La dark web suena a película de hackers: un lugar oscuro y misterioso donde los criminales compran y venden datos robados en mercados clandestinos. Y aunque la realidad es algo más matizada que la ficción, la amenaza es absolutamente real. Tus contraseñas, tu email, tu número de teléfono e incluso los datos de tu tarjeta de crédito podrían estar ahora mismo a la venta por menos de lo que cuesta un café.
Según el informe de SpyCloud 2025, circulan más de 25.000 millones de credenciales robadas en la dark web. Y no son datos de famosos ni de directivos de grandes empresas: son datos de personas normales como tú y como yo, obtenidos de filtraciones masivas de servicios como LinkedIn, Facebook, Adobe, Dropbox o cualquier foro donde te registraste en 2012 y olvidaste.
En esta guía te explicamos qué es exactamente la dark web, cómo llegan tus datos ahí, cuánto valen, y lo más importante: cómo comprobar si estás expuesto y qué hacer para protegerte.
🚨 Dato demoledor: el precio medio de una cuenta de email con contraseña en la dark web es de 1-5 dólares. Una identidad digital completa (email, contraseña, nombre, dirección, teléfono, fecha de nacimiento) cuesta entre 10 y 50 dólares. Los datos de tarjeta de crédito se venden desde 5 dólares. Para un criminal, tus datos son una inversión baratísima con un retorno enorme.
📑 Tabla de contenidos
- ¿Qué es la dark web? (Y qué NO es)
- Los 3 niveles de internet
- Qué se vende en la dark web
- Cuánto valen tus datos en el mercado negro
- Cómo llegan tus datos a la dark web
- Cómo comprobar si tus datos están expuestos
- Tus datos están en la dark web: qué hacer
- Cómo protegerte para que no vuelva a pasar
- Preguntas frecuentes
🌐 ¿Qué es la dark web? (Y qué NO es)
La dark web es una parte de internet que no está indexada por buscadores como Google y que requiere software especial (normalmente el navegador Tor) para acceder. Los sitios de la dark web usan direcciones .onion en lugar de .com o .es.
Lo que la dark web SÍ es
- Una red de sitios web accesibles solo a través de Tor u otras redes anónimas
- Un espacio donde el anonimato es la norma (para bien y para mal)
- Usada por periodistas, activistas y disidentes políticos en países con censura para comunicarse de forma segura
- Usada también por criminales para vender datos robados, drogas, armas y servicios ilegales
Lo que la dark web NO es
- ❌ No es lo mismo que la "deep web" (ver siguiente sección)
- ❌ No es ilegal acceder a ella (lo ilegal es lo que hagas dentro)
- ❌ No es un lugar misterioso accesible solo por hackers geniales: cualquiera puede instalar Tor
- ❌ No todo lo que hay es criminal: hay foros legítimos, servicios de mensajería privada y medios de comunicación censurados
💡 Analogía: piensa en internet como un iceberg. La parte visible sobre el agua (Google, redes sociales, webs normales) es la surface web. La parte bajo el agua que no ves pero existe (bases de datos, intranets, emails) es la deep web. Y en lo más profundo y oscuro del fondo, hay una pequeña zona oculta: esa es la dark web.
🧊 Los 3 niveles de internet
| Nivel | Qué es | Tamaño | Acceso | Ejemplo |
|---|---|---|---|---|
| Surface Web | Todo lo que indexa Google | ~5 % de internet | Cualquier navegador | Google, Wikipedia, Amazon, redes sociales |
| Deep Web | Contenido no indexado pero legal | ~90 % de internet | Requiere autenticación | Tu email, tu banca online, intranets, bases de datos académicas |
| Dark Web | Red oculta con anonimato | ~5 % de internet | Requiere Tor / I2P | Mercados clandestinos, foros anónimos, sitios .onion |
💡 Confusión habitual: cuando la gente dice "dark web" muchas veces se refiere a la "deep web". Tu bandeja de email es deep web (no la indexa Google). Un mercado de datos robados es dark web. Son cosas muy diferentes.
