# Manual Técnico de Inteligencia en la Dark Web (DARKINT)
## Guía de Autoaprendizaje Avanzado para Analistas
Este documento constituye el manual de referencia técnico y la guía de estudio autodidacta para el dominio de la Inteligencia en la Dark Web (**DARKINT**). Está diseñado para proporcionar los fundamentos teóricos detallados, la arquitectura de red subyacente y los procedimientos operativos necesarios para ejecutar investigaciones en entornos hostiles y redes de anonimato sin depender de plataformas comerciales.
---
## MÓDULO 0: Fundamentos Avanzados del Cibercrimen
### 1. Taxonomía del Delito Digital y Modelos de Negocio
El ecosistema criminal subyacente a la Dark Web opera bajo estructuras comerciales sofisticadas que replican los modelos de la industria del software legítimo. El análisis de inteligencia requiere comprender las dinámicas de interdependencia entre los distintos actores del subsuelo digital.
* **Cybercrime-as-a-Service (CaaS):** Externalización de capacidades ofensivas. Los desarrolladores de código malicioso ya no necesitan ejecutar los ataques; en su lugar, alquilan la infraestructura, el malware o los vectores de acceso a actores con menor capacidad técnica.
* **Ransomware-as-a-Service (RaaS):** Modelo de negocio especializado donde los operadores del ransomware (desarrolladores) proveen el cifrador, el panel de comando y control (C2) y el sitio de filtración (*leak site*) a los "afiliados" (atacantes que realizan la intrusión inicial). Las ganancias provenientes de las extorsiones se dividen mediante porcentajes preacordados (usualmente 70-80% para el afiliado, 20-30% para el operador).
* **Initial Access Brokers (IABs):** Actores dedicados exclusivamente a la intrusión inicial en redes corporativas. Venden este acceso (credenciales de VPN, sesiones de RDP comprometidas, shells web) en foros de la Dark Web al mejor postor (frecuentemente a afiliados de RaaS), cobrando en función de los ingresos, el sector y el número de empleados de la víctima.
### 2. Fundamentos de Criptoactivos y Criptoanálisis Básico
Las transacciones económicas en mercados negros requieren la desintermediación bancaria. El analista de DARKINT debe comprender la contabilidad de la cadena de bloques (*Blockchain*) para realizar trazas de activos.
* **Bitcoin (BTC) y Pseudonimato:** Las direcciones de BTC son públicas, lo que significa que el libro contable permite la trazabilidad completa del flujo de fondos. El anonimato en BTC depende de que no se vinculen las direcciones con identidades del mundo real (mediante Exchanges con procesos KYC).
* **Mecanismos de Ofuscación:**
* *CoinJoins / Mixers:* Protocolos que combinan transacciones de múltiples usuarios en una sola transacción masiva, fragmentando la relación directa entre las direcciones de entrada y las de salida.
* *Chain Hopping:* Conversión rápida y automatizada de un criptoactivo a otro a través de plataformas de intercambio sin registro, dificultando el seguimiento entre blockchains distintas.
* **Monero (XMR) y Privacidad Nativa:** Es la moneda de preferencia en el ecosistema criminal debido a tres tecnologías criptográficas principales que ocultan por defecto los metadatos de la transacción:
* *Ring Signatures (Firmas en anillo):* Ocultan al emisor de la transacción mezclando su firma con llaves públicas pasadas de la blockchain.
* *Stealth Addresses (Direcciones ocultas):* Crean una dirección única y aleatoria para cada transacción, impidiendo ver el historial de saldos del receptor.
* *RingCT (Ring Confidential Transactions):* Oculta el monto exacto transferido utilizando pruebas criptográficas que demuestran que la transacción es válida sin revelar las cifras.
### 3. Marcos Metodológicos de Ataque y Análisis
Para anticipar y analizar las amenazas alojadas en la Dark Web, se emplean metodologías estandarizadas que estructuran el análisis forense y de inteligencia.
* **Cyber Kill Chain (Lockheed Martin):** Modelo lineal que describe las fases de un ciberataque: Reconocimiento, Preparación (*Weaponization*), Distribución (*Delivery*), Explotación, Instalación, Comando y Control (C2), y Acciones sobre los objetivos. El analista monitoriza la Dark Web buscando indicadores en las fases de *Reconocimiento* (compra de inteligencia corporativa) y *Preparación* (compra de exploits).
