Analyzer de VECERT: mapa en tiempo real de filtraciones, monitorización del darknet e informes OSINT automáticos

Analyzer de VECERT: mapa en tiempo real de filtraciones, monitorización del darknet e informes OSINT automáticos

El mercado de plataformas para monitoreo de amenazas está saturado, pero Analyzer tiene una cualidad poco común: no intenta sustituir al analista con conclusiones genéricas, sino que ofrece herramientas que invitan a profundizar. El mapa vivo de filtraciones mundiales se actualiza en tiempo real, el mapa de publicaciones en foros está etiquetado con banderas y autores, y la cronología de sucesos permite saltar de inmediato del «ruido» a la concreción: a la fuente en un foro de la dark web, al dominio de la víctima o al grupo operador del ransomware. 

En su interior hay un conjunto de módulos prácticos: mapa interactivo, agregador de publicaciones de foros, paneles temáticos (incluyendo ransomware y desfiguración), fichas por país, una búsqueda sencilla por dominio/URL y un archivo. Frente a la interminable carrera por la «magia de la IA», la plataforma apuesta por la observabilidad de los datos, enlaces transparentes a las fuentes primarias y la reproducibilidad de la investigación —una señal positiva para cualquier flujo de TI o DFIR.

En este análisis veremos cómo está organizado Analyzer, en qué se diferencia de otra «vitrina de ataques», qué fuentes cubre, en qué casos es especialmente útil para SOC/CSIRT/DFIR y cómo sacar el máximo provecho en el trabajo diario. Para mayor comodidad presentamos ejemplos reales —con fechas, enlaces y contexto.

Qué hay dentro de Analyzer y en qué se diferencia

La página principal no es un «globo bonito» por el globo mismo. En la parte superior hay pestañas rápidas: MAPA, ESCANEAR URL, ARCHIVO, FOROS, RANSOMWARE y DESFIGURACIÓN. Justo debajo aparecen las estadísticas de «Países más mencionados» y una tabla con las últimas publicaciones: título, fecha, alias del autor en el foro y país/bandera. Cada entrada es clicable y enlaza a la fuente primaria; los resultados son publicaciones reales de plataformas activas. Este formato ahorra tiempo en la navegación entre múltiples pestañas del navegador: los sucesos ya están normalizados y geolocalizados.

El panel de Ransomware es una «consola de negocio» sobre filtraciones y publicaciones en los blogs de los cifradores. Muestra el número total de publicaciones, grupos únicos, países y la dinámica media diaria; más abajo están las listas con nombres de grupos y fechas de publicación. En las fichas aparecen nombres conocidos de grupos y organizaciones, lo que facilita la filtración rápida: un clic lleva al post, se extraen los artefactos y se correlacionan con la telemetría local.

Las fichas por país ayudan a contextualizar picos en una geografía concreta: en la cronología se ve el autor, la fecha, el título y el país, y además —muy útil— la opción de exportar la lista. Es una forma eficiente de recopilar un «corte por región» y adjuntarlo al informe semanal.

Búsqueda (ESCANEAR URL) — un punto de entrada ligero para la verificación operativa de un dominio o URL: búsqueda por menciones en el agregador e indicadores relacionados. No reemplaza una investigación multicanal completa, pero resulta extremadamente útil para una primera evaluación y priorización de señales.

Fuentes y cobertura: desde foros hasta los blogs de los grupos

Analyzer agrega publicaciones de foros de la dark web y plataformas afines donde aparecen anuncios de venta de bases de datos, accesos, código fuente, exploits y kits de phishing. En la cronología de la página principal se ven publicaciones activas: desde «[8.9kk] BR Telecom Industry» hasta «Vueling and AirEuropa DB leak», e incluso los alias de las cuentas que publican (Yrrrr, Ubermax22, etc.), lo cual es importante para análisis de atribución y para construir grafos sociales y de actores.

Especialmente útil es el apartado de ransomware, que estructura los campos «grupo — publicación — país — hora de publicación». Allí aparecen con regularidad entradas de operadores conocidos, por ejemplo Qilin: en la muestra de principios de octubre en el panel se puede ver un hospital de Israel (Shamir Medical Center) con la etiqueta «Group: qilin». Para la práctica DFIR, esto indica revisar IOC/TTx y compararlos con la exposición local.

