OSINT caso de estudio

Cómo investigar personas en Internet con OSINT, ejemplo de un caso real

Creado el
Cómo investigar personas en Internet con OSINT, ejemplo de un caso real

Investigar personas en Internet usando OSINT no consiste simplemente en usar un puñado de herramientas para sacar datos sueltos de los objetivos. En la mayoría de ocasiones, eso se convierte en ir a salto de mata sin orden ni método, dejándose la mayoría de cosas por el camino y obteniendo resultados mediocres. La investigación OSINT de personas requiere un método de trabajo probado que esté alineado con el ciclo de inteligencia.

Pero como esa última frase puede sonar muy difusa, he aquí un caso real de investigación de una persona utilizando OSINT.

Este ejemplo nos permitirá ver:

  • Qué proceso de trabajo OSINT se siguió.
  • Qué métodos de descubrimiento y análisis se aplicaron.
  • Qué herramientas concretas se usaron para extraer y gestionar datos e inteligencia.
  • Qué soluciones se aplicaron a ciertos retos que surgieron. Como veremos, en muchas ocasiones la ciberinteligencia no es tan fácil, ni lineal, ni tampoco se resuelve usando aplicaciones y programas prefabricados.

En la vida real, habrá dificultades, obstáculos inesperados y el resultado dependerá mucho de la habilidad del investigador para unir puntos entre los datos, descubrir detalles ocultos y, en general, convertir los datos en inteligencia real.

Obviamente, dado que es un caso real, se han omitido nombres, clientes y todo lo necesario para preservar la intimidad de los implicados.

Un aviso, aunque parezca sorprendente, se ha elegido un caso en el que no se consiguió exactamente lo que el cliente pretendía, aunque sí se obtuvo inteligencia muy interesante para continuar con la resolución del caso.

¿Por qué no elegir otro caso exitoso para aparentar que se es infalible en estas cosas y la OSINT es todopoderosa?

La web ya está bastante llena de gurús que generan unas expectativas demasiado irreales. Aquí vamos a ver algo real y la complejidad que puede alcanzar.

Cómo investigar personas: el inicio del caso

En esta ocasión, vamos a ver un caso dentro del ámbito de la investigación privada y que se sale del ámbito de la ciberseguridad.

Lo más habitual es usar OSINT en pruebas de penetración de Equipo Rojo, pero se quiere ofrecer una visión más amplia, que demuestre la utilidad de la OSINT para muchas otras situaciones más allá de la seguridad informática.

En este caso, veremos el encargo, por parte de una agencia de investigadores privados, que precisaba apoyo para obtener, en la medida de lo posible, información sobre una persona de interés.

Como suele pasar en esta clase de trabajos, el primer contacto es difuso y la agencia de detectives pidió ayuda genérica.

Por experiencia, esta es la semilla de una situación que puede dar lugar, muy fácilmente, a un montón de trabajo con resultado mediocre. De ahí la importancia de tener un proceso de trabajo bien definido y aplicarlo desde el minuto uno.

El proceso de trabajo a la hora de investigar personas

Cada agencia de ciberinteligencia seguirá el proceso de trabajo que, en su experiencia, mejor le haya funcionado. Obviamente, habrá variaciones entre unos y otros, pero, en general, seguirán un esquema parecido.

Refinado con el tiempo, el proceso de trabajo OSINT personal, para la investigación de personas o cualquier otro caso, sigue estas etapas:

Proceso de trabajo a la hora de investigar personas con OSINT

En este caso, el primer paso del proceso fue un contacto con una petición genérica.

De ahí la importancia del siguiente paso en la investigación.

Definir datos iniciales y objetivos de la investigación de personas con OSINT

En este caso, se pidió inicialmente «todo lo que se pudiera averiguar» sobre una persona de la que se facilitaba nombre y apellidos.

Eso no nos soluciona nada. Por eso, en esta fase y antes de nada, es necesario dejar bien claros:

  • Los datos iniciales de los que se dispone.
  • Los datos concretos que se desean averiguar.
  • La naturaleza de la investigación.

Es típico que, como en este caso, un primer contacto entre desconocidos, teniendo en cuenta la delicada naturaleza de las investigaciones OSINT, lleve algo de recelo y, por eso, hubo varios intercambios de mensajes hasta que se consiguieron aclarar los tres puntos anteriores.

Datos iniciales

Francamente pocos:

  • Nombre y apellidos de la persona de interés principal.
  • Un posible nombre de usuario del que no se estaba seguro ni que perteneciera a la persona.
  • Un número de teléfono móvil.
  • Un DNI.
  • El nombre y apellidos de una persona secundaria de interés.

El objetivo a conseguir

Es importante que la otra parte conteste bien a la pregunta de qué desea conseguir exactamente.