* **MITRE ATT&CK:** Matriz detallada de tácticas, técnicas y procedimientos (TTPs) observados en ataques reales. Permite al analista clasificar las herramientas de malware a la venta en la Dark Web y correlacionarlas con actores de amenazas específicos (APTs).
---
## MÓDULO 1: Arquitectura y Anatomía del Ecosistema Underground
### 1. Segmentación de la Red
Es imperativo delimitar con precisión matemática los conceptos de red para evitar imprecisiones operativas:
* **Surface Web (~4-10%):** Contenido indexable por motores de búsqueda tradicionales (Google, Bing, Wikipedia).
* **Deep Web (~90%):** Todo contenido no indexado por motores de búsqueda convencionales. Incluye intranets corporativas, bases de datos médicas, correos electrónicos, pasarelas bancarias y servicios detrás de un paywall o login.
* **Dark Web (<1%):** Fragmento intencionalmente oculto de la Deep Web que se ejecuta sobre redes superpuestas (*overlay networks*) y que requiere software, protocolos y configuraciones específicas para ser accedido (ej. TOR, I2P, Freenet).
### 2. Anatomía de la Red TOR (The Onion Router)
La red TOR es una red de superposición que implementa el enrutamiento de cebolla para proporcionar anonimato a nivel de red de transporte.
#### Funcionamiento del Enrutamiento de Cebolla
Cuando un cliente se conecta a un sitio web a través de TOR:
1. **Consenso de Red:** El cliente descarga una lista firmada de todos los nodos disponibles desde los Servidores de Directorio (*Directory Authorities*).
2. **Construcción del Circuito:** El cliente selecciona aleatoriamente tres nodos para su circuito:
* *Guard / Entry Node (Nodo de Entrada):* Ve la dirección IP real del cliente, pero no sabe qué solicita ni a dónde va.
* *Middle Node (Nodo Intermedio):* Solo ve las IPs del nodo de entrada y del nodo de salida. No conoce al cliente ni el destino final.
* *Exit Node (Nodo de Salida):* Descifra la última capa y envía el tráfico hacia el destino final en la Surface Web o Deep Web convencional. Sabe qué información se transmite y el destino, pero desconoce la identidad del cliente originario.
3. **Cifrado por Capas:** El cliente cifra el paquete de datos tres veces utilizando las claves públicas de los tres nodos del circuito. Cada nodo remueve ("pela") una capa de cifrado utilizando su clave privada para descubrir únicamente las instrucciones de enrutamiento hacia el siguiente salto.
#### Servicios Ocultos (.onion)
Los servicios ocultos permiten alojar servidores web sin revelar la dirección IP pública del servidor ni la del cliente. El proceso de conexión se basa en un mecanismo de citas a ciegas (*Rendezvous Point*):
1. El servidor web `.onion` selecciona nodos aleatorios llamados **Introduction Points** (Puntos de Introducción) y publica sus llaves públicas y direcciones en una tabla hash distribuida (DHT) de la red TOR.
2. El cliente descarga el descriptor del sitio `.onion` desde la DHT.
3. El cliente selecciona un nodo aleatorio de la red para que actúe como **Rendezvous Point** (Punto de Encuentro) y le proporciona un "secreto compartido" (*cookie*).
4. El cliente envía un mensaje cifrado al servidor a través de uno de los *Introduction Points* del servidor, indicando qué nodo es el *Rendezvous Point* y el secreto.
5. El servidor se conecta al *Rendezvous Point* aportando el secreto. El circuito se completa en este punto intermedio, permitiendo la comunicación bidireccional sin que ninguna de las partes conozca la dirección IP de la otra.
### 3. Foros Criminales, Marketplaces y Canales de Comunicación Alternativos
El mercado negro digital se organiza en diferentes niveles de acceso y plataformas tecnológicas:
* **Marketplaces Centralizados:** Plataformas basadas en la arquitectura tradicional web (vía servicios ocultos) que operan con sistemas de depósito en garantía (*Escrow*), donde el administrador retiene los fondos del comprador en criptomonedas hasta que el producto (drogas, armas, credenciales) es entregado con éxito por el vendedor.
* **Foros de Discusión Técnicos:** Foros altamente estructurados y frecuentemente jerárquicos (ej. *XSS*, *Exploit.in*, *Breached*). Operan mediante sistemas de reputación, rangos basados en aportes de código y secciones privadas accesibles solo mediante el pago de membresías o demostración de habilidades de hacking.
