Cualquier ciberinvestigador con un mínimo de experiencia sabe que es muy mala idea realizar tareas OSINT “a pelo”, es decir, usando tu sistema operativo principal, con herramientas OSINT instaladas directamente en él.
¿Qué hacemos entonces?
La mejor manera de realizar y organizar una ciberinvestigación
El estándar profesional, y la mejor práctica por experiencia, es la de utilizar una distribución Linux (o GNU/Linux) dentro de una máquina virtual. De hecho, lo ideal sería que instaláramos y usáramos una distro nueva (apelativo coloquial para una distribución Linux) para cada investigación.
Eso nos ahorrará confusiones y problemas, tanto desde el punto de vista de la investigación, como de datos, seguridad, privacidad, etc.
Partiendo de esa base, muchos se preguntan cuál es la mejor distro Linux para usar en una investigación OSINT.
Como Linux permite personalizar esas distribuciones, hay varias especializadas en ciberseguridad y OSINT.
En ellas ya vienen preinstaladas herramientas y software de ciberinvestigación, ahorrándonos el trabajo de tener que hacer eso nosotros mismos.
Y lo cierto es que, personalmente, recomiendo no utilizar ninguna de ellas. No al menos si nos dedicamos de una manera mínimamente profesional.
El motivo es el siguiente.
El problema con las distribuciones Linux especializadas en OSINT
El problema es algo que viene con la OSINT, el hecho de que somos pocos y es una disciplina muy minoritaria y especializada.
Eso hace que la enorme mayoría de distros de ciberinvestigación sean una labor nacida del amor y no del dinero. Es decir, que algunos voluntarios comienzan proyectos que, aunque tengan la mejor intención e incluso sean muy buenos, al no estar bien financiados, pronto quedan desactualizados y obsoletos.
De esta manera, si dependemos de una distro de esas características y esta queda obsoleta, nosotros nos quedaremos colgados.
Son los casos de la ya desaparecida distro Buscador o de Hurón, una muy buena iniciativa con sabor español, pero que lleva 4 años sin actualizarse, por ejemplo.
En el campo de la ciberseguridad, al estar mejor financiada y contar con apoyo de organizaciones con recursos, sí encontramos distros que perduran y mejoran con el paso del tiempo, como Kali, Parrot, etc.
Sin embargo, cuando se trata de OSINT, si dependemos de la labor voluntaria de almas caritativas, es probable que estemos a merced de que quieran o puedan continuar con el proyecto. Esto es algo que, pasado un tiempo, se vuelve complicado para muchos en cuanto cambian de condiciones laborales, familiares o, simplemente, cuando la motivación inicial se desinfla y ya no actualizan más el proyecto.
Cuál es la solución al problema de las distros especializadas en OSINT
Como ocurre muchas veces, cuando las soluciones que nos ofrecen no son las adecuadas, no queda más remedio que ponerse uno mismo.
Eso no significa que debamos crear otra distro más, liberarla y que acabe como la gran mayoría, abandonada al poco tiempo. Sino que construyamos nuestro propio arsenal de herramientas, uno que:
- Se adapte a la naturaleza del trabajo de ciberinvestigación que más solemos realizar o que nos hayan encargado concretamente.
- Tenga nuestras herramientas favoritas de investigación.
- Conozcamos mejor para movernos y trabajar, dado que las distros de Linux pueden llegar a ser bastante diferentes, tanto en estética, como en flujos de trabajo.
Así, en un escenario ideal, esto es lo que haríamos:
- Elegiríamos una distribución de base con la que nos sintamos cómodos.
- Crearíamos un script de instalación de nuestras herramientas OSINT preferidas, de modo que, para cada caso que afrontemos, no tengamos más que crear una máquina virtual Linux con la distro del punto anterior e instalar y configurar todo lo que solemos necesitar, ejecutando ese script de bash.
- Actualizaríamos el script para mantener las herramientas a punto, quitar unas, instalar otras nuevas, etc.
De esta manera, en apenas unos minutos, podemos crear una nueva máquina virtual limpia y tenerla preparada para funcionar.
Pero como eso es lo ideal y este es el mundo real, vamos con lo que todo el mundo está esperando.
Las mejores distribuciones Linux para OSINT
Examinemos las distintas opciones de distros especializadas en OSINT que hay vivas en el momento de escribir esto.
Tracelabs OSINT VM, la mejor distribución OSINT preconfigurada de base
Teniendo en cuenta las limitaciones, los matices y todo lo dicho hasta ahora, la mejor distribución OSINT, en mi opinión, sería Tracelabs OSINT VM ahora mismo.
Preconfigurada con multitud de herramientas, no negaré que es una muy buena opción como base para empezar que, personalmente, espero que se mantenga activa y actualizada durante mucho tiempo.
Además, está inspirada en la legendaria distro de OSINT Buscador, que ya pasó a mejor vida. También recoge scripts muy útiles de la comunidad y herramientas de todo tipo.