La existencia de fichas por país facilita obtener contexto regional: por ejemplo, la ficha de Corea del Sur con la cronología de publicaciones («Republic of Korea Police database», «Full source + data for sale — SK-Telecom $500k») permite evaluar rápidamente la concentración de incidentes por fechas, autores y tipos de compromiso.

Mapa vivo de amenazas: por qué es útil cartografiar los datos

Los mapas «en tiempo real» a menudo se convierten en una atracción visual. En Analyzer el mapa es una herramienta de trabajo: visualiza la geografía de las filtraciones declaradas y las ofertas en foros, además de clasificar países por menciones en un periodo. Esto ayuda a responder preguntas habituales de responsables y equipos afines: «¿Dónde está caliente ahora?», «¿Por qué este mes un país formalmente “seguro” aparece en el top de menciones?», «¿Coincide el pico con nuestros incidentes?» En la página principal se ve el panel de «Países más mencionados» — EE. UU., Indonesia, España, Francia, etc. — y los contadores cambian conforme llegan nuevos mensajes.

Este nivel es útil también para informes externos: un analista de TI puede preparar rápidamente una diapositiva para el informe semanal, respaldando el mapa de calor con ejemplos recientes de la cronología —con fechas y autores de las publicaciones («Salesforce», «Banco Provincia», «A1HM27: TOP CLASSIFIED IRAN DOCUMENT PLANNING», etc.).

Panel de Ransomware: dinámica, grupos, países, ejemplos

Al preparar este artículo el tablero mostraba: decenas de miles de publicaciones en total, cientos de grupos y países distintos, y el promedio diario de publicaciones en 30 días, lo que permite seguir impulsos y no solo picos aislados. En las fichas aparecen empresas de sanidad, educación, industria, pymes regionales y organismos gubernamentales. Es útil que junto al nombre de la víctima aparezca el nombre del grupo, la fecha y el país. Desde allí es sencillo iniciar la inteligencia cruzada: recopilar TTP conocidos del grupo, comparar con artefactos de otras fuentes y formular hipótesis sobre el vector de acceso (explotación web, abuso de RMM, paquetes de phishing, etc.).

Ejemplo de «escenario rápido» para SOC: si aparece una entrada reciente de Akira/ALPHV/INC en el panel —realizan una búsqueda rápida de IOC en EDR/SIEM (por dominio/marca de la víctima, por metadatos), verifican rangos C2 conocidos y conjuntos de cargadores, y después actualizan las reglas tras el nuevo post. Ese «anzuelo» ahorra horas, a veces días.

Fichas por país: cuando la geografía no es solo una «bandera en el mapa»

Si su empresa o grupo tiene presencia regional, las fichas por país ayudan a priorizar: «Tenemos fuerte exposición en Corea del Sur — ¿qué ataques experimentales y filtraciones hubo en las últimas tres semanas?» Abre la ficha, ve la lista («Republic of Korea Police database», «SK-Telecom: $500k», «E-commerce Database with PII») y la dinámica por fechas. Es la manera más rápida de actualizar el perfil de riesgo regional y preparar el informe para la oficina local. La interfaz incluye la opción de exportar, útil para integrarlo en los informes semanales sin maquetación manual.

ARCHIVO y FOROS: por qué el «enlace a la fuente primaria» importa más que la «magia del clasificador»

El éxito de la inteligencia OSINT se basa en dos pilares: verificabilidad y reproducibilidad. Analyzer remite constantemente a las fuentes primarias —es decir, no solo se ve el título, sino también el autor en el foro, la fecha y la plataforma. Esto elimina las «cajas negras» en el análisis y reduce el riesgo de asociaciones erróneas. Al trabajar con la dirección o el departamento legal es crucial: siempre se puede mostrar de dónde procede la información (y qué exactamente se escribió), no confiar únicamente en el resultado de un clasificador. Los enlaces directos y la normalización de metadatos son una fortaleza de la plataforma.

Búsqueda por URL/dominio: comprobación rápida de si una dirección apareció en la dark web

El módulo ESCANEAR URL es útil en dos escenarios: (1) llega un dominio sospechoso desde un incidente de correo —se comprueba si apareció en anuncios, kits de phishing o filtraciones; (2) para una comunicación externa es necesario evaluar rápidamente la huella pública del dominio de una marca. No reemplaza un análisis completo, pero acelera la priorización en el triage inicial de señales.