* **La Migración hacia Telegram y Discord:** Debido a las constantes operaciones policiales internacionales que desmantelan los servidores de la Dark Web, las organizaciones criminales han migrado masivamente sus operaciones a canales automatizados de Telegram y servidores de Discord, utilizando bots para la venta automatizada de productos financieros robados (*Logs*, *Tarjetas de Crédito*) e infraestructura C2.
---
## MÓDULO 2: Metodologías de Acceso, Infiltración y OPSEC Avanzada
### 1. Construcción y Despliegue de un Entorno Aislado (Whonix Architecture)
Bajo ninguna circunstancia operativa se debe realizar una investigación de DARKINT utilizando un navegador TOR directamente sobre el sistema operativo host (ej. Windows o macOS nativo). El riesgo de exploits de día cero en el navegador que ejecuten código y revelen la IP pública real es crítico.
La arquitectura de referencia estándar es **Whonix**, implementada en un hipervisor aislado (ej. VirtualBox o KVM):
* **Whonix-Gateway (Máquina Virtual 1):** Actúa como una pasarela estricta. No tiene interfaz de navegación directa. Enruta **todo** el tráfico entrante de la red interna de forma obligatoria a través de la red TOR.
* **Whonix-Workstation (Máquina Virtual 2):** Es el entorno de usuario aislado donde se ejecutan las aplicaciones, scripts y el navegador TOR. No tiene acceso directo a la tarjeta de red física del host, solo puede comunicarse a través de la red interna con la *Gateway*.
> **Mecanismo Antifugas:** Aunque la *Workstation* sea comprometida por malware avanzado a nivel de root, el sistema operativo de esta máquina no conoce su IP pública real, solo conoce su IP de red interna dirigida hacia la *Gateway*. Toda fuga de tráfico IP o DNS muere en la Gateway, la cual forzosamente la anonimiza.
### 2. Creación y Mantenimiento de Avatares Operativos (Sock Puppets)
Un analista requiere interactuar en comunidades cibercriminales bajo una identidad falsa estructurada técnicamente para resistir auditorías de los administradores del foro.
* **Opsec de Registro:**
* *Correos de Alta Privacidad:* Uso de proveedores sin registros de logs ni requerimiento de datos personales (Proton, Tuta).
* *Números Virtuales:* Registro en servicios que requieren SMS empleando tarjetas SIM prepago adquiridas en efectivo de forma anónima o mediante pasarelas de SMS virtuales basadas en la Dark Web pagadas con Monero.
* **Coherencia Tecnológica e Identidad Digital:** La zona horaria configurada en el sistema de navegación debe coincidir con la geolocalización o la narrativa del personaje ficticio. El idioma, los modismos lingüísticos y las jergas técnicas deben ser consistentes con el origen nacional simulado.
* **Limpieza Estricta de Metadatos:** Antes de subir cualquier imagen o archivo a un foro de la Dark Web, se debe purgar toda la información estructural interna. El analista utiliza la terminal para auditar y borrar metadatos exif:
```bash
# Inspeccionar metadatos de un archivo
exiftool archivo_analisis.png
# Eliminar de forma permanente todos los metadatos de un directorio
exiftool -all= -overwrite_original ./directorio_avatar/Si durante una investigación en un foro se detecta una anomalía (ej. solicitudes inusuales de información personal por parte de administradores, intentos de escaneo de puertos dirigidos al nodo de salida utilizado, o preguntas capciosas de otros miembros), el avatar se considera en riesgo de estar Quemado (Burned).
- Procedimiento de Desconexión:
- Cierre inmediato de todas las sesiones de la máquina virtual.
- Borrado completo de las snapshots e imágenes virtuales del avatar mediante herramientas de borrado seguro a nivel de almacenamiento físico (
shredo borrado criptográfico del volumen indexado). - Abandono absoluto de la identidad digital; nunca se debe volver a iniciar sesión en cuentas asociadas a ese avatar.
TOR no es infalible. Un analista de inteligencia debe conocer sus vectores de ataque para evitar caer en trampas tácticas.
- Ataques de Correlación de Tráfico: Si un adversario con capacidades estatales tiene la capacidad de monitorizar simultáneamente el tráfico que entra al Entry Node (procedente del usuario) y el tráfico que sale del Exit Node (dirigido al servidor), puede emplear análisis estadístico de tiempos y volumen de paquetes para determinar con alta precisión que ambos flujos corresponden a la misma conexión.
- Nodos de Salida Maliciosos: Cualquiera puede montar un nodo de salida en TOR. Actores de amenazas e investigadores gubernamentales configuran nodos de salida para capturar el tráfico HTTP no cifrado que transita por ellos, inyectar código JavaScript malicioso en las descargas, o realizar ataques de spoofing SSL si el cliente ignora las alertas del navegador.
