La mayoría de la gente ha oído hablar de la dark web, pero pocos saben cómo es realmente o qué ocurre allí. Para distinguir la realidad de la ficción, nuestro equipo de investigación dedicó 48 horas a explorarla de primera mano y a documentar lo que encontramos.
La dark web no es intrínsecamente mala. También tiene fines legítimos, ya que ofrece una capa de privacidad a periodistas, denunciantes, activistas y otras personas que necesitan comunicarse de forma anónima. Para acceder a ella suele ser necesario utilizar el navegador Tor, y hay varias organizaciones de prestigio que gestionan sitios web oficiales en la dark web. Por ejemplo, se puede acceder a la página web de noticias de la BBC a través de la siguiente dirección Tor: http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
Pero junto a estos usos legítimos existe un próspero ecosistema delictivo.
Lo que descubrimos fue una economía sumergida organizada y activa que funciona de formas que la mayoría de la gente ni siquiera imagina. Los ciberdelincuentes no actúan solos. Se reúnen en foros clandestinos dedicados a la ciberdelincuencia, donde debaten sobre nuevos métodos de ataque, comparten técnicas y colaboran para encontrar formas de atacar a personas de todo el mundo.
Piensa en ello no tanto como un callejón oscuro, sino más bien como una red profesional de ciberdelincuentes.
Además de estos foros, nos encontramos con mercados especializados en ciberdelincuencia. Funcionan como tiendas en línea en las que hackers los estafadores pueden comprar y vender una amplia gama de productos digitales obtenidos de forma ilícita, desde credenciales de cuentas robadas hasta herramientas de piratería informática, todo ello mediante transacciones anónimas con criptomonedas.
Dato curioso: muchos de estos mercados llevan el nombre de figuras públicas muy conocidas, entre ellas el presidente de Estados Unidos, Donald Trump.
La brújula de la dark web
Los ciberdelincuentes proceden de todos los rincones del mundo y, al igual que cualquier comunidad global, necesitan una forma de localizarse entre sí. Ahí es donde entran en juego los foros de enlaces.
Los «link boards» son directorios que recopilan cientos de foros y mercados clandestinos. Están organizados por idiomas y sirven de brújula en la dark web.
Un ciberdelincuente puede actuar dentro de una comunidad en la que se hable su lengua materna o unirse a foros más grandes en inglés que atraigan a un público internacional.
Sin embargo, no todos los foros tienen el mismo peso. En 2026, la comunidad se concentra en gran medida en torno a plataformas dominantes como BreachForums y DarkForums. Los foros más exclusivos en lengua rusa, como Exploit y XSS, suelen atraer a algunos de los ciberdelincuentes más sofisticados del submundo.
Datos comprometidos: es posible que tu información ya se haya filtrado
La mayoría de la gente no tiene ni idea de cuánta información personal suya circula ya por la dark web. En muchos casos, el primer reto es simplemente saber si tu información ha sido filtrada. Puedes comprobarlo aquí.
Para comprender la magnitud del problema, resulta útil comparar lo que se sabe públicamente con lo que hemos descubierto más allá de las apariencias.
Las filtraciones de las que se informa públicamente son solo una parte de la historia. Desde principios de 2026, Malwarebytes han identificado más de 7.500 conjuntos de datos comprometidos que contienen más de 8.4 mil millones de registros. Entre ellos se incluyen datos robados en filtraciones, recopilados a través de campañas de phishing, extraídos de servicios en línea y expuestos debido a sistemas mal configurados.
Entre las organizaciones afectadas se encuentran nombres muy conocidos como SoundCloud, ADT, Hallmark, Amtrak, Vimeo e Instagram.
Pero, por muy significativos que sean esos datos, solo reflejan una parte de la realidad.
Al examinar la sección de bases de datos de DarkForums, una de las plataformas más activas del mundo clandestino, encontramos 63 páginas de anuncios publicados desde principios de 2026. A razón de 20 anuncios por página, eso supone más de 1.200 filtraciones de datos de pequeña y mediana envergadura, la mayoría de las cuales nunca llegaron a los titulares de la prensa.
La situación en BreachForums era similar. Desde principios de año, la plataforma ha acumulado 37 páginas de listados de bases de datos, cada una con 20 entradas, lo que supone la incorporación de más de 700 bases de datos comprometidas adicionales al ya enorme conjunto de datos robados.
Si sumamos todo esto, las filtraciones de las que se ha informado públicamente no son más que la punta del iceberg. Gran parte de los datos personales robados que se comercializan en Internet cambian de manos de forma discreta y fuera de la vista del público.
Identidades estadounidenses a la venta
Uno de los productos más solicitados en el mercado negro de la ciberdelincuencia es lo que hackers «fullz»: un paquete completo con la información de identidad de una persona real. En 2026, las identidades estadounidenses siguen siendo especialmente valiosas debido a la infraestructura financiera del país, los elevados límites de crédito y la amplia gama de servicios que pueden aprovecharse para cometer fraudes.
Un paquete «fullz» típico incluye el nombre completo, el número de la Seguridad Social (SSN), la fecha de nacimiento, la dirección y otros datos personales. En manos equivocadas, esta información constituye un conjunto de herramientas listas para cometer fraude de identidad. Permite a los ciberdelincuentes abrir cuentas de crédito fraudulentas, presentar declaraciones de la renta falsas, acceder a cuentas financieras o incluso obtener servicios médicos a nombre de otra persona.
Lo que hace que los «fullz» sean especialmente peligrosos es que, a menudo, las víctimas no se dan cuenta de que su identidad ha sido comprometida hasta mucho después de que el daño ya esté hecho. A veces, esto ocurre meses o incluso años después, cuando les llaman los cobradores de deudas o se les deniega inesperadamente una solicitud de crédito.
