¿Cómo detectar amenazas del Dark Web usando NDR?

Redes y Seguridad Informática / 23 de octubre de 2025 / Por

Las redes empresariales son objetivos principales de riesgos del dark web como ransomware, amenazas internas y exfiltración de datos.

Muchos indicadores de esta actividad se ocultan en el tráfico cotidiano de la red, pero un sistema bien implementado de Network Detection and Response (NDR) puede revelarlos.

Paso 1: Conocer los gateways del dark web

El dark web utiliza herramientas de anonimización como:

  • Tor
  • I2P
  • Freenet (redes P2P)

Señales de actividad del dark web en los datos de la red incluyen:

  • Uso inusual de puertos
  • Tráfico cifrado o de alta entropía
  • Conexiones con nodos de entrada/salida de Tor u otros servicios de anonimización

Paso 2: Conocer tu NDR

Los sistemas NDR ofrecen:

  • Monitoreo de tráfico en tiempo real con IA y análisis de comportamiento
  • Registros completos de actividad de red para análisis histórico
  • Reducción de tiempo de detección (MTTD) y respuesta (MTTR) frente a amenazas

Coloca los sensores NDR estratégicamente para cubrir activos críticos, segmentos internos y tráfico norte-sur.

Paso 3: Desplegar NDR para visibilidad del dark web

Áreas clave de monitoreo:

  • Comunicación externa (norte-sur): detectar interacciones con el dark web
  • Movimiento lateral: rastrear anomalías en tráfico interno
  • Segmentos críticos: vigilar dispositivos con datos sensibles

Base de línea de la red: establece patrones normales de tráfico y marca anomalías como:

  • Nuevas comunicaciones con IP desconocidas
  • Conexiones P2P excesivas
  • Transferencias de archivos sospechosas o tráfico a dominios inusuales
  • Tráfico saliente que se hace pasar por legítimo

Paso 4: Detectar y rastrear amenazas

Detección de Tor

  • Monitorear puertos 9001, 9030, 9050
  • Analizar cabeceras TLS, duración de sesión y uso de ancho de banda
  • Rastrear conexiones a nodos de entrada, relays, bridges y nodos obfs4 de Tor

Tráfico I2P y P2P

  • Vigilar puertos I2P 7650–7659 y puertos P2P 6881–6889
  • Detectar conexiones persistentes de larga duración a través de múltiples IP
  • Monitorear certificados autofirmados y dominios de alta entropía

VPN y anonimización

  • Detectar VPNs conocidas (NordVPN, ExpressVPN, ProtonVPN)
  • Señalar puertos no estándar (OpenVPN: 1194, L2TP: 1701)
  • Monitorear anomalías SSL/TLS y cifrado inesperado

DNS y anomalías geográficas

  • Marcar consultas a .onion, subdominios raros o dominios de baja reputación
  • Detectar dispositivos que evitan el DNS interno
  • Identificar patrones de “viajes imposibles” con geolocalización IP

Movimiento lateral y detección de C2

  • Monitorear tráfico interno que pasa por múltiples sistemas antes de salir
  • Detectar uso inusual de SSH, RDP o túneles SOCKS
  • Analizar archivos con herramientas como Yara para detectar malware
  • Señalar intervalos regulares de beaconing que indiquen actividad C2

Integración con inteligencia de amenazas

  • Correlacionar con indicadores conocidos del dark web (hashes, IPs, dominios)
  • Usar monitoreo externo para credenciales robadas o datos filtrados
  • Generar alertas y registros para investigación priorizada

Capacidades de NDR de Corelight

La plataforma Corelight Open NDR ofrece:

  • Recolección profunda de metadatos de red
  • Detección multicapa y monitoreo de anomalías
  • Análisis de archivos y protocolos
  • Detección de Tor, I2P, P2P, VPN, movimiento lateral y C2
  • Integración con inteligencia de amenazas para alertas en tiempo real

Un NDR bien configurado mejora la detección de actividad del dark web y fortalece la postura general de ciberseguridad.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA