Los administradores del mayor foro de habla inglesa en TOR1 comenzaron un nuevo proyecto para los delincuentes de la Darknet. El 2 de marzo lanzaron un nuevo motor de búsqueda de R. (algo así como Google) que permite a los usuarios buscar mercancía ilegal de muchos Mercados de la Darknet a la vez. Como resultado, la información ilícita será mucho más fácil de encontrar para cualquier ciberdelincuente.
Una breve explicación para los principiantes de la Darknet: La Darknet no se parece a la web clara. No tiene una página principal como Google o Bing que permita buscar en todo el espacio de la darknet. Para llegar a cualquier sitio web, es necesario conocer el enlace o la dirección exacta. Hay foros que pueden guiarte por la darknet, pero para entrar en ellos necesitas saber que existen en primer lugar. Por eso se ha intentado crear un motor de búsqueda propio que facilite la investigación de actividades ilegales. Por supuesto, comparar Google con los motores de búsqueda de R. es una gran simplificación. Con Google podemos buscar en casi toda Clearnet mientras que con R. search sólo podemos explorar los mercados de la darknet (DNM) en TOR y ni siquiera todos.
Casi como Google
La idea de un buscador de mercados de la darknet (DNM) en el que se pueden explorar ofertas de varias tiendas no es nueva. Lo que es único esta vez son las personas que están detrás. Se trata de un equipo de administradores y moderadores de «D. forum» – el mayor foro de discusión en la esfera de lengua inglesa de TOR, lanzado en febrero de 2018 como respuesta a la nueva prohibición de temas relacionados con la Darknet en Reddit. D. se convirtió en uno de los principales centros de información sobre TOR. Así que cada vez que buscas opiniones sobre DNM, vendedores específicos de DNM, nuevos métodos de fraude o simplemente no sabes dónde comprar algo, ese foro es el primer lugar al que acuden muchos usuarios de la Darknet. También se aplica a los que buscan tutoriales sobre cómo cometer fraudes, nuevos servicios en DNM, últimos acontecimientos en la Darknet o cualquier cosa relacionada con ella, fraudes, drogas o cualquier otra actividad ilícita. En este foro, hay muchas secciones, que son claramente sobre una actividad ilegal como Fraude, Carding, Recursos para el fraude, Falsificación, Mercados Oscuros, DNI falso, Dinero falso, LSD, Fabricación de drogas, Malware, Hacking, etc.
Cada gran DNM y cada tipo popular de fraude y droga tiene su propia sección. Además, hay secciones para países concretos, criptodivisas y sitios web populares de TOR. Sólo están prohibidos los temas relacionados con la pedofilia, el proterrorismo, los venenos, el armamento y los asesinatos. Por lo demás, la libertad de expresión es total.
Ejemplos de los subforos más populares del foro D. Fraude, carding, hacking son algunos de los más populares. Dream Market, Cryptonia y NightMare Market son ya DNMs muertos.
Los creadores del foro D. ya son uno de los vendedores más influyentes en la parte de habla inglesa de TOR y tienen la reputación. Es por eso que la apertura de la búsqueda R. podría darles un nuevo papel. Para subrayar la conexión entre el respetado foro, R. search requiere iniciar sesión desde D. forum para registrarse en R. search. Esto es incluso obligatorio si eres un vendedor de DNM y quieres actualizar la información sobre ti en R. search. No hay información sobre si el motor de búsqueda de R. recoge información sobre las búsquedas de los usuarios y sus preferencias. Como todos sabemos, Google utiliza el historial de búsqueda para elaborar un perfil de los internautas. ¿Y si el equipo de D. puede hacer la misma función, y perfilar cuáles de sus usuarios están interesados en qué tipo de cosas ilegales? Podría haber muchas herramientas para obtener más información sobre los usuarios de la Darknet que desean permanecer en el anonimato.
El aspecto de R. search
R. search tiene un aspecto muy agradable (en comparación con otros sitios web de la Darknet) y es fácil de usar. Tiene características básicas de filtro, incluyendo: precio mínimo y máximo, país de envío, mercados de la Darknet. En el momento de escribir este artículo, el motor de búsqueda de R. indexaba 23,7 mil vendedores, 61 mil listados (es lo que llamamos ofertas en DNM) y 1,3 millones de reseñas de usuarios de DNM. Actualmente, el buscador R. contiene sólo 6 DNM activos más los datos de archivo sobre los DNM que ya han desaparecido. Lo crucial es cómo se añaden los nuevos DNM y quién decide al respecto. El equipo del foro D. quiere crear una base de datos con sólo vendedores de DNM fiables, sin estafadores. Por supuesto, es su propia decisión qué DNM son lo suficientemente fiables para ser añadidos a la base de datos y cuáles no. Gracias a ello, el papel del grupo en la infosfera de la Darknet es cada vez más importante.