No es de extrañar que Estados Unidos siga siendo uno de los países más afectados por los ladrones de identidad. Solo en los tres primeros trimestres de 2025 se denunciaron más de 1,15 millones de casos de robo de identidad ante la Comisión Federal de Comercio (FTC), lo que ya supera el número total de casos denunciados durante todo el año 2024.
Durante nuestra investigación, dimos con 9-Digits Market, uno de los muchos mercados de la dark web especializados en la venta de datos de identidad robados. Lo que más nos llamó la atención fue el precio. Un perfil de identidad completo de EE. UU. se ofrecía por tan solo 0,95 dólares.
Por menos de lo que cuesta un café, un ciberdelincuente puede comprar información suficiente como para arruinar la vida financiera de una persona.
Cómo utilizan los ciberdelincuentes el malware para atacar tu ordenador
Las filtraciones de datos no son la única forma en que tu información personal acaba en la dark web. A veces, la fuente está mucho más cerca de lo que imaginas: tu propio ordenador. Durante nuestra incursión en la dark web, nos topamos con los desarrolladores responsables de una categoría de malware especialmente peligrosa conocida como «infostealers» o, simplemente, «stealers». El concepto es sencillo, y en parte por eso resulta tan eficaz.
Una vez instalado, un programa de robo de información busca de forma silenciosa en el dispositivo cualquier dato de valor. Esto puede incluir nombres de usuario y contraseñas guardados, datos de autocompletado, datos de pago almacenados, carteras de criptomonedas y otra información confidencial. A continuación, esos datos robados se envían al atacante.
A continuación se muestra un adelanto del panel del programa de robo STORM, que se infiltró en un ordenador ubicado en EE. UU. y robó 87 combinaciones de nombre de usuario y contraseña del dispositivo.
Quizás lo más preocupante sea lo accesible que se ha vuelto este tipo de malware. En 2026, cualquier aspirante a ciberdelincuente podrá alquilar un programa de robo de información mediante una suscripción, sin necesidad de grandes conocimientos técnicos ni de una inversión económica importante. El «ciberdelito como servicio» ha reducido drásticamente las barreras de entrada.
A continuación, los datos robados se venden o se filtran en foros y mercados clandestinos. Nos sorprendió enormemente el volumen de datos en cuestión.
Cada día se comparten millones de credenciales robadas en estas plataformas. Detrás de cada una de esas entradas hay una persona real, que desconoce por completo que su vida digital está siendo desmenuzada y comercializada como si fuera una mercancía.
Inversiones falsas y estafas con criptomonedas
No todos los delitos cibernéticos giran en torno al robo de contraseñas o a la filtración de bases de datos. Algunos delincuentes buscan ganancias mucho más lucrativas mediante estafas de ingeniería social cuidadosamente planificadas. Uno de los ejemplos más sofisticados y perjudiciales con los que nos hemos topado son las estafas relacionadas con la inversión en criptomonedas, también conocidas como pig butchering».
La táctica que hay detrás es muy eficaz. Los delincuentes dedican mucho tiempo y esfuerzo a entablar lo que parece ser una relación auténtica con su víctima a través de aplicaciones de citas, redes sociales o plataformas de mensajería.
Son pacientes, amables y persuasivos, y se ganan poco a poco la confianza de la víctima a lo largo de días o incluso semanas. Solo después de haber establecido esa confianza le presentan lo que parece ser una oportunidad de inversión muy atractiva. Para cuando la víctima se da cuenta de que algo va mal, ya ha perdido su dinero y la persona en la que confiaba ha desaparecido sin dejar rastro.
Durante nuestra investigación, observamos una operación de fraude con criptomonedas a gran escala que ya estaba plenamente en marcha y que se dirigía a nuevas víctimas mediante plataformas de inversión falsas muy sofisticadas y de alta gama, diseñadas específicamente para mantener a las víctimas enganchadas durante largos periodos de tiempo.
La operación ofrecía:
- Documentación completa, guiones y elementos que aportan credibilidad. Todo lo necesario para dar una imagen de legitimidad desde el primer día.
- Guías de comunicación elaboradas con esmero y manuales de ingeniería social diseñados para ejercer presión psicológica sobre las víctimas con el fin de que agoten el límite de sus tarjetas de crédito, soliciten préstamos e inviertan repetidamente más dinero.
- Equipos de desarrollo internos que crean plataformas de negociación falsas que imitan fielmente los servicios de inversión legítimos.
Nuestros investigadores también lograron acceder a una de estas plataformas fraudulentas, y nos sorprendió el nivel de sofisticación que presentaba.
No se trata de operaciones de aficionados. Son organizaciones criminales bien financiadas y dirigidas de forma profesional que consideran el engaño como un negocio.
En tan solo 48 horas, hemos descubierto identidades robadas, malware por encargo, contraseñas filtradas y operaciones de fraude a escala industrial. La mayoría de la gente nunca visitará la dark web, pero sus efectos pueden llegarles de todos modos a través de filtraciones de datos, infecciones por malware y estafas.
Malwarebytes protegerte contra cada una de esas amenazas. Nuestro servicio de supervisión de fugas de datos te avisa si tu información personal aparece en una fuga conocida. Theft Identity supervisa la información confidencial, incluido tu número de la Seguridad Social, mientras que Scam Guard utiliza la detección basada en inteligencia artificial para ayudar a identificar mensajes de texto, correos electrónicos, enlaces y números de teléfono sospechosos antes de que puedan causarte ningún daño.
La dark web se nutre de información robada. Saber cuándo tus datos están expuestos es el primer paso para adelantarte a ello.