AI Analyzer: informes OSINT automáticos — cuándo es apropiado y cuándo conviene el trabajo manual

La plataforma incluye una función para generar informes OSINT automáticos con base en filtraciones y publicaciones detectadas en foros: la idea es simple —minimizar las tareas rutinarias y ofrecer al analista una plantilla inicial con fuentes, metadatos y observaciones básicas. Este enfoque funciona bien para monitorización diaria (resúmenes diarios, cortes regionales, seguimiento de actores o grupos). En investigaciones con consecuencias legales es mejor realizar verificación manual y recopilación ampliada de pruebas: el texto automático es un apoyo, no reemplaza el juicio crítico.

Escenarios prácticos: cómo integrar Analyzer en un flujo operativo

Para SOC (monitoreo operativo y escalado)

  • Revisión matutina del turno: abrimos la página principal, consultamos «Países más mencionados» y las publicaciones recientes —marcamos industrias o geografías relevantes.
  • Pulso de Ransomware: revisamos la cronología de grupos en las últimas 24–48 horas y ponemos en vigilancia marcas y entidades que se parezcan a nuestros contratistas.
  • Búsqueda rápida antes de escalar: dominio/URL de una alerta —a través de ESCANEAR URL, comprobamos si ha aparecido en foros.

Para DFIR (investigación y acotamiento de hipótesis)

  • Contexto por país/región: en un incidente con una oficina extranjera abrimos la ficha del país y extraemos todo lo que parezca «precursores» o casos relacionados.
  • Comparación de grupos: si la víctima aparece en el blog de un operador, revisamos las entradas cercanas en fecha en el panel; a menudo indican el vector común o el conjunto de herramientas (por ejemplo, una serie de publicaciones de un mismo grupo en pocas horas).

Para Threat Intelligence (seguimiento de actores y ecosistemas de foros)

  • Actores y clanes: los alias que aparecen en la cronología conviene volcarlos en un grafo con frecuencia y contexto de menciones. Es la base para perfilar «proveedores en el foro» y sus relaciones.
  • Evolución de las plataformas: la inestabilidad de los foros de la dark web es habitual; es útil mantener referencias externas sobre la ecosistema (cierres y relanzamientos, cambios de administradores). Esto ayuda a evaluar la «confiabilidad» de una fuente y calibrar la confianza.

Puntos fuertes de Analyzer en el trabajo diario

Transparencia y acceso directo a la fuente. En la revisión no hay misterio: casi cada ficha enlaza al post donde se puede ver el contexto, el idioma de la oferta, muestras de prueba y condiciones de la transacción. Esto es lo que a menudo falta en mapas atractivos con metodologías opacas.

Enfoque en paneles temáticos. El panel de Ransomware está separado como módulo —y tiene sentido: la visibilidad externa de la actividad delictiva cibercriminal proviene en gran medida de los blogs de los operadores. Se pueden ver rápidamente tendencias, autores principales y países.

Corte geográfico. Poder «centrarse» en un país es útil no solo para holdings internacionales —muchas empresas tienen socios y cadenas de suministro en regiones concretas. Las fichas por país aceleran la recopilación de información sobre «lo que ocurre alrededor».

Acceso sencillo. El formulario de búsqueda por dominio/URL hace la plataforma accesible para distintos roles: no es necesario ser un investigador TI avanzado para verificar rápidamente una dirección sospechosa.

Limitaciones y buenas prácticas

Cualquier plataforma agregadora refleja la «parte visible» del ecosistema de la dark web, no todo el iceberg: muchas transacciones pasan a canales privados, numerosos foros usan dominios efímeros y migran, las publicaciones se eliminan y los enlaces caducan. El analista debe verificar el contenido crítico, guardar copias web, tomar instantáneas, fijar hashes y sellar marcas temporales para casos con valor legal (especialmente al trabajar con fuerzas del orden o en procesos judiciales). Finalmente, el mapa de menciones es un indicador, no una «verdad absoluta»: un aumento por país puede deberse a estacionalidad, campañas de relaciones públicas de ciertos grupos o spam de revendedores de datos.

También es importante el contexto de comparación entre plataformas: hay mapas «vivos» de varios proveedores (el mapa de DDoS de NETSCOUT, paneles interactivos de Imperva, entre otros), pero el foco de Analyzer es distinto —se centra en publicaciones de foros y artefactos asociados, lo cual es más útil para investigar filtraciones y compromisos que las «manchas térmicas» de ataques de red.