Estas vienen clasificadas en secciones dedicadas a la investigación de emails, nombres de usuario, redes sociales, etc.
Puedes descargar Tracelabs OSINT VM en formato OVA o ISO aquí.
Sinceramente, podría parar aquí, mejor no complicarse con mil opciones que, al final, no van a ser mejores ni aportan mucho, pero, por si acaso, veamos algunas opciones más.
Tsurugi Linux, distro DFIR con una excelente base para OSINT
Tsurugi Linux es una distro DFIR, es decir, de análisis forense y respuesta a incidentes, como hackeos.
Si Kali es la que usas para penetrar sistemas, Tsurugi es la que usas para comprobar qué ha pasado, analizar ese malware, etc.
Dentro de sus herramientas hay una sección OSINT bastante bien equipada y clasificada a su vez en investigación de emails, redes sociales, imágenes, Tor y Dark Web, etc.
En general, muy completa y la segunda opción personal que escogería, tras Tracelabs.
Puedes descargar Tsurugi Linux aquí.
CSI Linux, distro forense y de respuesta a incidentes con herramientas OSINT
En la misma línea que Tsurugi, encontramos CSI Linux, favorita de un puñado de fieles para labores OSINT.
Dentro de sus herramientas tiene una sección de Inteligencia de Fuentes Abiertas con aplicaciones clásicas (la inevitable Recon-NG, por ejemplo) y una sección para Dark Web, que es algo que se suele atragantar a investigadores que están empezando o no tienen un perfil muy técnico.
Así, ya tienes Tor instalado y configurado, herramientas para seguir transacciones de criptomonedas, etc.
A su favor, que tiene un canal de Youtube que explica bien algunas herramientas y funcionamiento.
Puedes descargar CSI Linux aquí.
Kali Linux como distribución OSINT
Sinceramente, no es adecuada o, mejor dicho, hay opciones mejores. Kali y otras distros similares de ciberseguridad, como Parrot, son distribuciones enfocadas, sobre todo, a tests de penetración y labores de intrusión y hacking.
Y como en un pentesting la primera fase es la recogida de inteligencia sobre el objetivo, mediante reconocimiento pasivo, activo, etc, tiene preinstaladas herramientas OSINT para cubrir esa fase.
Se trata de aplicaciones clásicas, como Sherlock para investigar nombres de usuario, la suite Recon-NG de nuevo, etc.
Que están bien, pero están muy enfocadas en ciberseguridad.
La cuestión es que, por experiencia, la OSINT aplicada a muchos test de penetración es, simplemente, una nota a pie de página a la que se le presta poca atención.
Así que tienes herramientas básicas, muy centradas en las primeras etapas de un intento de hacking, que se quedan cortas para labores más profundas de investigación de Fuentes Abiertas.
Si dicha labor es realizar la fase inicial de un test de penetración y no tienes mucho tiempo, pues te puede servir, pero, en general, desaconsejo Kali. En general, no es la mejor distro para manejarse, ni la más segura o privada, por cosas que no vienen al caso.
Que ya sé que como máquina virtual el tema de la seguridad tiene otras implicaciones si comparas con usarla como sistema operativo principal, pero, en general, no.
Puedes descargar Kali Linux aquí.
El script de Open Source Intelligence Techniques y Michael Bazzell
Como ya vimos cuando hablábamos de los mejores libros sobre OSINT, esta es, sin duda, la biblia de la disciplina que todo investigador debería tener en su estantería.
El libro viene acompañado de un script que, cuando ejecutas sobre una distribución Linux “limpia” que tengas en tu máquina virtual, instala y configura todo el repertorio de herramientas OSINT que se comentan en el volumen.
Bazzell, además, actualiza el script con versiones nuevas que incluyen herramientas adicionales o actualizaciones de aplicaciones.
Lo he probado y, sin duda, es la mejor opción para tener lista una distro OSINT especializada y tremendamente completa, incluyendo algunas herramientas favoritas en las últimas versiones de dicho script, como es el caso de GHunt, que ya vimos en su día.
En su día, realicé los cambios necesarios en el script para que funcionara correctamente en una distro instalada como máquina virtual y configurada con el idioma español. Hoy día, reconozco que me he hecho viejo y perezoso, de manera que no me complico e instalo la máquina virtual de base en el idioma inglés, cosa que recomiendo si no quieres tener problemas durante la ejecución del script.
Así es la vida y el hecho de que, en español, somos aún muchos menos en este solitario campo de la ciberinvestigación.
El script viene con el libro, necesitas comprarlo para obtenerlo, no hay otra manera, pero, si te vas a dedicar a esto, ya tardas si aún no lo tienes.
Como ves, opciones hay y estas son las mejores a la hora de encontrar esa distro OSINT que nos permita hacer una investigación de inteligencia de fuentes abiertas a conciencia.