A diferencia de TOR, diseñado principalmente para permitir el acceso anónimo hacia el internet público (Surface Web), I2P se diseñó desde su génesis como una red cerrada, descentralizada y peer-to-peer, optimizada para la comunicación estrictamente interna.
I2P implementa modificaciones drásticas respecto al Onion Routing de TOR:
- Túneles Unidireccionales: Mientras que en TOR los datos viajan de ida y vuelta por el mismo circuito de tres nodos, en I2P los datos salientes viajan por un túnel específico (compuesto por varios nodos de la red) y los datos entrantes regresan por un túnel completamente diferente. Un atacante que comprometa un túnel de entrada sigue sin poder ver el tráfico de salida.
- Agrupación de Mensajes (Garlic): Permite empaquetar múltiples mensajes (tanto del usuario propio como mensajes de tránsito de otros usuarios de la red) en un solo bloque cifrado ("un diente de ajo dentro de la cabeza de ajo"). Esto destruye la viabilidad de los ataques básicos de correlación por volumen de tráfico y tiempos.
- Eepsites: Sitios web alojados dentro de la red I2P, identificados bajo el dominio de nivel superior
.i2p. - Router Info & LeaseSets: Datos criptográficos distribuidos en la red que permiten localizar los túneles de entrada de un servicio específico sin revelar la identidad IP del servidor.
- ZeroNet: Red que opera bajo una arquitectura descentralizada combinando la criptografía de direccionamiento de Bitcoin y el protocolo de transferencia peer-to-peer de BitTorrent. Los sitios no se alojan en un servidor central; cuando un usuario visita un sitio web de ZeroNet, descarga los archivos estáticos en su máquina local y se convierte simultáneamente en un servidor (seeder) de ese sitio para futuros visitantes. No cuenta con anonimato nativo en la red de transporte, por lo que su tráfico debe ser forzado a pasar obligatoriamente por un proxy de TOR para ocultar la IP del usuario.
El analista avanzado no busca información de manera manual de forma indefinida; automatiza la recolección de metadatos e inteligencia de amenazas mediante scripts e integraciones de APIs.
- Scraping Estructurado en Foros: Implementación de agentes de software que simulan la navegación humana para extraer hilos de foros y mercados de forma masiva.
- Uso Indispensable de Proxies Dinámicos: El script de recolección debe rotar constantemente de circuito de TOR enviando la señal de control
NEWNYMal puerto de gestión de TOR para evitar el bloqueo por parte de sistemas anti-bot (ej. Cloudflare Onion Services). - IRC y Canales de Chat Criminales: Monitorización de servidores de Internet Relay Chat (IRC) privados y servidores de chat descentralizados (XMPP/Jabber con cifrado OMEMO). Los ciberdelincuentes veteranos utilizan estos canales para negociar rescates corporativos y coordinar operaciones complejas de hacking.
Las filtraciones masivas de datos corporativos e institucionales constituyen la materia prima más valiosa para la generación de inteligencia preventiva corporativa.
El analista debe dominar el procesamiento de grandes volúmenes de datos basados en texto plano (archivos .sql o .txt de cientos de gigabytes resultado de volcados de bases de datos) directamente en sistemas Linux, prescindiendo de editores gráficos convencionales que colapsan por falta de memoria RAM.
Comandos esenciales del flujo de trabajo forense de datos:
# 1. Búsqueda eficiente de un patrón (ej. un dominio corporativo) dentro de un volcado masivo
grep -i "@empresa-objetivo.com" volcado_leak_100GB.txt > resultados_filtrados.txt
# 2. Extracción de columnas específicas (ej. solo correos y hashes) usando delimitadores (ej. comas o dos puntos)
awk -F',' '{print $2 ":" $5}' resultados_filtrados.txt > credenciales_limpias.txt
# 3. Identificación rápida de formatos de contraseñas hashes (ej. determinar si es MD5, SHA-1 o Bcrypt)
hash-id "8743b52063cd84097a65d1633f5c74f5"
# 4. Eliminación de registros duplicados idénticos en un archivo de texto masivo
sort -u credenciales_limpias.txt -o credenciales_unicas.txt- Holehe: Herramienta open-source avanzada que realiza peticiones a los endpoints de recuperación de contraseña de más de 120 sitios web legítimos (Instagram, LinkedIn, Twitter, etc.) utilizando una dirección de correo electrónico específica como variable. Permite determinar con precisión absoluta en qué portales externos tiene cuentas creadas un objetivo, lo que orienta la búsqueda de sus credenciales en brechas de datos históricas asociadas a esos portales específicos sin alertar al investigado.