Sitio principal del nuevo buscador de R.
Una característica importante: R. search tiene en su base de datos también datos archivados de DNMs ya cerrados. Los mercados en la Darknet suben y bajan, y los vendedores a menudo tienen que migrar de un lugar a otro. Sus estadísticas de mercado no suelen aparecer en el nuevo lugar y los compradores tienen que confiar en las palabras de los vendedores de que son dignos de confianza, fiables, etc. Gracias a R. search los compradores pueden comprobar la reputación de los vendedores en los antiguos DNM. R. search tiene un tipo de motor de búsqueda muy interesante en el que se pueden encontrar vendedores por su huella digital PGP o su clave pública PGP2. Gracias a eso, cuando alguien dice ser el Sr. X y tuvo grandes puntuaciones en DNM’s que ya están muertos, se puede comprobar si el Sr. X en estos DNM’s muertos tenía la misma PGP Key. La clave PGP es la principal forma de autentificación de los usuarios de la Darknet.
*Lista de DNM muertos que se añadieron a la base de datos de búsqueda de R. *
Otros buscadores en la Darknet
Como escribí al principio, R. search no es el primer buscador en TOR. El primero bien reconocible fue Grams. Funcionó desde 2014 hasta finales de 2017. Grams era muy conocido y valorado por la comunidad de TOR. El sitio web estaba vinculado al mezclador de criptomonedas Helix, y debido a eso su creador fue acusado de conspiración de lavado de dinero por un tribunal estadounidense en el último mes.
Así se veía Grams. Te resulta familiar?
En noviembre de 2019, un nuevo buscador de TOR llamado K. comenzó su andadura. Su nombre y características de filtro son similares a Grams. Sus propietarios también pusieron en marcha su propio mezclador de criptomonedas, que recuerda aún más al modus operandi de Grams. La principal ventaja que tiene K. sobre R. search es que K. indexa no sólo el DNM, sino también los foros (556 mil mensajes de 6 foros) en TOR. K. también ha indexado más listados que R. (66,5 mil), pero muchos menos vendedores (2,9 mil) y reseñas (257 mil). K. ha indexado 7 DNM – 1 más que la búsqueda de R.
*Estadísticas, filtros de búsqueda y noticias en la web del buscador K. Los observadores perspicaces encontrarán los mensajes al grupo de «personas» que más odian los ladrones de la Darknet. No son policías. *
¿Y si las Fuerzas de Seguridad están detrás de todo esto?
Puede parecer una teoría de la conspiración, pero desde septiembre de 2019 muchos usuarios de TOR han limitado su confianza en el foro D. y su principal administrador – HugBunter. Desde principios de 2019 el foro D. está bajo ataques DDoS3 y debido a eso, el foro D. a veces no estaba disponible. Durante el mes de septiembre, D. forum estuvo fuera de servicio por mantenimiento durante más de una semana, cuando se activó el deadman switch de HugBunter. Un interruptor de hombre muerto es un tipo de sistema de seguridad configurado por cada individuo para notificar a personas elegidas después de una ausencia inusualmente larga. Por ejemplo, en el pasado, Edward Snowden y las cosas de Wikileaks lo utilizaron para asegurarse de que ciertos archivos se enviarán a ciertos correos electrónicos si, por alguna razón, no podrán hacer algo (como iniciar sesión en algún portal)4. En el caso de HugBunter no se comunicó con nadie durante 3 días, mientras que en el pasado se mantuvo en silencio durante 1 día, como máximo. Un detalle crucial aquí es el hecho de que desapareció al mismo tiempo que cuando el foro de D. estaba caído y ocurrieron muchas cosas alarmantes en TOR (más sobre esto abajo). Según otros administradores y moderadores, ese fue el primer caso de tal situación. Algunos delincuentes y portales de Internet anunciaron la muerte de D. forum.
HugBunter volvió y lanzó D. forum el 1 de octubre y dijo que tuvo algunos problemas, pero que todo está bien ahora y que el foro volvió con nuevas características. Claramente ignoró el revuelo que había causado su cambio de Deadman. Tenemos que enfatizar que todo eso ocurrió durante la época más dura para la sociedad de la Darknet y había muchas razones para que todos los delincuentes estuvieran alerta. A principios de septiembre el administrador principal de otro foro TOR desapareció, cuando volvió no tenía acceso a su propia PGP Key y no pudo autorizarse. El 22 de septiembre, Berlusconi Market, uno de los DNM en inglés más antiguos en ese momento, fue incautado por las fuerzas del orden de Italia. En noviembre desapareció el administrador de Samsara Market, un DNM que había aparecido unos meses antes y que decía ser el sucesor de Dream Market. Dream Market era el mayor DNM hasta marzo de 2019 y casi nadie creía que Samsara estuviera relacionado con ellos. Además, en noviembre de 2019 Cryptonia Market, DNM considerado el más seguro de usar por sus características de seguridad, dejó de funcionar por razones desconocidas.