🏴☠️ Qué se vende en la dark web
Los mercados de la dark web funcionan como un Amazon del crimen: tienen categorías, valoraciones de vendedores, sistemas de pago (generalmente criptomonedas) e incluso "servicio al cliente". Lo que se vende relacionado con tus datos:
Datos personales y credenciales
- Emails + contraseñas de filtraciones masivas (millones de cuentas en lotes)
- Datos de tarjetas de crédito con nombre, número, fecha y CVV
- Identidades completas (fullz): nombre, dirección, teléfono, DNI, fecha de nacimiento, email
- Cuentas de redes sociales hackeadas (Instagram, Facebook, Twitter)
- Cuentas de streaming (Netflix, Spotify, Disney+) robadas
- Accesos a banca online con saldo verificado
- Documentos falsificados: pasaportes, DNI, carnets de conducir
Herramientas y servicios para atacar
- Malware como servicio (MaaS): alquiler de ransomware, stealers y troyanos
- Kits de phishing: plantillas listas para crear webs falsas de bancos y tiendas
- Botnets: redes de ordenadores infectados que se alquilan para ataques DDoS
- Exploits: vulnerabilidades de software que aún no han sido corregidas (zero-days)
- Servicios de hackeo bajo demanda: "hackea este email" o "ataca esta web"
🚨 Advertencia legal: acceder a la dark web no es ilegal en España. Pero comprar, vender o poseer datos robados, malware, documentos falsificados o cualquier producto/servicio ilegal SÍ es un delito que puede conllevar penas de prisión. Esta guía es puramente informativa para que entiendas los riesgos y te protejas.
💰 Cuánto valen tus datos en el mercado negro
Esto es lo que pagan los criminales por tus datos en 2026. Prepárate para sorprenderte por lo baratos que son:
| Tipo de dato | Precio medio | Riesgo para ti |
|---|---|---|
| Email + contraseña | 1 - 5 $ | 🔴 Acceso a tus cuentas si reutilizas contraseñas |
| Tarjeta de crédito (datos completos) | 5 - 30 $ | 🔴 Compras fraudulentas a tu nombre |
| Cuenta bancaria online con saldo | 50 - 500 $ (según saldo) | 🔴 Vaciado de tu cuenta |
| Identidad completa (fullz) | 10 - 50 $ | 🔴 Suplantación de identidad, préstamos a tu nombre |
| Pasaporte/DNI escaneado | 5 - 25 $ | 🔴 Documentos falsificados |
| Cuenta de Netflix/Spotify | 1 - 3 $ | 🟡 Uso fraudulento, cambio de contraseña |
| Cuenta de Instagram/Facebook | 5 - 25 $ | 🔴 Suplantación, estafas a tus contactos |
| Historial médico | 50 - 250 $ | 🔴 Chantaje, suplantación para recetas |
| Cuenta de PayPal con saldo | 30 - 200 $ | 🔴 Vaciado de fondos |
| Acceso a email corporativo | 100 - 5.000 $ | 🔴 Espionaje industrial, CEO fraud |
💡 Perspectiva: una contraseña tuya vale 1-5 dólares. Pero si esa contraseña la reutilizas en 20 servicios, el criminal acaba de comprar acceso a tu email, tus redes sociales, tu Amazon y potencialmente tu banco por el precio de un café. Por eso la contraseña única es tan importante.
⚡ Tus datos valen más de lo que cuestan en la dark web
Protégelos con contraseñas únicas e imposibles de adivinar para cada cuenta.
🛡️ Generar Contraseña Segura Gratis📤 Cómo llegan tus datos a la dark web
Tus datos no aparecen en la dark web por arte de magia. Estos son los caminos más comunes:
1. Filtraciones masivas de datos 💾
Cuando un servicio como LinkedIn, Adobe, Facebook o Dropbox es hackeado, millones de cuentas se filtran de golpe. Las bases de datos robadas se publican gratuitamente o se venden en la dark web. Las mayores filtraciones de la historia:
| Servicio | Año | Cuentas filtradas |
|---|---|---|
| Yahoo | 2013-2014 | 3.000 millones |
| 2019 | 533 millones | |
| 2021 | 700 millones | |
| Twitter/X | 2023 | 200 millones |
| Adobe | 2013 | 153 millones |
| Dropbox | 2012 | 68 millones |
2. Phishing 🎣
Caes en un email de phishing, introduces tu contraseña en una web falsa, y esas credenciales se venden inmediatamente en la dark web.
3. Malware Infostealer 🦠
Descargas un archivo infectado (software pirata, adjunto de email, app falsa) que instala un programa que roba todas las contraseñas guardadas en tu navegador y las envía al atacante. Luego las vende por lotes en la dark web. Es el mismo malware del que hablamos en nuestro artículo sobre guardar contraseñas en el navegador.
4. Ingeniería social 🎭
Un atacante te manipula psicológicamente para que reveles datos personales, contraseñas o información bancaria.
5. WiFi público no seguro 📡
Conectas a un WiFi público sin protección y un atacante intercepta tus datos de login.
6. Bases de datos expuestas accidentalmente 🗄️
Empresas que dejan bases de datos sin protección en servidores públicos. No es un "hackeo" técnicamente: los datos estaban accesibles para cualquiera que supiera dónde mirar.
