Delitos en la Dark Web
Tribuna de Javier López, socio de ECIJA, para Byte.
La Dark Web es un mundo misterioso y oculto que genera muchas dudas y equívocos, al que acceden miles de personas a diario, sin ser conscientes del peligro que ello entraña. En primer lugar, hay que distinguirlo del Deep Web, aunque muchas veces se usan ambos términos como si fueran sinónimos. Dicho de forma básica, Internet tiene una parte visible que se encuentra a través de Google y otros buscadores, llamada “Surface web” o “Clear web” (un 10% aproximadamente); y otra parte no visible para contenidos no indexables, llamada “Invisible web”, “Hidden web” o “Deep web” (un 90% aproximadamente).
La Deep web contiene webs protegidas, como las de los bancos con los datos de los clientes, las que alojan contenidos audiovisuales de pago (Netflix, Amazon, HBO, Spotify, etc.), las que alojan cuentas de correo electrónico (Gmail, Hotmail, etc.), páginas de contactos (Meetic, Badoo, etc.), páginas dinámicas que se generan al hacer una consulta en buscadores de hoteles o vuelos (Kayak, Rastreator, Lastminute, etc.), etc. Dentro de la Deep Web hay una pequeña parte (se calcula que un 0,1% del total), llamado “Dark web”, al que se accede mediante navegadores específicos como TOR (“The onion router”) o I2P (Invisible Internet Project), que ocultan la identidad y la dirección IP los usuarios.
La opacidad que ofrece la Dark Web hace que sea un entorno de reunión de cibercriminales en el que se ofrecen diversos servicios delictivos, que, en muchas ocasiones, realmente son una estafa a quien pretende contratarlos (una “scam”), ya que cobran el precio, pero nunca llevan a cabo lo contratado. También navegan por él las policías de casi todos los países, que a veces montan webs señuelos («honeypot») para localizar prácticas delictivas. Veamos algunos de estos delitos ofrecidos en el Dark Web:
- Venta de bases de datos robadas, con direcciones de mail asociadas a contraseñas. Algunos ejemplos sonados fueron el robo de 100 millones de contraseñas de Linkedin en 2012 y 2016; el incidente que sufrió Wallapop en noviembre de 2019; la sustracción de los datos de más de 5 millones de clientes de la cadena hotelera Marriot en marzo de 2020; la copia de contraseñas de Zoom y Nintendo en abril de 2020, en pleno confinamiento por el coronavirus; o en 2021 los casos que afectaron a la aseguradora Zurich y T-Mobile. El robo se sanciona con prisión de 6 meses a 2 años y su venta o cesión con prisión de 6 meses a 2 años o multa de 3 a 18 meses (artículos 197 bis y ter del Código Penal).
- Ciberestafas realizadas mediante mails con todo tipo de argumentación (supuestas herencias, servicios profesionales, contactos para pareja, etc.), para que los destinatarios hagan disposiciones económicas; o mediante “phishing”, mails con la apariencia de ser de una entidad bancaria, usando bases de datos con números de tarjetas bancarias y cuentas de PayPal, sus claves y sus códigos CVV. Se sanciona con la pena de prisión de 6 meses a 3 años cuando exceda de 400 € (artículos 248-2-b) y 249 del Código Penal).
- Sextorsión, mediante el uso de bases de datos robadas para lanzar spam indiscriminado mediante bots, enviando mails que incluyen la contraseña del destinatario para darle credibilidad, y se le amenaza con enviar una supuesta grabación sexual a sus contactos si no accede a pagar la cantidad que se le exige en bitcoins. Se sanciona como delito de coacciones con prisión de 6 meses a 3 años o con multa de 12 a 24 meses (artículo 172 del Código Penal).