Extracto en Español, original en Inglés escrito por Jasmine Henry

El componente oscuro de la Deep Web es el camino principal para el intercambio y comercio entre grupos de cybercriminales. De hecho, muy pocos cybercriminales trabajan solos. 80% del cibercrimen está ligado a colectivos.
Adaptarse a estas tendencias es esencial. Las organizaciones con la habilidad de extraer inteligencia de las amenazas a través de data-mining pueden darle una ventaja significativa de seguridad.

Deep Web y Darknet: ¿Cuál es la diferencia?
La parte de la Web que es accesible a través de motores de búsqueda utilizadas por actividades diarias es conocida entre los investigadores como surface web. Cualquier cosa más allá se define como deep web. En la deep web existen sitios no indexados que no son accesibles para los usuarios comunes de Internet. Algunos restringen el acceso, otros rutean muchas capas de anonimato para proteger la identidad de los operadores.

Los sitios Darknet y sus tecnologías son un subconjunto de la deep web, que consiste de sitios intencionalmente ocultos y solo accesibles a través de tecnologías como Onion Router (Tor), un software que facilita la comunicación anónima, o browsers peer-to-peer (P2P).

Cómo entender la inteligencia Dark de las amenazas
“La inteligencia de la Dark es crítica para la toma de decisiones de seguridad a cualquier nivel,” dijo Dave McMillen, analista senior de X-Force IRIS en IBM X-Force Incident Response and Intelligence Services (IRIS). “Es posible reunir hazañas, vulnerabilidades y otros indicadores comprometedores, así como conocimiento en las técnicas, tácticas y procedimientos[TTPs] que los criminales utilizan para diferentes herramientas y las amenazas de malware que favorecen.”
Cuando estos datos de amenazas en tiempo real se filtran a través de suficiente contexto y se separan de los falsos positivos, se convierte en acciones inteligentes. McMillen cree que existen varias formas de organización que pueden beneficiar la inteligencia de las fuentes de datos de la Darknet. Estos beneficios incluyen el entendimiento de las tendencias de amenazas emergentes para desarrollar de manera proactiva técnicas de mitigación. Esta inteligencia también podría ayudar identificando motivaciones de los criminales y la colusión antes de los ataques.

Cómo identificar riesgos de seguridad en la Darknet.
Para expertos investigadores de amenazas como McMillen, los patrones de actividad de la deep web pueden revelar un ataque en progreso, ataques planeados, tendencias de amenazas u otros tipos de riesgo.
El tiempo promedio de identificación de un incidente de ataque de ciberseguridad es de 197 días, de acuerdo con el estudio: 2018 Cost of a Data Breach Study del Ponemon Institute, patrocinado por IBM. Las empresas que contienen una brecha de seguridad dentro de los 30 días tienen una ventaja sobre sus pares, ahorrando en promedio $1 millon en costos de contención.

“Utilizar soluciones de monitoreo de la dark que permitan la utilización de filtros enfocados a identificar frases clave, como la marca y el nombre de su producto, que puede contener información negativa es un buen comienzo en los esfuerzos para generar inteligencia útil de la dark web,” dice McMillen.
Los datos obtenidos deberían de alertar y conducir a un proceso de análisis humano para generar acciones concretas. La inteligencia de amenazas Context-rich puede revelar muchas formas de riesgo, entre ellas:

Mientras los líderes consideran como profundizar en la adopción de inteligencia de amenazas dentro de la Darknet, es valioso entender que no todas las fuentes de inteligencia pueden capturarse adecuadamente para entender el enfoque completo de la amenaza y lo que el actor está intercambiando. Confiar en viejas tecnologías pueden fallar en la mitigación de importantes riesgos. La mejor forma de protección es aquella que combina la inteligencia de personal capacitado e Inteligencia Artificial para convertir datos crudos en acciones inteligentes.