Entré a la dark web y NO es lo que crees.
No es un lugar oscuro con fondo negro y letras verdes como en las películas. No es un universo paralelo de internet donde los hackers en capucha negra teclean furiosamente mientras música electrónica suena de fondo. No es un lugar inaccesible que requiera conocimientos de programación avanzada o herramientas secretas del gobierno. No es lo que Netflix te vendió. No es lo que el youtuber que «exploró la dark web» te mostró con efectos de sonido dramáticos y un rectángulo negro cubriendo la mitad de la pantalla.
Es un navegador. Tor. Lo descargas de torproject.org. Lo instalas como cualquier otro programa. Lo abres. Escribes una dirección que termina en .onion en lugar de .com. Y ya estás en la dark web.
Así de simple. Así de anticlimático. Así de real.
Y lo que encuentras ahí dentro no es terror cinematográfico. Es comercio. Es un mercado. Un mercado eficiente, organizado, con reseñas de compradores, con garantías de satisfacción, con soporte al cliente, con sistemas de escrow para proteger las transacciones. Es Amazon, pero para cosas que no deberían venderse. Y entre esas cosas que se venden, con una regularidad que debería quitar el sueño a cualquier CISO en México, están las credenciales de tu empresa.
Llevo 17 años en ciberseguridad. He investigado foros underground. He analizado filtraciones de datos. He rastreado credenciales corporativas mexicanas en mercados de la dark web como parte de investigaciones forenses para clientes de Duriva. Y lo que voy a documentar en este artículo no es sensacionalismo. Es lo que está pasando, documentado, verificado y con implicaciones directas para la seguridad de las empresas mexicanas.
Surface, Deep y Dark: aclaremos los términos
Antes de hablar de lo que encontré, necesito aclarar los términos. Porque la confusión entre deep web y dark web es uno de los mitos más persistentes y más dañinos del discurso público sobre ciberseguridad.
Surface Web (Web superficial)
Es lo que Google indexa. Las páginas web que encuentras cuando buscas algo en Google, Bing, DuckDuckGo o cualquier motor de búsqueda. Sitios de noticias. Tiendas en línea. Redes sociales. Blogs. Páginas de gobierno. Todo lo que un crawler puede encontrar, indexar y presentar en resultados de búsqueda.
La surface web es una fracción minúscula de internet. Las estimaciones varían, pero la mayoría de los investigadores coinciden en que la surface web representa entre el 4% y el 10% del contenido total de internet. El resto — la inmensa mayoría — es la deep web.
Deep Web (Web profunda)
Aquí es donde el mito necesita morir.
La deep web no es un lugar peligroso. No es un mercado de drogas. No es un foro de hackers. No es nada siniestro. La deep web es, simplemente, todo el contenido de internet que no está indexado por los motores de búsqueda.
Tu bandeja de entrada de Gmail es deep web. El portal de banca en línea de tu banco es deep web. Tu expediente médico en el sistema del IMSS es deep web. La base de datos de tu empresa a la que accedes a través de la VPN es deep web. Tu cuenta de Netflix es deep web. Cualquier página que requiera autenticación o que no permita la indexación por motores de búsqueda es, por definición, deep web.
La deep web es el 90% de internet. Y la usas todos los días sin saberlo.
Cuando alguien dice «encontraron datos en la deep web» con tono alarmante, lo que realmente dice es «encontraron datos en una página que Google no indexa.» Lo cual incluye, literalmente, cada correo electrónico que has recibido en tu vida.
Dark Web (Web oscura)
La dark web es una porción específica de la deep web que requiere software especial para acceder. No se accede con Chrome o Firefox. Se accede con navegadores diseñados para redes overlay — redes que operan «encima» de internet pero con capas adicionales de anonimato.
La más conocida es la red Tor (The Onion Router). Tor funciona enrutando tu tráfico de internet a través de múltiples nodos (relays) en todo el mundo, cifrando el tráfico en capas — como las capas de una cebolla, de ahí el nombre. Cada nodo solo conoce al nodo anterior y al siguiente, pero ninguno conoce el origen y el destino final de la comunicación. El resultado es que tu dirección IP real queda oculta, tanto para el sitio que visitas como para cualquier observador que monitoree la red.