A continuación, se detalla un escenario práctico de simulación para validar la asimilación técnica de los conceptos expuestos.
Se requiere investigar un nuevo grupo de Ransomware que opera en un servicio oculto .onion de la red TOR. El objetivo es extraer información sobre sus víctimas y analizar si existen credenciales corporativas de nuestra institución expuestas en sus publicaciones, minimizando de forma absoluta el rastro digital operativo.
- Fase 1: Preparación del Entorno (Aislamiento Completo)
- Iniciar el sistema operativo host libre de cuentas personales.
- Arrancar la máquina virtual Whonix-Gateway y esperar a que complete la sincronización de circuitos (
whonixcheck). - Arrancar la máquina virtual Whonix-Workstation. Verificar que el tráfico se encuentra enrutado exclusivamente por TOR ejecutando una petición web de control desde la terminal interna para confirmar la IP externa de TOR.
- Fase 2: Verificación de OPSEC del Navegador
- Abrir el Navegador TOR (Tor Browser) dentro de la Workstation.
- Configurar el nivel de seguridad del navegador en "El más Seguro" (esto deshabilita de forma nativa JavaScript globalmente, fuentes tipográficas personalizadas y elementos vectoriales SVG, mitigando exploits de ejecución de código).
- Verificar que la ventana del navegador no se encuentre maximizada a pantalla completa. Conservar la dimensión por defecto para evitar el rastreo por resolución de pantalla (Canvas Fingerprinting).
- Fase 3: Auditoría de Identidad Digital (Sock Puppet)
- Si el sitio web del grupo criminal requiere registro previo, generar las credenciales de acceso utilizando un generador de contraseñas de alta entropía (mínimo 24 caracteres aleatorios).
- Utilizar un nombre de usuario que no guarde relación semántica ni estructural con alias previos del investigador o con la terminología institucional.
- Fase 4: Ingesta y Extracción Forense de Datos
- Acceder al sitio oficial de filtraciones del grupo de ransomware.
- Descargar el archivo de texto o la muestra del volcado de datos que presuntamente contiene la información corporativa filtrada.
- Transferir el archivo descargado a un directorio aislado dentro de la máquina virtual.
- Ejecutar
exiftoolsobre cualquier elemento gráfico descargado para verificar si los atacantes cometieron errores de OPSEC que revelen coordenadas GPS de sus dispositivos de edición o software interno. - Procesar el volcado de datos utilizando los comandos de terminal estructurados (
grep,awk,sort) para aislar la información sensible compromised.
- Fase 5: Extracción de Evidencias e Informe de Inteligencia
- Tomar capturas de pantalla únicamente de los elementos críticos de convicción mediante herramientas internas del sistema operativo de la máquina virtual (evitando capturar la barra de tareas global o elementos del host).
- Documentar las direcciones criptográficas de Bitcoin o Monero listadas en el sitio para su posterior análisis de flujo de fondos.
- Finalizada la recolección, apagar de forma forzada la máquina virtual para purgar la memoria caché interna de los circuitos y restaurar el entorno a un estado limpio de almacenamiento.
- The Tor Project Documentation: Manual técnico oficial de arquitectura de nodos y especificación del protocolo de rendezvous.
- I2P Next Generation Architecture Papers: Especificaciones formales del enrutamiento Garlic y la infraestructura de cifrado ElGamal/AES.
- MITRE ATT&CK Framework Documentation: Diccionario formal de tácticas criminales para la catalogación de amenazas avanzadas persistentes (APTs).
¡Excelente idea! Guardarlo como **GitHub Gists** es una de las mejores formas de tener tu propia base de conocimiento (*Knowledge Base*) técnica, ordenada y accesible desde cualquier lugar. Como los Gists admiten múltiples archivos, puedes crear una serie completa llamada "DARKINT-Manual".
Para mantener los archivos ligeros, legibles y bien organizados, este segundo fichero `.md` se centrará exclusivamente en la **Guía Práctica de Comandos y Despliegue de Herramientas Avanzadas**. En el anterior vimos la teoría y la metodología; aquí tienes el manual de ejecución técnica para tu segundo Gist.
