción de petróleo y gas en EE. UU. En un segundo video publicado por el grupo, se pueden ver interfaces de monitoreo de producción, control de válvulas, datos de presión y medición de flujo, lo que deja en evidencia el nivel de acceso que lograron obtener.
En los últimos meses, varios grupos hacktivistas rusos han estado publicando videos en los que manipulan paneles de control de infraestructura crítica. Si bien algunos de estos ataques parecen más una demostración de fuerza que intentos reales de causar daños graves, en al menos un caso, Z-Pentest afirmó haber interrumpido el funcionamiento de un sistema de pozos petroleros en EE. UU.
Podría interesarte leer: Cibercrimen en la Dark Web: ¿Cómo operan las redes ocultas?
Además de estos incidentes, otros grupos hacktivistas han estado activos recientemente. En enero, los hacktivistas pro-islámicos Hamza se unieron a Velvet Team para lanzar una serie de ataques DDoS contra plataformas gubernamentales y militares en EE. UU. Entre los sistemas afectados se encuentran:
Estos ataques refuerzan la creciente tendencia de colaboraciones entre grupos hacktivistas con ideologías similares, lo que puede hacer que sus operaciones sean aún más peligrosas.
Además del hacktivismo, los ataques de ransomware continúan causando estragos en múltiples sectores. En enero, se identificaron al menos 15 grupos de ransomware activos, incluyendo nombres conocidos como:
Estos grupos han atacado una amplia variedad de víctimas, que incluyen:
Algunas de las víctimas de estos ataques ya habían sido afectadas previamente por otros grupos de ransomware, lo que demuestra que estos ciberdelincuentes a menudo reutilizan accesos y datos robados para nuevas ofensivas.
Podría interesarte leer: Venta de Accesos a Correos Gubernamentales de México en la Dark Web
El monitoreo de la Dark Web es clave para detectar filtraciones antes de que se conviertan en un problema mayor, como ciberataques masivos o violaciones de datos que pueden costarle millones a una empresa. Cuanto antes se identifique una amenaza, más fácil es prevenir el daño.
Aquí es donde entra en juego el ciberpatrullaje de TecnetOne, un servicio que monitorea constantemente la Dark Web en busca de datos robados, accesos comprometidos y actividad sospechosa. Esta vigilancia permite a las organizaciones actuar rápido, ya sea bloqueando credenciales filtradas, reforzando sistemas vulnerables o evitando que un ataque escale a algo más grave.
Pero el monitoreo no lo es todo. Para reducir el riesgo de ciberataques, las empresas deben combinar esta estrategia con buenas prácticas de seguridad, como:
No se trata de si un ataque ocurrirá, sino de cuándo. La diferencia entre una crisis y un incidente controlado está en qué tan bien preparado estés.