Según el último Boletín de Seguridad de Kaspersky, en el último año ha aumentado considerablemente la actividad relacionada con programas maliciosos en la dark web diseñados para robar fondos de carteras de criptomonedas. Además, Kaspersky informó un aumento del 40% en anuncios de venta de bases de datos corporativas en un foro destacado, lo que muestra el creciente interés de los ciberdelincuentes en explotar filtraciones de datos.
En 2024, los expertos de Kaspersky detectaron un gran aumento de interés en programas maliciosos conocidos como «drainers» en los mercados clandestinos. Estos programas, que aparecieron hace unos tres años, están diseñados para engañar a las personas y hacer que autoricen transacciones fraudulentas, robando fondos de sus carteras de criptomonedas. Entre las tácticas más comunes están los falsos regalos de criptomonedas (airdrops), sitios web de phishing, extensiones de navegador maliciosas, anuncios falsos, contratos inteligentes engañosos y plataformas de NFT fraudulentas.
El número de publicaciones en la dark web sobre estos drainers creció un 135 %, pasando de 55 en 2022 a 129 en 2024. En estas publicaciones, los ciberdelincuentes comparten información sobre cómo comprar y vender este software, así como sobre la formación de equipos para distribuirlo, entre otros temas.
“Ante esta tendencia, es probable que el interés de los ciberdelincuentes en los crypto-drainers y ataques relacionados crezca aún más en 2025”, afirma Alexander Zabrovsky, experto en seguridad de Kaspersky Digital Footprint Intelligence. “Esto significa que los entusiastas de las criptomonedas deben estar más alerta que nunca, adoptando medidas de seguridad sólidas. Mientras tanto, las empresas deberían enfocarse en educar a sus clientes y empleados, al tiempo que monitorean activamente su presencia online para reducir el riesgo de ataques exitosos. Los drainers suelen emplear tácticas de ingeniería social para robar fondos. Pueden explotar marcas reconocidas de carteras y casas de cambio para atraer a las víctimas y lograr que revelen la información de sus carteras o realicen transacciones fraudulentas. Realizar búsquedas regulares de menciones de la marca en motores de búsqueda, redes sociales y mercados es esencial. Si se identifican sitios de phishing o fraudulentos, se pueden dar de baja de inmediato, evitando que las posibles víctimas caigan en la estafa. El uso de herramientas especializadas puede mejorar enormemente este proceso de seguimiento”.
En los próximos meses, se espera que las brechas y filtraciones de datos sean una amenaza aún más relevante. Los analistas de Kaspersky detectaron un incremento en los anuncios de bases de datos corporativas en uno de los foros más populares de la dark web. Entre agosto y noviembre de 2024, las publicaciones relacionadas con la compra y venta de estas bases de datos aumentaron un 40 % en comparación con el mismo periodo del año anterior.
Aunque parte de este crecimiento podría deberse a la reventa de filtraciones antiguas, queda claro que los ciberdelincuentes están cada vez más interesados en distribuir datos filtrados, independientemente de si son recientes o no.
“No todos los anuncios de brechas de datos en la dark web provienen de un incidente real. Por ejemplo, ciertas bases de datos podrían combinar información públicamente disponible o datos filtrados anteriormente, presentándolos como algo nuevo. De este modo, los ciberdelincuentes pueden ganar visibilidad, generar expectación y dañar la reputación de la empresa objetivo con el simple hecho de anunciar una brecha de datos. Esto subraya la importancia creciente de monitorear las menciones y activos corporativos en el mercado clandestino, lo que permite una defensa proactiva y una respuesta inmediata”, explica Zabrovsky.
Dada la creciente tendencia de ataques a la cadena de suministro y similares, se prevé que en 2025 aumenten las brechas de datos, especialmente aquellas derivadas de ataques a contratistas de grandes empresas.
Otras tendencias emergentes en el mercado de la dark web para 2025 incluyen:
· Migración de Telegram a foros de la dark web: a pesar de un aumento en la actividad ciberdelictiva en Telegram el año pasado, se espera que la comunidad clandestina regrese a los foros. Cada vez se prohíben más canales de Telegram, según informan sus administradores, lo que impulsa esta migración.
· Aumento en las operaciones de alto perfil de las fuerzas del orden contra grupos ciberdelictivos. Este año fue significativo en la lucha global contra la ciberdelincuencia de alto perfil. Los expertos de Kaspersky anticipan que este año traerá un incremento en los arrestos y en la eliminación de infraestructuras y foros de grupos de ciberdelincuentes. A su vez, como respuesta a las exitosas operaciones del año pasado, es probable que los actores de amenazas cambien sus tácticas, migrando a foros solo por invitación.
· Fragmentación de los grupos de ransomware. Los grupos de ransomware podrían fragmentarse en unidades más pequeñas e independientes, lo que dificulta su seguimiento. Esta descentralización permite a los ciberdelincuentes operar de forma más flexible mientras se mantienen fuera del radar de las fuerzas del orden y las empresas de ciberseguridad.
· Se prevé que los stealers y drainers experimenten un aumento en su promoción a través del modelo de Malware-as-a-Service. Además, se espera que los datos y credenciales robados mediante este tipo de malware se vendan cada vez más en foros clandestinos.
· Escalada del panorama de amenazas en Oriente Medio. La región está experimentando un aumento en el hacktivismo impulsado por las continuas tensiones geopolíticas. Si estas tensiones no disminuyen en 2025, se espera que el hacktivismo se intensifique aún más. Además, los expertos de Kaspersky prevén un aumento sostenido en los ataques de ransomware en Oriente Medio, dado que el número de víctimas de ransomware pasó de un promedio de 28 por semestre en 2022-2023 a 45 en el primer semestre de 2024.
Para protegerse del malware de robo de datos, filtraciones y otras actividades relacionadas con la dark web, se recomienda a los usuarios particulares que utilicen soluciones de seguridad integrales en todos sus dispositivos. Estas soluciones ayudan a prevenir infecciones y alertan sobre posibles peligros. Las empresas, por su parte, deberían monitorizar proactivamente la dark web en busca de señales de actividad ciberdelictiva que pueda amenazar sus activos corporativos. Kaspersky Digital Footprint Intelligence ha desarrollado una guía integral para orientar a las compañías sobre cómo responder ante actividades en la dark web que involucren a su organización.
Lee más sobre las tendencias del mercado de la dark web en Securelist.