🔍 Cómo comprobar si tus datos están en la dark web
Esta es la parte más práctica. Puedes comprobar ahora mismo si tus datos han sido filtrados sin necesidad de acceder a la dark web:
La herramienta más fiable y conocida. Ve a haveibeenpwned.com, introduce tu email y te dirá en qué filtraciones aparece. Creada por el experto en seguridad Troy Hunt, contiene datos de más de 700 brechas y 12.000 millones de cuentas.
Si usas Chrome, ve a passwords.google.com/checkup. Google compara tus contraseñas guardadas con bases de datos de filtraciones conocidas y te avisa si alguna ha sido comprometida.
Ve a monitor.firefox.com. Funciona igual que Have I Been Pwned (de hecho usa sus datos) pero con interfaz de Mozilla. Puedes registrarte para recibir alertas automáticas si tu email aparece en futuras filtraciones.
Gestores como Bitwarden (con la función de informes), 1Password (Watchtower) y Dashlane (Dark Web Monitoring) comprueban automáticamente si tus credenciales guardadas aparecen en filtraciones.
Google puede avisarte si detecta tus datos en la dark web. Ve a tu cuenta de Google → Seguridad → Informe de dark web (disponible para usuarios de Google One o como función gratuita limitada).
✅ Hazlo ahora mismo: ve a haveibeenpwned.com e introduce tu email principal. Te tomará 10 segundos y puede ahorrarte meses de problemas. Si aparece en alguna filtración, sigue leyendo para saber qué hacer.
Para una guía más detallada sobre cómo verificar filtraciones, consulta nuestro artículo dedicado: cómo saber si tu contraseña ha sido filtrada.
🆘 Tus datos están en la dark web: qué hacer paso a paso
Si descubres que tu email o contraseñas aparecen en una filtración, no entres en pánico pero actúa rápido:
Genera una contraseña nueva, fuerte y única para el servicio afectado. Si usabas esa misma contraseña en otros servicios, cámbialas TODAS. Sí, todas. Es tedioso pero necesario.
Activa autenticación en dos factores en todas las cuentas importantes. Esto bloquea el acceso aunque el atacante tenga tu contraseña.
Cambia primero las contraseñas de (en este orden): (1) Email principal → guía email, (2) Banca online, (3) Redes sociales, (4) Amazon/PayPal y compras, (5) Todo lo demás.
Entra en cada cuenta importante y revisa la actividad reciente, sesiones activas y dispositivos conectados. Si ves algo que no reconoces, cierra esas sesiones y reporta el acceso no autorizado.
Si se han filtrado datos financieros, revisa los movimientos de tu banco durante las próximas semanas. Activa alertas de compras con tarjeta. Si ves cargos que no reconoces, contacta con tu banco inmediatamente.
Si no tienes uno, este es el momento. Instala Bitwarden (gratuito) y empieza a generar contraseñas únicas para cada servicio. Es la mejor manera de que una filtración futura no comprometa más de una cuenta.
Regístrate en Have I Been Pwned y Firefox Monitor para recibir un email automático si tu dirección aparece en futuras brechas de datos.
💡 No puedes "eliminar" tus datos de la dark web. Una vez que están ahí, se copian, se redistribuyen y permanecen indefinidamente. Lo que SÍ puedes hacer es inutilizarlos: si cambias todas tus contraseñas por contraseñas únicas, los datos filtrados ya no sirven para acceder a nada. El atacante tiene una llave que ya no abre ninguna puerta.
🔐 Inutiliza los datos filtrados: cambia tus contraseñas
Si tus datos están en la dark web, el paso más importante es generar contraseñas nuevas y únicas para cada cuenta.
⚡ Generar Contraseñas Nuevas🛡️ Cómo protegerte para que no vuelva a pasar
No puedes evitar que una empresa sea hackeada y tus datos se filtren. Pero SÍ puedes minimizar el daño al máximo cuando ocurra (porque ocurrirá):
El escudo anti-dark web: 7 medidas esenciales
Es la medida más importante. Si cada cuenta tiene una contraseña diferente, una filtración solo compromete ESA cuenta. Nunca reutilices contraseñas. Usa un gestor de contraseñas para gestionarlas.
La autenticación en dos factores convierte una contraseña filtrada en inútil: el atacante necesita también tu teléfono.
No uses tu email principal para registrarte en todo. Usa alias ([email protected]) o servicios como SimpleLogin. Así sabrás exactamente qué servicio filtró tu email y tu dirección principal queda protegida.
¿El foro de jardinería necesita tu fecha de nacimiento real, tu dirección y tu teléfono? No. Da la mínima información necesaria al registrarte en servicios no esenciales. Cuantos menos datos tengan, menos pueden filtrar. Consulta nuestra guía para borrar tu huella digital.