Los sitios en la red Tor usan dominios .onion. No los puedes acceder con un navegador normal. No aparecen en Google. No tienen registro WHOIS. Y la identidad de quien los opera está protegida por las mismas capas de anonimato que protegen a quien los visita.
Tor no fue creado para actividades ilegales. Fue desarrollado originalmente por el Laboratorio de Investigación Naval de los Estados Unidos para proteger las comunicaciones de inteligencia. Hoy es usado por periodistas en países con censura, por activistas en regímenes autoritarios, por investigadores de seguridad y, sí, también por criminales. Tor es una herramienta. Como un cuchillo, como un auto, como internet mismo — el uso determina la ética, no la herramienta.
Existen otras redes dark web además de Tor: I2P, Freenet, ZeroNet. Pero Tor es, por mucho, la más utilizada y la que aloja la mayor cantidad de mercados y foros relevantes para la ciberseguridad corporativa.
Lo que realmente hay en la dark web: comercio, no terror
Voy a desmitificar la dark web con un enfoque que le sirva al empresario, al CISO y al abogado.
La dark web es, fundamentalmente, un mercado. Un mercado con la misma lógica económica que cualquier otro mercado: hay compradores, hay vendedores, hay oferta, hay demanda, hay precios determinados por la escasez y la utilidad del producto, hay mecanismos de reputación para generar confianza entre partes anónimas y hay infraestructura de pagos (criptomonedas, principalmente Bitcoin y Monero) que permite transacciones sin intermediarios financieros tradicionales.
Lo que se vende en los mercados de la dark web relevantes para la ciberseguridad corporativa incluye:
Credenciales de acceso. Usuarios y contraseñas de servicios corporativos. Cuentas de correo electrónico. Accesos VPN. Credenciales de paneles de administración. Tokens de sesión. Cookies de autenticación. Todo lo que un atacante necesita para entrar a tu empresa sin hackear nada — simplemente comprando el acceso.
Bases de datos filtradas. Bases de datos completas de empresas que fueron vulneradas. Con nombres, correos, contraseñas (hasheadas o en texto plano), números de tarjeta, direcciones, teléfonos. Se venden por lotes. El precio depende de la frescura (cuándo ocurrió la filtración), la calidad (si las contraseñas están en texto plano o hasheadas) y el tamaño (cuántos registros contiene).
Acceso inicial a redes corporativas. Esto es particularmente relevante y particularmente perturbador. Hay vendedores especializados — conocidos como Initial Access Brokers (IABs) — cuyo negocio es penetrar redes corporativas, establecer un punto de acceso persistente y vender ese acceso al mejor postor. No ejecutan el ataque final. No despliegan ransomware. No roban datos. Solo venden la puerta abierta. El comprador — que puede ser un grupo de ransomware, un competidor, un gobierno, un grupo de espionaje industrial — decide qué hacer una vez adentro.
Hemos encontrado en investigaciones de Duriva accesos a redes corporativas mexicanas a la venta en foros underground. Con precios. Con descripciones del tipo de acceso (VPN, RDP, Citrix, webshell). Con información sobre la empresa víctima (industria, tamaño, país, facturación estimada). Es un catálogo. Es un menú. Y las empresas mexicanas están en él.
Documentos de identidad falsificados. INE, pasaportes, licencias de conducir, comprobantes de domicilio. Generados con datos reales obtenidos de filtraciones. Algunos son documentos físicos enviados por correo; otros son documentos digitales diseñados para pasar las verificaciones KYC (Know Your Customer) de bancos y fintechs.
Herramientas de ataque. Exploits, malware, ransomware-as-a-service (RaaS), kits de phishing, paneles de command and control. Un atacante sin conocimiento técnico puede comprar un kit de phishing llave en mano, con página falsa, servidor de captura de credenciales, plantillas de correo y manual de instrucciones, por unos cientos de dólares.
Datos financieros. Números de tarjeta de crédito, datos de cuentas bancarias, accesos a banca en línea. Clasificados por país, por banco, por tipo de cuenta, por saldo estimado. Los datos de tarjetas de crédito mexicanas tienen precios establecidos que varían según el tipo de tarjeta (débito, crédito, premium), el banco emisor y la cantidad de información disponible (solo número vs. fullz — paquete completo con nombre, dirección, CVV, fecha de vencimiento).
