Imagina que te despiertas y tus redes sociales están hackeadas. Tu correo comprometido. Tu contraseña del banco expuesta. Y tú no has hecho clic en ningún enlace sospechoso.
Esto pasa a diario por filtraciones de datos de empresas. Las credenciales aparecen en la dark web, alguien las encuentra y las usa. Así de simple.
Ahora mismo hay automatizaciones en la dark web buscando datos filtrados en tiempo real. La pregunta es: ¿tú estás monitorizando si los tuyos están ahí?
Hoy te voy a enseñar a montar tu propio sistema para monitorizar la dark web. La misma herramienta que usan los equipos de seguridad reales. Gratuita, open source, y la puedes tener funcionando en tu servidor en menos de una hora.
Cómo funcionan las filtraciones de datos
Vamos a entender qué está pasando. Cada vez que hay una filtración de datos de una empresa (y pasa constantemente) esos datos acaban en algún sitio: foros de la dark web, canales de Telegram, pastebins. Correos electrónicos, contraseñas, números de teléfono, datos bancarios.
Los atacantes no buscan esto manualmente. Tienen automatizaciones. Bots que monitorizan estos sitios 24/7 y les notifican cuando aparece información relacionada con su objetivo. Es un proceso pasivo: configuran las reglas, se sientan a esperar, y la información les llega sola.
Los equipos de seguridad de las empresas hacen exactamente lo mismo, pero al revés: monitorizan la dark web para detectar si los datos de su organización han sido filtrados antes de que un atacante los use.
Y la herramienta que usan muchos de estos equipos es AIL Framework.
Qué es AIL Framework
AIL significa Analysis Information Leak. Es un framework de código abierto desarrollado por el CIRCL (Centro de Respuesta a Incidentes de Luxemburgo). Lo usan CERTs europeos y equipos de threat intelligence reales para monitorizar filtraciones de datos.
¿Qué hace exactamente?
Monitoriza la dark web: rastrea sitios .onion con crawlers que puedes configurar para que escaneen cada 5 minutos, cada hora o cada día.
Monitoriza Telegram: canales donde se comparten dumps de datos filtrados.
Monitoriza la clear web: pastebins y foros públicos de filtración.
Alertas por email: te notifica automáticamente cuando encuentra un match con tus reglas.
Reglas YARA: puedes buscar correos, contraseñas, dominios, IPs, lo que necesites.
Grafos de relaciones: visualización de conexiones entre las entidades encontradas. Un email asociado a una contraseña, que apareció en un sitio, junto con otros correos. Todo conectado visualmente.
Todo esto funcionando 24/7 en tu servidor, enviándote alertas cuando detecta algo. Eso es lo que vamos a montar.
Requisitos para instalar AIL Framework
AIL Framework es una herramienta potente, y necesita recursos en consecuencia:
- Mínimo 32 GB de RAM – esto descarta tu portátil
- 8 núcleos de CPU como mínimo
- Docker instalado – AIL se despliega con contenedores
- Servidor 24/7 – necesitas que esté siempre encendido
Lo más práctico es un VPS en la nube. Un servidor con 32 GB de RAM y Docker preinstalado. Algunos proveedores como Hostinger te permiten seleccionar Docker como aplicación directamente al crear el VPS, lo que te ahorra la instalación manual.
Instalación de AIL Framework paso a paso
Aquí te dejo el vídeo para que puedas ver el paso a paso de la instalación
https://www.youtube.com/watch?v=gUyM8PnmAKc
Te dejo aquí el enlace para adquirir el VPS que yo mismo utilizo para instalar AIL FRAMEWORK. Usa el código RINKU en el proceso de compra para recibir un descuento.
Comandos utilizados:
1. sudo apt-get install -y tor libmagic1 ghostscript exiftool qpdf python3-venv python3-pip git curl
2. sudo grep -qxF 'SocksPort 127.0.0.1:9050' /etc/tor/torrc || echo 'SocksPort 127.0.0.1:9050' | sudo tee -a /etc/tor/torrc > /dev/null
3. sudo systemctl restart tor && sudo systemctl enable tor
4. git clone --recursive https://github.com/ail-project/ail-framework.git && cd ./ail-framework && ./installing_deps.sh
5. sudo sed -i 's/^host = 127\.0\.0\.1/host = 0.0.0.0/' ~/ail-framework/configs/core.cfg
6. git clone https://github.com/ail-project/lacus.git && cd lacus
7. cat <<EOF > docker-compose.override.yml
services:
lacus:
network_mode: "host"
EOF
8. sudo docker compose up --build -d
9. cd ~/ail-framework/bin && ./LAUNCH.sh -lConfigurar reglas de búsqueda con YARA
Ahora le decimos a AIL qué buscar. Y aquí es donde entra la verdadera potencia de la herramienta.