A finales de noviembre, el administrador del portal, ampliamente respetado, declaró que ya no confiaba en el equipo del foro D. Como escribió en el siguiente mensaje: «Mucha gente de aquí es objetivo de las Fuerzas de Seguridad (LE). Pero es muy inusual seguir confiando en un objetivo LE conocido después de una desaparición prolongada e imprevista. Una que desencadenó un «interruptor de hombre muerto» no anunciado previamente, entregando el control del servidor a un París que nadie conoce ni tiene razones sanas para confiar. A continuación, desaparecen al menos tres mercados, todos al final del año: Temporada de caza de criptomercados». La discusión posterior en TOR se calmó. Muchos ladrones todavía no están seguros del equipo de D. forum. El futuro mostrará de qué lado de «la Fuerza» están.
Objetivo nº 1 a interceptar
Desde el punto de vista de las fuerzas del orden, D. forum debería ser el objetivo nº 1 a interceptar. En este momento, su papel como principal centro de información es mucho más importante para los usuarios de la Darknet que el papel de cualquier DNM, especialmente para los usuarios de baja y media experiencia. El tiempo de vida de cada DNM es limitado y debido a este carácter empresarial cada uno de ellos acabará haciendo una estafa de salida o será incautado por las fuerzas del orden. Especialmente en el último año la rotación de DNM’s aumentó. Por el contrario, D. forum parece más estable, fiable y seguro. Además, el personal de D. forum no vende oficialmente ningún producto ilícito, por lo que puede considerarse un objetivo menos atractivo para las fuerzas del orden. Pero sí venden anuncios a vendedores de la Darknet y esto puede ser motivo de una acusación de blanqueo de dinero. De hecho, un caso similar ocurrió en el caso de deepdotweb.com, donde los propietarios del portal fueron acusados de conspiración de lavado de dinero por dichos anuncios.
Reglas para los anuncios en el foro D. Pago sólo en Bitcoins.
Para las fuerzas de seguridad interceptar y gestionar un centro de información de este tipo conectado con un buscador de DNM tendría muchas ventajas: decidir quién es fiable, qué método de fraude funciona, vigilancia de los usuarios y su comunicación, encontrar a los delincuentes más activos, creación de tendencias falsas, difusión de desinformación y muchas más. No hay pruebas fehacientes de que se haya producido tal interceptación, pero seguro que el foro D. y el motor de búsqueda R. están en la lista de objetivos de las fuerzas del orden. Hasta que aparezcan dichas pruebas o las fuerzas del orden las incauten, cada vez más usuarios de TOR utilizarán estos servicios y se guiarán por ellos.
Para ver mi último artículo sobre el estado de la darknet, consulte mi artículo sobre «¿La inestabilidad en los mercados de la darknet en inglés abrirá la puerta a Hydra?» en about-fraud.com.
-
El Onion Router (TOR) es un protocolo seguro y encriptado para garantizar la privacidad de los datos y las comunicaciones en la web. Utiliza una serie de nodos en capas para ocultar la dirección IP, los datos en línea y el historial de navegación. Desarrollado originalmente por el gobierno de Estados Unidos, en la actualidad se considera un sistema peligroso que a menudo se utiliza con fines ilegales o poco éticos. Existen otras redes encriptadas similares a TOR y todas ellas forman la Darknet.
-
Pretty Good Privacy (PGP) es un popular programa utilizado para encriptar y desencriptar el correo electrónico a través de Internet, así como para autenticar mensajes con firmas digitales y archivos almacenados encriptados.
-
El ataque de denegación de servicio distribuido (DDoS) es un intento de hacer que un servicio en línea no esté disponible abrumándolo con tráfico de múltiples fuentes. Fuente: www.digitalattackmap.com/understanding-ddos/
-
Descripción más detallada del interruptor deadman de HugBunter: «HugBunter compró un servidor barato, se puso un script para enviar un correo electrónico a cada moderador del foro D. si no se hizo ningún inicio de sesión en ese servidor en X cantidad de días. Hug instruyó (durante un tiempo en el que no estaba comprometido) a su personal para que publicaran este mensaje sin falta si alguna vez recibían este email/alerta, ese era su deber y Paris (otro administrador del foro de D.) lo cumplió. Se podrían haber puesto en marcha múltiples sistemas de este tipo, pero el proceso es sencillo; si no se da un paso en un determinado periodo de tiempo el interruptor se apagaría. No hay manera de activar un interruptor de hombre muerto. Está todo predefinido con las variables que haya, la única forma de evitar que dicho interruptor se apague sería borrando el sistema o cumpliendo el requisito establecido para retrasar o evitar que se apague.»