Credenciales corporativas mexicanas en la dark web: lo que encontramos
En investigaciones que Duriva ha realizado para clientes corporativos como parte de evaluaciones de riesgo digital, hemos monitoreado foros y mercados de la dark web buscando específicamente información relacionada con las empresas que nos contrataron.
Los hallazgos son consistentes y preocupantes.
Credenciales de correo corporativo
En cada investigación — cada una, sin excepción — encontramos credenciales de correo electrónico corporativo del cliente en al menos una base de datos filtrada. Correos del tipo nombre@empresa.com.mx con contraseñas asociadas.
La mayoría de estas credenciales provienen de filtraciones de servicios de terceros. Un empleado usó su correo corporativo para registrarse en LinkedIn, en Adobe, en Dropbox, en cualquier servicio que después fue vulnerado. La filtración del servicio de terceros expuso el correo y la contraseña. Si el empleado usaba la misma contraseña para el correo corporativo y para el servicio de terceros — lo cual ocurre con una frecuencia desalentadora –, el atacante tiene acceso al correo corporativo.
Y con acceso al correo corporativo tiene acceso a toda la información que pasa por ese correo: contratos, estados financieros, comunicaciones internas, datos de clientes, datos de proveedores. Tiene la capacidad de enviar correos haciéndose pasar por el empleado. Tiene la capacidad de ejecutar un BEC (Business Email Compromise) — solicitar una transferencia fraudulenta haciéndose pasar por un ejecutivo de la empresa.
Acceso VPN y RDP
En varias investigaciones encontramos credenciales de VPN y de escritorio remoto (RDP) de las empresas a la venta en foros de Initial Access Brokers. Los anuncios incluían información como: «Acceso VPN a empresa mexicana del sector manufacturero, facturación estimada $X millones USD, acceso nivel usuario con posibilidad de escalamiento de privilegios. Precio: $X USD.»
Esos anuncios son ofertas abiertas. Cualquier comprador con criptomonedas puede adquirir el acceso. Y lo que compra es, literalmente, una puerta abierta a la red interna de la empresa.
En algunos casos, pudimos correlacionar el acceso que se vendía con vulnerabilidades específicas en la infraestructura del cliente — un servidor RDP expuesto a internet sin MFA, una VPN con una vulnerabilidad conocida sin parchear. El IAB había explotado esa vulnerabilidad, había establecido acceso persistente y lo había puesto a la venta. Mientras la empresa operaba normalmente, sin saber que tenía un intruso silencioso que estaba vendiendo la llave de su puerta trasera al mejor postor.
Datos de clientes y empleados
En dos investigaciones encontramos fragmentos de bases de datos de clientes de las empresas a la venta en foros de filtraciones. Los datos incluían nombres, correos, teléfonos, historiales de compra y, en un caso, información financiera parcial.
Las empresas no sabían que habían sido vulneradas. No habían detectado la exfiltración de datos. No habían recibido una nota de ransomware. No habían visto nada anormal en sus sistemas. La primera noticia que tuvieron de que sus datos estaban comprometidos fue nuestro reporte.
Eso es común. La mayoría de las filtraciones de datos no son detectadas por la víctima. Son detectadas por terceros — investigadores de seguridad, fuerzas del orden, periodistas — o, peor, por los clientes cuyos datos fueron expuestos.
El ecosistema underground: cómo funciona el mercado
Para que el CISO entienda contra qué se enfrenta, necesito explicar cómo funciona el ecosistema underground. No como una curiosidad, sino como inteligencia de amenazas aplicable.
Los foros
Los foros de la dark web funcionan como comunidades con reglas, jerarquías y sistemas de reputación. Hay foros generalistas y foros especializados. Hay foros en ruso, en inglés, en español, en chino. Los más grandes y más reputados tienen miles de miembros activos.
Para entrar a algunos foros necesitas una invitación de un miembro existente. Para otros necesitas pagar una cuota de ingreso. Para otros necesitas demostrar que tienes algo que aportar — datos, herramientas, conocimiento.
La reputación en estos foros funciona de manera similar a la reputación en un marketplace legítimo. Un vendedor con historial positivo, con transacciones verificadas, con reseñas de compradores satisfechos, tiene más credibilidad y puede cobrar precios más altos. Un vendedor nuevo, sin historial, tiene que demostrar la calidad de su producto — generalmente ofreciendo muestras gratuitas de datos o accesos para que los compradores verifiquen su autenticidad.