Qué son las reglas YARA
Las reglas YARA son un estándar de la industria de ciberseguridad para identificar y clasificar archivos o fragmentos de datos basándose en patrones de texto, bytes o expresiones regulares. Originalmente se diseñaron para detectar malware, pero hoy se usan para mucho más: detectar datos filtrados, hacer threat hunting, análisis forense digital.
Una regla YARA tiene tres partes:
- meta – información descriptiva: autor, fecha, descripción
- strings – los patrones a buscar: texto literal, expresiones regulares o secuencias de bytes
- condition – la lógica que decide cuándo hay coincidencia
Crear tu primera regla
Ve a Hunting → New Tracker. Selecciona YARA Rules como tipo de tracker.
Aquí tienes un ejemplo de regla para detectar emails de un dominio específico en filtraciones:
rule detect_domain_email {
meta:
author = "tu-equipo"
description = "Detecta emails del dominio objetivo"
date = "2026-05-24"
strings:
// Email en formato estándar
$email_plain = /[a-zA-Z0-9._%+\-]{1,64}@tudominio\.com/ nocase
// Variantes ofuscadas comunes en la dark web
$email_at = /[a-zA-Z0-9._%+\-]{1,64}\s*\[at\]\s*tudominio\.com/ nocase
$email_dot = /[a-zA-Z0-9._%+\-]{1,64}@tudominio\s*\[dot\]\s*com/ nocase
// URL-encoded (común en dumps de bases de datos)
$url_encoded = "%40tudominio.com" nocase
condition:
any of them
}
La regla busca variaciones del email: formato estándar, ofuscaciones típicas de foros ([at], [dot]) y codificación URL. Es importante incluir estas variantes porque los datos filtrados en la dark web suelen estar ofuscados para evitar el scraping automático.
Puedes encontrar reglas YARA ya hechas en el repositorio oficial de YARA Rules en GitHub, o pedirle a una IA que te genere la regla que necesitas.
Consejo: si quieres integrar tus reglas con plataformas de threat intelligence como MISP u OpenCTI, incluye los campos meta completos. La regla será importable directamente.
Añadir sitios a monitorizar
Ahora le decimos a AIL dónde buscar. Ve a Crawlers → Manual Crawler y añade la URL del sitio .onion que quieres monitorizar.
Configura estos parámetros:
- Tipo: onion
- Frecuencia: cada 5 minutos (para monitorización intensiva) o cada hora (para monitorización estándar)
- Profundidad: 1 – revisa la página principal y todos los enlaces que haya en ella
- Screenshots: activar – para tener evidencia visual de cada match
Puedes añadir tantos sitios como quieras. Cuantos más añadas, más cobertura tienes. El servidor va a estar rastreando todos esos sitios 24/7 y te avisa cuando encuentra algo que coincida con tus reglas.
Resultados en tiempo real
Una vez que los crawlers empiezan a trabajar, los resultados aparecen en el dashboard.
AIL muestra cada match con el detalle completo: dónde se encontró, cuándo y qué información estaba asociada. Puedes hacer clic en cada resultado y ver el contexto completo.
Pero lo más potente es el grafo de relaciones. AIL conecta automáticamente las entidades que encuentra. Este email está asociado a esta contraseña, que apareció en este sitio, junto con estos otros correos. Es una visualización de inteligencia que te permite ver el alcance de una filtración de un vistazo.
Y además, si configuraste las notificaciones por email, cada match te llega como alerta automática. Sin tener que estar mirando el dashboard. El servidor trabaja, y cuando encuentra algo, te avisa.
Para qué sirve esto en el trabajo real
Y ahora te explico por qué esto importa más allá de proteger tu propio correo. Porque si quieres trabajar en ciberseguridad, necesitas entender que esto existe y cómo funciona.
Si quieres ser analista SOC: parte de tu trabajo es monitorizar si las credenciales de tu organización están expuestas. Herramientas como AIL Framework son las que se usan para eso. Conocerlas te hace un candidato más preparado desde el primer día. Si te interesa este rol, te recomiendo mi artículo sobre el curso de analista SOC donde explico qué necesitas aprender.
Si quieres ser pentester: la fase de reconocimiento OSINT incluye buscar credenciales filtradas del objetivo. Es parte del flujo estándar de un test de penetración.
Si quieres trabajar en threat intelligence: esto es tu día a día. Monitorizar fuentes, correlacionar información y generar alertas. AIL Framework con reglas YARA es exactamente lo que hacen los equipos de CTI profesionales.
En algunos casos, las empresas usan software propietario, pero casi siempre se basa en herramientas open source como AIL, MISP u OpenCTI. Entender la herramienta base te da ventaja incluso cuando trabajas con soluciones comerciales.