Copia y pega directamente el siguiente bloque:
```markdown
# DARKINT: Guía Práctica de Comandos y Configuración de Herramientas
## Volumen 2: Automatización, Análisis de Datos Masivos y Entornos Técnicos
Este documento contiene los procedimientos técnicos, scripts básicos de configuración y comandos de consola necesarios para ejecutar auditorías de datos y análisis de infraestructura en la Dark Web de manera huérfana (sin dejar huella).
---
## MÓDULO 1: Configuración de Redes Avanzadas en Consola
### 1. Interacción con la API de Control de TOR via Terminal
Para evitar bloqueos por comportamiento anómalo (*anti-scraping*) al auditar un sitio web, el analista debe forzar el cambio de su circuito de TOR de forma programática.
Para interactuar con el puerto de control de TOR (por defecto `9051`), primero debemos habilitarlo en el archivo de configuración de TOR (`/etc/tor/torrc`) descomentando o añadiendo las líneas:
```text
ControlPort 9051
CookieAuthentication 1
Una vez configurado, podemos usar un script en Python para solicitar una nueva identidad (IP de salida) de forma automática:
import socket
import time
import stem.process
from stem import Signal
from stem.control import Controller
def cambiar_circuito_tor():
# Nos conectamos al puerto de control local de TOR
with Controller.from_port(port=9051) as controller:
# Autenticación automática mediante la cookie del sistema
controller.authenticate()
# Enviamos la señal de "Nueva Identidad" (NEWNYM)
controller.signal(Signal.NEWNYM)
print("[+] Circuito de TOR rotado exitosamente. Nueva IP asignada.")
# Ejemplo de bucle de rotación para scraping ético (cada 5 minutos)
if __name__ == "__main__":
for i in range(5):
cambiar_circuito_tor()
time.sleep(300)A diferencia de TOR, el cliente de I2P levanta un router local que expone una consola web en el puerto 7657 y un proxy HTTP en el puerto 4444.
Para enrutar herramientas automatizadas de terminal (como curl o wget) a través de la red I2P para auditar una .eepSite, se utiliza la variable de entorno del sistema:
# Configurar el proxy HTTP para que apunte al puerto local de I2P
export http_proxy="[http://127.0.0.1:4444](http://127.0.0.1:4444)"
export https_proxy="[http://127.0.0.1:4444](http://127.0.0.1:4444)"
# Realizar una petición de prueba a una web interna de I2P
curl -I http://ident-context.i2p/Cuando un analista descarga una brecha de datos (Data Breach) de la Dark Web, a menudo se enfrenta a archivos gigantescos (frecuentemente .sql, .csv o .txt de 50GB a 500GB). Nunca deben abrirse con editores convencionales. Se procesan flujo a flujo (stream) en la terminal.
# Ordenar un archivo de texto pesado consumiendo recursos en paralelo de la CPU
# -S especifica el uso máximo de memoria RAM (ej. 4 Gigabytes) para evitar colapsar el sistema
sort -u --parallel=4 -S 4G volcado_sucio.txt -o volcado_limpio.txt
# Buscar patrones complejos con Expresiones Regulares Avanzadas (PCRE) usando 'rg' (Ripgrep)
# Ripgrep es hasta 10 veces más rápido que grep tradicional en archivos masivos
rg -e "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}" volcado_limpio.txt > correos_extraidos.txt
# Extraer únicamente contraseñas en texto plano que tengan más de 12 caracteres (Filtro OPSEC corporativo)
awk 'length($0) > 12' lista_passwords.txt > contraseñas_robustas.txtEste script automatiza la ingesta de un archivo de filtración crudo, extrae las credenciales asociadas a un dominio objetivo y separa los usuarios de los hashes de contraseñas:
#!/bin/bash
# Verificar parámetros de entrada
if [ $# -ne 2 ]; then
echo "Uso: $0 <archivo_volcado.txt> <dominio_objetivo.com>"
exit 1
fi
ARCHIVO=$1
DOMINIO=$2
SALIDA_FINAL="reporte_${DOMINIO}.txt"
echo "[*] Iniciando análisis forense sobre: $ARCHIVO"
echo "[*] Buscando objetivos vinculados a: $DOMINIO"
# 1. Filtrar líneas del dominio, remover espacios en blanco y limpiar caracteres nulos
grep -i "@${DOMINIO}" "$ARCHIVO" | tr -d '\000' | sed 's/\r//g' > temp_filtrado.txt
# 2. Asumiendo formato "Email:Password" o "Email;Password", estandarizar a formato CSV (Email,Password)
sed -E 's/[:;]/,/g' temp_filtrado.txt | sort -u > "$SALIDA_FINAL"
# 3. Contar resultados obtenidos
TOTAL_IMPACTOS=$(wc -l < "$SALIDA_FINAL")
echo "[+] Análisis completado."