Los mercados
Los mercados de la dark web son plataformas con interfaz web, catálogos de productos, carritos de compra y sistemas de pago. Funcionan exactamente como una tienda en línea, pero los productos son ilegales y los pagos se hacen en criptomonedas.
Los mercados más grandes han sido desmantelados repetidamente por operaciones policiales internacionales — Silk Road en 2013, AlphaBay en 2017, Hansa en 2017, Hydra en 2022, Genesis Market en 2023. Pero cada vez que un mercado cae, otro lo reemplaza. La demanda no desaparece. Solo se muda.
Los canales de Telegram
En los últimos años, una parte significativa del comercio underground se ha movido de la dark web a Telegram. Los canales de Telegram ofrecen varias ventajas sobre los foros .onion: son más rápidos, más fáciles de usar, permiten compartir archivos grandes, tienen grupos con miles de miembros y ofrecen un nivel de anonimato que, si bien no es tan robusto como Tor, es suficiente para muchos operadores criminales.
Hemos encontrado canales de Telegram donde se venden bases de datos de empresas mexicanas, credenciales de acceso, datos de tarjetas de crédito, documentos de identidad falsificados y accesos a redes corporativas. Estos canales operan abiertamente. Cualquiera puede unirse. Cualquiera puede ver el catálogo. Y cualquiera puede comprar.
La migración del underground a Telegram es una tendencia que ha complicado el monitoreo de amenazas, porque la superficie a monitorear se ha expandido dramáticamente. Ya no basta con monitorear foros .onion. Hay que monitorear Telegram, Discord, foros de surface web, pastebins, repositorios de código y decenas de plataformas más donde los datos robados se comparten y se venden.
Monitoreo de dark web: lo que tu empresa debería estar haciendo
CISO que me lee: si tu empresa no está monitoreando la dark web en busca de información relacionada con tu organización, estás volando a ciegas.
No estoy diciendo que tu CISO deba meterse a navegar la dark web personalmente. Estoy diciendo que tu programa de seguridad debería incluir inteligencia de amenazas que contemple el monitoreo de fuentes underground.
Qué se monitorea:
Credenciales corporativas. Se buscan correos del dominio de la empresa en bases de datos filtradas. Cada vez que aparece un correo @tuempresa.com.mx en una filtración, se notifica al equipo de seguridad, se fuerza un cambio de contraseña para el usuario afectado y se verifica si la credencial fue utilizada para acceso no autorizado.
Menciones de la empresa. Se buscan menciones del nombre de la empresa, de sus dominios, de sus direcciones IP, de sus ejecutivos, en foros, mercados y canales underground. Una mención puede indicar que la empresa está siendo investigada por un atacante (reconocimiento), que datos de la empresa están a la venta (filtración) o que un acceso a la red de la empresa está siendo ofrecido (Initial Access Broker).
Datos de clientes. Se buscan datos que coincidan con la base de clientes de la empresa. Si los datos de tus clientes aparecen en un foro de la dark web y tú no lo sabías, tienes un problema doble: uno de seguridad y otro legal, porque la legislación de protección de datos te obliga a notificar a los titulares de los datos cuando hay una filtración.
Infraestructura comprometida. Se buscan indicadores de compromiso (IoCs) asociados a la infraestructura de la empresa. Direcciones IP en listas de botnets. Dominios en listas de phishing. Hashes de malware asociados a la industria o región de la empresa.
Existen servicios comerciales de monitoreo de dark web que automatizan gran parte de este proceso. Los servicios más maduros combinan monitoreo automatizado con análisis humano — equipos de analistas de inteligencia de amenazas que leen foros, monitorean canales, interactúan con el ecosistema underground y contextualizan los hallazgos para el cliente.
En Duriva, el monitoreo de exposición digital es parte de nuestras evaluaciones de seguridad corporativa. No porque seamos paranoicos, sino porque la experiencia nos ha demostrado que, en la mayoría de los casos, la empresa ya está expuesta y no lo sabe. El monitoreo no crea el riesgo. Lo hace visible. Y un riesgo visible es un riesgo gestionable.
Los mitos que necesitan morir
Mito 1: «La dark web es inaccesible para gente normal»
Falso. Descargar Tor toma 3 minutos. Acceder a un sitio .onion toma 10 segundos más que acceder a un sitio .com. No se necesita conocimiento técnico especial. No se necesitan herramientas secretas. Cualquier persona con una computadora y conexión a internet puede acceder a la dark web.
