Investigadores españoles realizan la mayor radiografía de la red Tor para destapar la realidad oculta tras los servicios de la Dark Web

Un estudio liderado por científicos de IMDEA Networks y de la Universidad Carlos III de Madrid (UC3M) analiza por primera vez a gran escala la volatilidad, contenido e infraestructura real de las páginas ocultas de la denominada Dark Web (o internet oscura). Este trabajo ha sido uno de los galardonados en los Premios de Investigación de la Fundación Policía Española 2025-2026, que reconocen aquellos trabajos científicos que contribuyen a garantizar la seguridad de las personas y a la defensa de las libertades y derechos de la ciudadanía.

La Dark Web es el contenido de la World Wide Web que existe en darknets, redes que se superponen a la internet pública y requieren de un software específico y configuraciones o autorización para acceder, como es el caso de Tor. Tradicionalmente esta red ha sido objeto de mitos, misterios y escrutinio por parte de autoridades y de la opinión pública. Sin embargo, ¿qué hay realmente detrás de los dominios ocultos .onion? Este equipo de investigadores del Departamento de Informática de la UC3M y de IMDEA Networks ha arrojado luz sobre este rincón digital mediante su estudio publicado en la revista científica IEEE Transactions on Information Forensics and Security, titulado: «Snorkeling in Dark Waters: A Longitudinal Surface Exploration of Unique Tor Hidden Services» (Buceando en aguas oscuras: una exploración superficial y longitudinal de servicios ocultos únicos en Tor).

El trabajo representa una de las mayores radiografías jamás realizadas sobre el comportamiento real de esta red. A través de un análisis continuo y sistemático a lo largo de varios meses, los ingenieros informáticos Alfonso Rodríguez Barredo-Valenzuela, Sergio Pastrana y Guillermo Suárez-Tangil consiguieron monitorizar y clasificar de forma automatizada miles de páginas web ocultas, desmontando algunas de las creencias más extendidas sobre su tamaño y persistencia.

Una red efímera y más pequeña de lo estimado en otros trabajos

Frente a la narrativa habitual que describe la Dark Web como un océano infinito e incontrolable de actividades delictivas, los resultados demuestran que el ecosistema real está sobrepoblado de réplicas de sitios .onion, y es sumamente inestable. Los investigadores destacan que una gran parte de los servicios ocultos que se crean en Tor desaparecen al poco tiempo de nacer. “Esta volatilidad o carácter efímero probablemente responde tanto a cuestiones técnicas como a una alta rotación de dominios para evadir una persecución policial”, señala Guillermo Suárez-Tangil, profesor e investigador en IMDEA Networks.

Para lograr este mapeo, el equipo desarrolló una infraestructura de monitorización a la que bautizaron como “Mimir”, en alusión al guardián del pozo de la sabiduría de la mitología nórdica. Gracias a esta herramienta, pudieron analizar no solo el contenido textual e imágenes de los sitios, sino también variables clave como sus certificados de seguridad, tecnologías de servidor empleadas y la coincidencia de infraestructuras en el ecosistema tradicional de internet.

“Hemos conseguido llegar a sitios de la Dark Web que no son fácilmente accesibles gracias al uso de una herramienta especial que ha estado haciendo crawling (rastreo de sitios web) y recogiendo datos durante varios meses. Gracias al uso de técnicas de clasificación con Machine Learning, hemos podido entender un poco más el contenido servido en esos sitios de forma semi-automática, llegando incluso a detectar varios sitios dedicados al tráfico de contenido sexual de menores”, indica otro de los autores, Sergio Pastrana, del Grupo de Seguridad de las Tecnologías de la Información y las Comunicaciones (COSEC) del Dpto. de Informática de la UC3M.

Ciberdelincuencia frente a libertad de expresión

Uno de los principales valores del estudio radica en la taxonomía detallada sobre los usos de Tor. Aunque esta red nació con el propósito de garantizar el anonimato de activistas, periodistas y ciudadanos bajo regímenes opresivos, esta investigación constata una dualidad compleja. Por un lado, revela un volumen significativo de portales dedicados a mercados negros (venta de estupefacientes, armas y datos filtrados), fraudes financieros y foros de cibercrimen. Pero por otro lado, el estudio también subraya la presencia de réplicas de medios de comunicación legítimos, plataformas de comunicación segura y herramientas de privacidad que justifican la importancia de preservar este protocolo de red frente a los intentos de censura global.

Este trabajo que ayuda a entender un poco mejor la estructura y contenidos de la Dark Web también resulta de ayuda a las fuerzas y cuerpos de seguridad del Estado. De hecho, los investigadores ya han reportado todo el contenido ilegal sobre páginas sexuales de menores a la Policía Nacional (varias de las cuales eran desconocidas) y se han reunido con ellos para mantener la colaboración. Asimismo, en un trabajo posterior en el que se utilizó esta herramienta, se logró identificar patrones comunes en la configuración de los servidores de la Dark Web y destapar cómo muchos servicios ocultos cometen «errores» que exponen sus verdaderas direcciones IP o servidores comerciales físicos, la investigación abre nuevas vías para combatir de forma más eficiente el cibercrimen organizado a nivel global.

“Comprender qué hay en las profundidades de internet y cómo podemos llegar hasta ello y analizarlo es un elemento clave para nuestra seguridad. En definitiva, lo primero que se necesita a la hora de proteger a las personas es disponer de la información y el conocimiento necesarios para poder tomar las decisiones adecuadas. Por eso creamos a Mimir”, concluye Alfonso Rodríguez, estudiante de doctorado en IMDEA Networks y en la UC3M, y autor del trabajo.