Regístrate en Have I Been Pwned y Firefox Monitor para recibir alertas. Configura las alertas de tu gestor de contraseñas. Así te enterarás de filtraciones en horas, no en meses.
Los infostealers las roban en segundos. Usa un gestor dedicado en vez del navegador.
Cada cuenta abandonada es un riesgo latente. Si ya no usas un servicio, elimina la cuenta. Menos cuentas = menos superficie de ataque. Usa justdeleteme.xyz para encontrar cómo eliminar cuentas en cientos de servicios.
✅ La estrategia perfecta: contraseñas únicas + 2FA + alias de email + mínimos datos compartidos. Con estas 4 medidas, una filtración de datos se convierte en un inconveniente menor en vez de un desastre. El atacante tendrá un email alias que no usas para nada más, una contraseña que no sirve en ningún otro sitio, y un 2FA que no puede superar.
❓ Preguntas frecuentes
¿Es ilegal acceder a la dark web?
No. Acceder a la dark web usando Tor es legal en España y en la mayoría de países. Lo que es ilegal es comprar, vender o poseer material ilegal dentro de ella (datos robados, drogas, armas, etc.). Usar Tor para proteger tu privacidad o acceder a información censurada es perfectamente legal.
¿Puedo eliminar mis datos de la dark web?
No, prácticamente es imposible. Una vez que tus datos se publican en la dark web, se copian, redistribuyen y almacenan en múltiples servidores. No hay un botón de "borrar". Lo que SÍ puedes hacer es inutilizar esos datos cambiando contraseñas y activando 2FA.
¿Cómo sé si mi tarjeta de crédito está en la dark web?
Los bancos suelen monitorizar esto por ti. Si tu tarjeta aparece en una filtración, tu banco te avisará y la bloqueará. También puedes activar alertas instantáneas de compras en la app de tu banco para detectar cargos no autorizados al momento.
¿Debería preocuparme si mi email aparece en Have I Been Pwned?
Depende. Si la filtración es antigua y ya cambiaste la contraseña, el riesgo es bajo. Si la filtración es reciente o aún usas la misma contraseña, actúa inmediatamente. Y si esa contraseña la usas en más sitios, cámbialas todas.
¿Los servicios de "monitorización de dark web" de pago valen la pena?
Para la mayoría de usuarios, no son necesarios. Have I Been Pwned + Firefox Monitor + las alertas de tu gestor de contraseñas cubren el 95 % de las necesidades de forma gratuita. Los servicios de pago añaden monitorización de datos como DNI o números de tarjeta, lo cual puede ser útil si has sufrido un robo de identidad.
¿Qué pasa si encuentran mi DNI o pasaporte en la dark web?
El riesgo principal es la suplantación de identidad: alguien podría intentar abrir cuentas bancarias, solicitar préstamos o cometer fraudes a tu nombre. Denuncia ante la policía, contacta con tu banco y monitoriza tu historial crediticio. En España puedes consultar tu situación en la Central de Información de Riesgos del Banco de España (CIRBE).
¿La dark web solo tiene contenido ilegal?
No. La dark web también alberga medios de comunicación censurados (como versiones .onion de la BBC o ProPublica), herramientas de comunicación segura para activistas y periodistas en países autoritarios, y servicios legítimos enfocados en la privacidad. Pero sí, una parte significativa de su contenido es ilegal.
📝 Conclusión: no puedes evitar las filtraciones, pero puedes hacerte inmune
La dark web es real, tus datos probablemente ya están ahí (la mayoría de personas aparecen en al menos 2-3 filtraciones), y no puedes borrarlos. Pero eso no significa que estés indefenso.
La estrategia es simple: haz que los datos filtrados sean inútiles.
- ✅ Contraseña única para cada cuenta → si se filtra una, solo esa se ve afectada → Genera las tuyas
- ✅ 2FA activado → la contraseña filtrada no sirve sin tu teléfono → Guía 2FA
- ✅ Alias de email → tu email real no aparece en filtraciones
- ✅ Monitorización activa → te enteras de filtraciones en horas → Cómo comprobar filtraciones
- ✅ Datos mínimos → cuanto menos compartas, menos pueden robar → Borrar huella digital
- ✅ Elimina cuentas abandonadas → menos superficie de ataque
No necesitas vivir con miedo a la dark web. Necesitas vivir con hábitos de seguridad sólidos. Y el primer paso es asegurarte de que cada una de tus cuentas tiene una contraseña fuerte, única e imposible de adivinar.
🛡️ Haz que tus datos filtrados sean inútiles
Contraseñas únicas para cada cuenta = la filtración de una no compromete las demás.
⚡ Generar Contraseña Segura Gratis