En este caso, lo que se quería realmente era averiguar si la persona de interés o la segunda persona habían utilizado las Redes Sociales o páginas de compraventa de segunda mano para la venta de ciertos objetos.

La naturaleza de la investigación

En este caso, dicha naturaleza se hizo evidente cuando los detectives comentaron eso. Se trataba de un caso de posible hurto y reventa de objetos. Cuando se inquirió sobre la naturaleza de los objetos, enseguida surgió un problema.

Las fechas de los sucesos eran muy pasadas. El más reciente era de hacía un año y había al menos cuatro posibles casos que se remontaban a dos y cuatro años.

Lo cual lleva al siguiente paso del proceso de la investigación.

El triaje inicial

Por experiencia en este y otros sectores, es importante gestionar las expectativas del cliente ante el caso que hay delante y dejar bien claro en qué nos hemos metido, qué es posible y qué no.

En esta ocasión, esta clase de sucesos tienen una ventana muy breve de resolución. O se actúa en 24-48 horas tras el suceso, en este caso vigilando las webs de venta de segunda mano en ese breve periodo de tiempo, o es muy difícil, por no decir imposible, resolver algo así.

Esa clase de ventas se hacen, adrede, a precios muy bajos, de manera que la ganga vuela enseguida y no suele quedar rastro de ella al poco tiempo.

Se expuso claramente que la tarea tenía muy pocas probabilidades de dar frutos entre uno y cuatro años después. Sin embargo, los detectives optaron por seguir adelante, tratando de encontrar pruebas de que el sujeto había vendido alguno de los objetos por Internet.

En este paso, se requirieron todos los datos posibles sobre dichos objetos, de los que se disponía apenas de una descripción genérica, sin ni siquiera disponer de fotos.

Dicho de otro modo, encontrar una aguja en un pajar.

Firma de contrato

Por supuesto, se redactó un contrato, con cláusulas de trabajo, confidencialidad, etc.

Tras la firma, comenzó la investigación.

La búsqueda de información y análisis en la investigación de personas OSINT

Sin perder más tiempo, se comenzó con las fases del proceso de trabajo de Búsqueda de información y Análisis. Esta es la investigación de personas en sí y, como se puede ver, son dos fases que se retroalimentan y en las que te mueves de una a otra constantemente.

Las herramientas usadas

Hay cientos de herramientas OSINT para analizar datos, la mayoría de ellas, muy parecidas o que sirven para la misma información, pero la realidad es que un investigador apenas usará una mínima parte de ellas.

Cada uno tendrá sus preferencias personales o se manejará mejor con unas u otras, pero hay una que todo el mundo utilizará: el todopoderoso buscador de Google.

Aunque es cierto que su calidad está disminuyendo a marchas forzadas, sigue siendo la mejor opción con diferencia.

La herramienta de recopilación y análisis de los datos en la investigación de personas

Durante una investigación OSINT, tendrás un montón de datos, surgirán muchos más y es fundamental trazar bien los orígenes y las relaciones que hay entre dichos datos.

Para eso, en este caso se usó Xmind, una herramienta de mapas mentales que permite ir agregando lo descubierto, visualizando relaciones entre datos y anotando el origen de cada cosa.

Actualmente, se utiliza otra herramienta más flexible, llamada Miro, que te permite organizar todo como en una pizarra (datos, notas, imágenes, enlaces), así como moverlo, relacionarlo con flechas, etc de una manera más versátil.

Miro como herramienta de investigación OSINT

No se tiene ninguna relación comercial con dichas aplicaciones, simplemente, son la preferencia personal.

Ejemplo muy sencillo de uso.

Una de las primeras cosas que se hizo fue probar si ese nombre de usuario inicial proporcionado (que era bastante particular y poco común) se usaba para una cuenta de Gmail. En ese caso, sería posible tirar de ese hilo y descubrir muchas cosas con herramientas como Ghunt (sí, es un dolor configurarla, pero merece mucho la pena).

Por eso, lo primero fue probar si la dirección nombredeusuario@gmail.com existía.

Para eso, se usó un verificador de email válido (hay millones y evitan el pesado y antiguo proceso de ir a la terminal, descubrir el servidor de correo, conectar vía Telnet, etc).

Comprobando la validez de un email en una investigación de personas

Como vemos, la dirección existía y, por tanto, anotamos que, a partir del nombre de usuario, mediante la aplicación X, hemos logrado otro dato de una dirección de email.

Pero, ¿era la de nuestro objetivo o una coincidencia?

Mediante ese nombre de usuario, y su investigación con otra herramienta clásica de OSINT, Sherlock, se descubrieron varias cuentas con ese nombre de usuario inicial. En ellas, se pudieron recoger fotos del individuo, que los detectives no tenían.