Mito 2: «Todo en la dark web es ilegal»
Falso. Hay sitios de noticias en la dark web (ProPublica tiene un mirror .onion). Hay versiones .onion de servicios legítimos (Facebook tiene uno). Hay foros de discusión sobre privacidad, criptografía y derechos digitales. Hay servicios de correo electrónico anónimo usados por periodistas y activistas.
La dark web es una infraestructura. Parte de lo que se hace en ella es ilegal. Parte no lo es. Como internet en general. Como la calle en general.
Mito 3: «Si entras a la dark web, te van a hackear»
Falso. Navegar la dark web con el navegador Tor, sin descargar archivos, sin ejecutar scripts, sin proporcionar información personal, es tan seguro como navegar la surface web con las mismas precauciones. El navegador Tor está basado en Firefox y tiene medidas de seguridad adicionales.
Dicho esto: si descargas archivos de la dark web, si ejecutas programas descargados de sitios .onion, si proporcionas datos personales en formularios de la dark web, entonces sí estás en riesgo. Pero ese riesgo es el mismo que en cualquier sitio de internet del que no confías.
Mito 4: «La dark web es anónima al 100%»
Falso. Tor proporciona un nivel significativo de anonimato, pero no es perfecto. Agencias de inteligencia y fuerzas del orden han demostrado repetidamente que pueden desanonimizar usuarios de Tor mediante ataques de correlación de tráfico, explotación de vulnerabilidades en el navegador, errores operacionales del usuario y técnicas de investigación tradicional.
Los operadores de mercados de la dark web que han sido arrestados — Ross Ulbricht (Silk Road), Alexandre Cazes (AlphaBay), entre otros — fueron identificados no por romper el anonimato de Tor, sino por errores operacionales: usar un correo personal, dejar rastros en foros de surface web, reutilizar pseudónimos.
Mito 5: «Mi empresa no está en la dark web»
Este es el mito más peligroso. Y es casi siempre falso.
Si tu empresa tiene empleados que usan correo electrónico — y toda empresa los tiene –, es altamente probable que al menos algunos de esos correos aparezcan en bases de datos filtradas que circulan en la dark web. Si tu empresa ha tenido una vulnerabilidad explotada — y la mayoría la ha tenido sin saberlo –, es posible que datos o accesos de tu empresa estén a la venta.
La pregunta no es si tu empresa está en la dark web. La pregunta es qué hay sobre tu empresa en la dark web y quién lo tiene.
El caso corporativo: cuando encontramos al cliente antes de que el cliente nos encontrara
Voy a contar un caso tipo — basado en investigaciones reales, con datos modificados — que ilustra la situación típica.
Un corporativo mexicano del sector financiero contrató a Duriva para una evaluación integral de seguridad. Parte de esa evaluación incluía monitoreo de exposición en dark web.
En las primeras 72 horas de monitoreo, encontramos lo siguiente:
247 credenciales corporativas en bases de datos filtradas. Correos del dominio de la empresa con contraseñas asociadas. La mayoría provenían de filtraciones de LinkedIn (2021), de un servicio de almacenamiento en la nube (2020) y de un foro profesional (2019). 83 de esas contraseñas seguían siendo válidas — los empleados no las habían cambiado después de las filtraciones.
Un anuncio de un Initial Access Broker ofreciendo acceso VPN a «empresa financiera mexicana, 500+ empleados, facturación superior a X millones USD.» La descripción coincidía con el cliente. El precio era de $3,500 USD en Bitcoin. El vendedor tenía reputación establecida en el foro con múltiples transacciones previas verificadas.
Un fragmento de base de datos con información de clientes del corporativo. 12,000 registros con nombres, correos, teléfonos y números de cuenta parciales. El fragmento se había publicado como «muestra» — el vendedor ofrecía la base completa (estimada en 200,000+ registros) por $8,000 USD.
El corporativo no sabía nada de esto. No había detectado la intrusión. No había recibido ninguna alerta de sus herramientas de seguridad. No había recibido ninguna notificación de ninguna fuente. Operaba normalmente, con la confianza de que sus datos estaban seguros, mientras sus credenciales se vendían, su red se ofrecía como acceso y los datos de sus clientes se subastaban.