echo "[+] Total de credenciales corporativas expuestas encontradas: $TOTAL_IMPACTOS"
echo "[+] Resultados guardados en: $SALIDA_FINAL"
# Limpieza de archivos temporales
rm temp_filtrado.txtHolehe permite verificar el registro de un correo electrónico en más de 120 plataformas mediante técnicas pasivas (analizando los encabezados de respuesta de los servidores de autenticación). Es vital para perfilar objetivos encontrados en foros criminales.
# Instalación del entorno aislado vía pipx (recomendado para herramientas OSINT)
pipx install holehe
# Ejecución del escaneo sobre una dirección de correo sospechosa
holehe objetivo_darkweb@protonmail.com
# Guardar los portales donde dio "positivo" el registro en un archivo JSON para análisis posterior
holehe objetivo_darkweb@protonmail.com --json --output resultado_objetivo.jsonEl analista puede procesar de forma masiva los archivos multimedia descargados de un leak site (sitio de filtración) para buscar debilidades de OPSEC del grupo atacante.
# Crear un bucle para extraer de forma masiva la información de geolocalización (GPS)
# de un directorio lleno de imágenes descargadas de la Dark Web
for imagen in ./imagenes_ransomware/*; do
echo "=== Analizando metadatos de: $imagen ==="
exiftool -GPSLatitude -GPSLongitude -CreateDate -Software "$imagen"
done > reporte_metadatos_enemigos.txtSi el comando anterior devuelve valores en los campos GPSLatitude o GPSLongitude, los atacantes han cometido un fallo crítico de seguridad operacional, permitiendo mapear físicamente la ubicación desde donde se capturaron o editaron las pruebas de la extorsión.
```markdown
# DARKINT: Criptoanálisis Forense y Trazabilidad de Activos en la Blockchain
## Volumen 3: Rastreo de Transacciones, Ofuscación y Análisis de Monero (XMR)
Este documento detalla los procedimientos técnicos, metodologías de inspección de la cadena de bloques y herramientas de código abierto necesarias para realizar el seguimiento de activos digitales vinculados a actividades ilícitas en la Dark Web.
---
## MÓDULO 1: Análisis Forense en Blockchains Públicas (Bitcoin / BTC)
A diferencia del sistema bancario tradicional, Bitcoin opera sobre un libro contable público y distribuido. El anonimato en BTC es puramente pseudónimo: si una dirección de billetera se vincula a una identidad real (por ejemplo, a través de un intercambio con registro KYC), todo su historial financiero queda expuesto.
### 1. Extracción de Datos de Transacciones mediante APIs Públicas
Un analista no necesita descargar toda la blockchain de Bitcoin (que pesa cientos de Gigabytes) para realizar un análisis inicial. Se pueden consultar los nodos públicos mediante la terminal utilizando `curl` y procesar la respuesta estructurada en JSON con `jq`.
```bash
# Definir la dirección de Bitcoin a investigar (ejemplo de dirección sospechosa)
DIRECCION_BTC="1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa"
# Consultar el saldo, historial y transacciones de la dirección usando la API de Blockstream
curl -s "[https://blockstream.info/api/address/$](https://blockstream.info/api/address/$){DIRECCION_BTC}" | jq '.'
# Extraer únicamente el listado de los identificadores de transacción (TXIDs) asociados
curl -s "[https://blockstream.info/api/address/$](https://blockstream.info/api/address/$){DIRECCION_BTC}/txs" | jq '.[].txid'
Al inspeccionar un TXID (Transaction ID), el analista debe aplicar las siguientes reglas heurísticas:
- UTXO (Unspent Transaction Output): Bitcoin no funciona con "saldos de cuenta", sino con salidas no gastadas. Si tienes 1 BTC y quieres enviar 0.1 BTC, la red crea una transacción que envía 0.1 BTC al destinatario y genera una "dirección de cambio" (Change Address) que te devuelve los 0.9 BTC restantes a ti. El analista debe aprender a identificar cuál de las direcciones de salida es el cambio para no seguir el rastro equivocado.
- Heurística de Co-gasto (Common Input Heuristic): Si una transacción tiene múltiples direcciones de entrada (Inputs), significa que todas esas direcciones pertenecen al mismo individuo o entidad, ya que se requirieron sus claves privadas simultáneamente para firmar la transacción. Esto permite agrupar (clustering) cientos de direcciones bajo un mismo sospechoso.