Mini guías rápidas: pasos rápidos para distintos equipos

Resumen TI del lunes

  1. Página principal → identificar los países top y 10–15 publicaciones recientes pertinentes al sector.
  2. Panel de Ransomware → exportar los casos recientes en regiones o verticales objetivo.
  3. Fichas de países clave → recopilar casos locales y anomalías.
  4. Consolidar en una nota con enlaces a las fuentes primarias (para reproducibilidad).

Inteligencia DFIR «sobre la marcha»

  1. Identificador de la víctima/marca/dominio → verificación en ESCANEAR URL.
  2. En paralelo — búsquedas en el panel de ransomware en ventanas temporales cercanas (comparar víctimas, grupos, geografía).
  3. Recolectar artefactos del post del foro, guardar instantáneas, y correlacionar con logs locales.

Evaluación de riesgo para la dirección

  1. Captura de «Países más mencionados» y dos o tres fichas representativas con fechas y autores.
  2. Ficha del país donde opera un contratista clave —como «contexto local» de las últimas 2–4 semanas.
  3. Conclusión breve con prioridades de monitoreo y preguntas de comprobación al proveedor sobre seguridad.

Ética y cumplimiento: cómo tratar las fuentes «grises» correctamente

Trabajar con foros de la dark web exige equilibrio. Reglas importantes: no participar en subastas, no «comprar para verificar», no escalar el contacto con el vendedor salvo que sea parte de un proceso autorizado por el equipo legal y de seguridad. Analyzer facilita la observación pasiva y el acceso a fuentes —puede documentarse e investigarse sin entrar en interacciones dudosas.

Qué seguir: cómo ampliar el ecosistema alrededor de Analyzer

Alrededor de la plataforma es sencillo construir una cadena para un flujo completo: snapshotting (Headless Chrome + guardado en HTML/PNG/PDF), normalización de metadatos (script interno que extraiga títulos, fechas, alias), correlación con SIEM/EDR (disparadores privados para cadenas extraídas de posts y dominios), almacenamiento de artefactos (S3/MinIO con etiquetas «fuente/autor/fecha/país»). Si se generan informes externos con frecuencia, conviene automatizar la extracción del «top por países» y de los «títulos de posts recientes» en una plantilla de presentación.

Breve «chuleta» sobre las pestañas

  • MAPA — mapa vivo, tabla de últimas publicaciones en foros, contadores por países y autores.
  • RANSOMWARE — panel con métricas generales, filtros y cronología de posts en blogs de operadores.
  • PAÍS — enfoque por país: publicaciones por periodo, autores, exportación.
  • ESCANEAR URL — búsqueda rápida por dominio/URL.
  • ARCHIVO/FOROS — accesos a fuentes históricas y actuales; puntos de entrada a las fuentes primarias.

En vez de posdata: por qué es una «ecosistema» y no solo un sitio con un mapa

Analyzer vale no por la «imagen impactante», sino por la coherencia de sus módulos. El mapa y la cronología son un navegador; el panel de ransomware es una consola dirigida a una de las categorías de amenazas más nocivas; las fichas por país son una herramienta para análisis regional; la búsqueda es un acelerador de respuesta inicial. Todo junto forma un ecosistema donde el analista TI, el responsable de turno del SOC y el investigador DFIR comparten un lenguaje: «mira, aquí está el post, este es el autor, cuándo y dónde, estos son los sucesos relacionados y el contexto por país». Y, lo importante, todo eso lleva directamente a la fuente primaria sin depender de un algoritmo de puntuación cerrado. 

Para la inteligencia diaria, quizá esa sea la cualidad más relevante. Si además se añade la automatización de informes (AI Analyzer) y un par de «pernos» externos (snapshots, normalización de metadatos, exportación de artefactos), se obtiene un ciclo ordenado, reproducible y rápido desde la señal hasta la decisión.

Puede probar la plataforma en: analyzer.vecert.io. Si su objetivo no es «ver puntos bonitos», sino conectar rápidamente foros, mapas y sucesos reales con su infraestructura y proveedores, Analyzer tiene todo lo necesario para integrarse en el conjunto diario de herramientas.

Alt text
article-title

Deni Haipaziorov