Cuando presentamos el reporte al comité directivo, el silencio en la sala fue absoluto. No era el silencio de la sorpresa. Era el silencio del reconocimiento de que el problema era mucho más grande de lo que habían imaginado.
Lo que necesita saber cada persona que lee esto
CEO: la dark web no es un concepto abstracto que solo afecta a «otras empresas.» Es un mercado donde tu información corporativa puede estar a la venta en este momento. No porque tu empresa haya sido negligente — aunque puede serlo –, sino porque el ecosistema de cibercrimen es una industria que genera miles de millones de dólares y tu empresa es un objetivo. Pregúntale a tu CISO: ¿estamos monitoreando la dark web? Si la respuesta es no, ya tienes la primera tarea.
CISO: el monitoreo de dark web no es un lujo. Es inteligencia de amenazas básica. Si no sabes qué credenciales de tu organización están filtradas, no puedes forzar cambios de contraseña. Si no sabes que un IAB está vendiendo acceso a tu red, no puedes buscar la intrusión. Si no sabes que los datos de tus clientes están a la venta, no puedes cumplir con tu obligación legal de notificación. El monitoreo te da visibilidad. Y la visibilidad es el prerequisito de la acción.
Abogado corporativo: la existencia de datos de clientes de tu empresa en la dark web tiene implicaciones legales directas bajo la LFPDPPP y la Ley General de Protección de Datos Personales. La empresa tiene obligación de notificar a los titulares de datos cuando ocurre una vulneración de seguridad. Si los datos están en la dark web y la empresa no lo sabe — porque no está monitoreando –, esa ignorancia no la exime de la obligación. La expondrá más cuando la filtración sea descubierta por un tercero y la empresa no pueda demostrar que tomó medidas razonables para detectarla.
Director de finanzas: un acceso VPN a tu red corporativa se vende por $3,500 dólares en la dark web. Lo que un atacante puede hacer con ese acceso — ransomware, robo de datos, fraude financiero — puede costar millones. El monitoreo de dark web es una de las inversiones de seguridad con mejor relación costo-beneficio que puedes hacer.
Empleado que usa su correo corporativo para registrarse en servicios personales: deja de hacerlo. Cada vez que usas tu correo @empresa.com para registrarte en una tienda en línea, en una app de citas, en un foro de entretenimiento, en cualquier servicio que no sea laboral, estás creando un punto de exposición. Cuando ese servicio sea vulnerado — y eventualmente lo será, porque las filtraciones son la norma, no la excepción –, tu correo corporativo y la contraseña que usaste van a terminar en una base de datos que se vende en la dark web. Y si usaste la misma contraseña que usas para el correo corporativo, le acabas de dar a un atacante las llaves de tu empresa.
Entré a la dark web. No es lo que crees. No es un lugar oscuro y misterioso. Es un mercado. Un mercado eficiente, organizado, profesionalizado, con operadores que tratan el cibercrimen como un negocio — porque es un negocio. Un negocio que genera miles de millones de dólares al año y que tiene entre sus productos más vendidos las credenciales, los datos y los accesos de empresas como la tuya.
La dark web no va a desaparecer. Tor no va a desaparecer. Los mercados underground no van a desaparecer. Lo que puede desaparecer — o al menos reducirse — es tu exposición. Si monitoreas. Si actúas. Si entiendes que el hecho de que no veas la amenaza no significa que la amenaza no exista.
Llevo 17 años en esto. He visto credenciales de bancos mexicanos a la venta por menos de lo que cuesta un café. He visto bases de datos de hospitales mexicanos con historiales médicos de miles de pacientes ofrecidas en foros underground. He visto accesos a redes de dependencias gubernamentales mexicanas anunciados con la misma naturalidad con la que se anuncia un departamento en renta.
No lo cuento para generar pánico. Lo cuento para generar acción. Porque la diferencia entre una empresa que es víctima de un ataque que se gestó en la dark web y una que no lo es, casi nunca es la sofisticación de sus defensas. Casi siempre es la visibilidad. La empresa que monitorea, detecta, actúa. La que no monitorea, se entera después. Cuando el daño ya está hecho. Cuando los datos ya se vendieron. Cuando el ransomware ya cifró los servidores. Cuando el comunicado de prensa ya tiene que redactarse.
La dark web es un mercado. Y tu empresa es un producto en ese mercado. La única pregunta es si lo sabes o no.