Cuando los cibercriminales quieren romper la trazabilidad de la blockchain, recurren a servicios de mezcla.
CoinJoin es un protocolo descentralizado donde múltiples usuarios (por ejemplo, 100 usuarios) se coordinan para crear una única transacción masiva.
- Entradas (Inputs): 100 direcciones diferentes con montos variados.
- Salidas (Outputs): 100 direcciones nuevas, pero todas reciben exactamente la misma cantidad estándar (por ejemplo, exactamente 0.1 BTC).
Esto destruye el análisis matemático de vinculación, ya que es criptográficamente imposible determinar matemáticamente cuál de las 100 direcciones de entrada se corresponde con cuál de las 100 direcciones de salida.
Frente a un Mixer o CoinJoin, el analista de DARKINT aplica técnicas avanzadas:
- Análisis de Tarifas (Fee Analysis): Los servicios de mezcla comerciales cobran una comisión fija o porcentual. Rastrear anomalías en los montos (pequeñas fracciones de Bitcoin que faltan o van a una dirección inusual) puede revelar las billeteras de los administradores del servicio.
- Demora Temporal (Timing Attacks): Muchos criminales automatizan la mezcla pero retiran los fondos casi inmediatamente. Analizar la proximidad temporal entre la entrada al mixer y las salidas en bloques subsiguientes de la blockchain puede restablecer enlaces de probabilidad alta.
Debido a la trazabilidad de Bitcoin, el crimen organizado en la Dark Web exige de forma casi exclusiva pagos en Monero (XMR). Monero aplica criptografía avanzada a nivel de protocolo para ocultar el emisor, el receptor y la cantidad en todas las transacciones de forma obligatoria.
| Tecnología | Componente Ocultado | Mecanismo Criptográfico |
|---|---|---|
| Ring Signatures | El Emisor (Quién envía) | Mezcla la clave pública del emisor real con llaves señuelo extraídas aleatoriamente de transacciones pasadas de la blockchain. |
| Stealth Addresses | El Receptor (Quién recibe) | El emisor crea una dirección pública temporal (one-time address) en la blockchain. Solo la clave privada del receptor puede detectar que esos fondos le pertenecen. |
| RingCT (Confidential Transactions) | El Monto (Cuánto se envía) | Utiliza compromisos de Pedersen (Pedersen Commitments) para demostrar matemáticamente que la suma de las entradas es igual a la suma de las salidas sin revelar los números reales. |
Aunque la blockchain de Monero es opaca por fuera, un analista de inteligencia puede realizar auditorías legítimas o avanzar en investigaciones criminales mediante los siguientes recursos técnicos:
- Llave de Vista Privada (Private View Key): Monero separa la llave de gasto de la llave de vista. Si un juez o un auditor corporativo obtiene la View Key de una billetera, puede descifrar todas las transacciones entrantes de esa dirección para verificar flujos de dinero o ingresos de ransomware, sin posibilidad de gastar los fondos.
- Análisis de Nodos en la Red (Ataque Sybil de Red): Agencias de inteligencia e investigadores despliegan miles de nodos maliciosos dentro de la red P2P de Monero. Al controlar una gran parte de los nodos por donde se retransmiten las transacciones antes de ser minadas, pueden intentar registrar la dirección IP de origen desde donde se emitió originalmente el paquete de datos, atacando el anonimato a nivel de red, no de criptografía.
Para tus investigaciones de guerrilla, estas son las herramientas gratuitas que debes desplegar en tu laboratorio:
Para evitar que los exploradores comerciales (como Blockchain.com) registren tu dirección IP de investigación al buscar transacciones sospechosas, clona y despliega un explorador local:
# Clonar un explorador ligero y respetuoso con la privacidad (ej. Mempool Space)
git clone [https://github.com/mempool/mempool.git](https://github.com/mempool/mempool.git)
cd mempool
# Desplegar localmente usando Docker para auditar transacciones de forma 100% privada
docker-compose up -d- Instala la versión comunitaria de Maltego.
- Instala las extensiones (Transforms) gratuitas de criptomonedas (como Tatum o Blockchain transforms).
- Añade una entidad tipo "Cryptocurrency Address" con la dirección de la víctima. Ejecuta las transforms para graficar visualmente hacia qué otras billeteras fluyeron los fondos de forma automática, identificando visualmente si el dinero termina en una casa de cambio (Exchange).
***