Consideraciones de seguridad y legalidad
Monitorizar la dark web para proteger tus propios datos o los de tu organización es completamente legal. Estás haciendo lo mismo que hacen los equipos de seguridad de cualquier empresa: vigilar si la información ha sido filtrada.
Lo que no debes hacer:
- Comprar o descargar datos filtrados
- Usar credenciales encontradas para acceder a cuentas ajenas
- Interactuar con vendedores de datos robados
AIL Framework es una herramienta de monitorización pasiva: observa, detecta y alerta. No interactúa con los datos ni con los actores que los publican.
Si quieres empezar a entender los fundamentos de la ciberseguridad y construir una base sólida antes de trabajar con herramientas avanzadas como esta, te recomiendo mi guía para iniciar en ciberseguridad.
Preguntas frecuentes sobre la monitorización de Dark Web
1. ¿Qué es AIL Framework?
AIL Framework (Analysis Information Leak) es una herramienta de código abierto desarrollada por el CIRCL de Luxemburgo para monitorizar filtraciones de datos en la dark web, Telegram y la clear web. Permite configurar crawlers, reglas de búsqueda YARA y alertas automáticas por email. Es usada por CERTs europeos y equipos profesionales de threat intelligence.
2. ¿Es legal monitorizar la dark web?
Sí, monitorizar la dark web para proteger tus datos o los de tu organización es completamente legal. Lo que no es legal es comprar datos filtrados, usar credenciales robadas para acceder a cuentas ajenas o interactuar con vendedores de información robada. AIL Framework es una herramienta de monitorización pasiva que observa, detecta y alerta.
3. ¿Cuánta RAM necesito para AIL Framework?
AIL Framework necesita un mínimo de 32 GB de RAM para funcionar correctamente, junto con al menos 8 núcleos de CPU. Esto se debe a que ejecuta múltiples servicios en paralelo: crawlers de Tor, base de datos, procesamiento de reglas YARA y el servidor web del dashboard. Un portátil doméstico no es suficiente.
4. ¿Qué son las reglas YARA y para qué sirven?
Las reglas YARA son un estándar de ciberseguridad para identificar patrones en archivos o datos. Definen qué buscar (textos, expresiones regulares, secuencias de bytes) y bajo qué condiciones hay coincidencia. En AIL Framework se usan para detectar emails, contraseñas, dominios o cualquier dato específico en las fuentes monitorizadas.
5. ¿AIL Framework solo monitoriza la dark web?
No. AIL monitoriza tres tipos de fuentes: la dark web (sitios .onion a través de Tor), Telegram (canales donde se comparten dumps de datos) y la clear web (pastebins y foros públicos). Esto le da una cobertura mucho más amplia que herramientas que solo rastrean la dark web.
6. ¿Puedo usar AIL Framework para proteger mi empresa?
Sí, es exactamente para eso. Puedes configurar reglas YARA con el dominio de tu empresa, los emails corporativos o cualquier dato que quieras monitorizar. Cuando AIL detecte esos datos en una filtración, te enviará una alerta automática. Muchos equipos de seguridad corporativos usan AIL o herramientas basadas en él.
7. ¿Qué diferencia hay entre AIL Framework y servicios como Have I Been Pwned?
Have I Been Pwned te dice si tu email apareció en filtraciones conocidas. AIL Framework va mucho más allá: monitoriza en tiempo real múltiples fuentes (dark web, Telegram, pastebins), permite reglas de búsqueda personalizadas con YARA, genera grafos de relaciones entre entidades y funciona de forma continua 24/7. Es una herramienta profesional, no un servicio de consulta puntual.
8. ¿Necesito saber programar para usar AIL Framework?
No necesitas programar, pero sí tener conocimientos básicos de Linux, Docker y línea de comandos. La instalación es relativamente directa con Docker Compose, y la configuración de reglas YARA se puede hacer desde la interfaz web. Para reglas más avanzadas, entender expresiones regulares es muy útil.
9. ¿Cómo encaja AIL Framework en una carrera en ciberseguridad?
AIL Framework es relevante para varios roles: analista SOC (monitorización de credenciales expuestas), pentester (reconocimiento OSINT), analista de threat intelligence (monitorización de fuentes y correlación), y analista forense (investigación de filtraciones). Conocer esta herramienta te hace un profesional más completo.
10. ¿Puedo integrar AIL Framework con otras herramientas de seguridad?
Sí. AIL se integra nativamente con MISP (plataforma de compartición de inteligencia de amenazas) y es compatible con OpenCTI y otras plataformas de threat intelligence. Las reglas YARA con campos meta completos son importables directamente. También puedes exportar datos para usarlos en análisis con herramientas como Maltego.