¿Cómo comprobar si era la persona de la cuenta de correo electrónico?

Se probó un truco personal que, en su día, se compartió en Twitter y que consiste en ir a una cuenta propia de Gmail (o mejor, a la de un sock puppet) y empezar a escribir un correo.

Gmail, chiva el avatar de la cuenta si existe y, en este caso, la imagen era su foto y el rostro coincidía con las extraídas de redes sociales.

Bingo.

Así pues, del nombre de usuario salen cuentas de redes, fotografías de la persona y se puede inferir el email. Ese email se comprueba mediante el método anterior y hay coincidencias de imágenes.

Todo eso se va anotando en el mapa mental o la aplicación de whiteboard y uniendo con las flechas y notas correspondientes.

Esa trazabilidad es fundamental, porque el cliente, o nosotros mismos, debemos saber siempre y en todo momento cómo y de dónde se obtuvo la información que se va descubriendo.

No solo para saber los métodos usados, sino para garantizar que la OSINT es verdaderamente OSINT y que los datos han sido obtenidos de fuentes realmente públicas.

La OSINT debe operar estrictamente en la legalidad y no recurrir a cosas como hackear cuentas o acudir a fuentes sospechosas, como brechas de datos y privacidad en la web oscura o algo así. Eso puede hacernos incurrir en la doctrina legal de la fruta del árbol prohibido e invalidar pruebas y datos, por ejemplo, si se llegaran a emplear en un juicio.

El uso de procesos de los distintos datos para una investigación de personas

Ahora, estas fases parece que consisten en ir a salto de mata de un lugar a otro según descubrimos cosas, pero nada más lejos de la realidad.

Para cada tipo de dato que tenemos o vamos averiguando en la investigación (nombre de usuario, email, etc), debemos seguir un proceso sistemático para no dejarnos nada importante por el camino.

Cada ciberinvestigador seguirá su flujo de trabajo particular, fruto de la experiencia, e irá tachando cada etapa del mismo conforme la realice.

Ya vimos, como ejemplo, el proceso del investigador Sinwindie, que puede ser un buen punto de partida para elaborar procesos propios (en este caso, por ejemplo, se investigaron webs como Wallapop que son puramente españolas y no aparecen en los diagramas que suele haber por ahí).

Este es el proceso que sigue Sinwindie para investigar un nombre de usuario de Twitter.

Proceso de investigación de un nombre de usuario de Twitter

Pues así vamos, metódicamente, con los diferentes datos de los que disponemos.

La elaboración y programación de herramientas OSINT propias para una investigación de personas

¿Cómo se busca una aguja en un pajar? Lo primero es no buscarla, porque es imposible, pero si no hay más remedio… En este caso, teníamos datos de varios objetos y miles de anuncios en webs como Wallapop, eBay, Vinted, etc.

Imposible buscar algo con sentido de manera metódica, así que, por probar, se empleó la siguiente técnica, elaborando algunas herramientas ad hoc.

  • Se configuró un scraper personalizado de web para recopilar anuncios en las secciones correspondientes de las diferentes páginas de venta de segunda mano, obteniendo datos de más de 7.000 posibles anuncios. El pajar.
  • Se hicieron unas cuantas consultas automatizadas por términos y expresiones regulares (RegEx) de todos esos archivos. Que se podría haber programado algo, pero la verdad, lo más sencillo suele ser lo mejor. El poder de grep en la terminal Linux es más que suficiente a veces.
  • Se redujeron los anuncios a unos cuantos interesantes.
  • Se examinaron dichos anuncios personalmente.

Resultados interesantes que se obtuvieron en la investigación

Al final, era imposible saber exactamente si se vendieron esos objetos concretos y en qué webs, pero se encontró una posible cuenta de interés del sujeto en una web de reventa de segunda mano.

Esta tenía varios productos a la venta y, ¿cómo se llegó hasta ahí?

  • La fotografía en una red social de un vehículo llevó al anuncio de la venta de otro muy similar de modelo superior. El sujeto había comentado en redes sociales que se había comprado algo así.
  • La coincidencia de las matrículas de un vehículo en otro anuncio con otra imagen de redes.
  • La venta de videojuegos que coincidían con los gustos expresados en dichas redes (le había dado a «Me gusta» a esos videojuegos en varias ocasiones).
  • El descubrimiento de ventas pasadas muy interesantes, que estaban ocultas en la web de segunda mano, debido a que habían finalizado y no se podían ver. Sin embargo, dicha red permitía ir a la página de la venta finalizada a través de enlaces encontrados en las reseñas al vendedor, comprobando mediante esa fuga sin tapar lo que se había vendido exactamente.

Elaboración del informe final y entrega

Había infinidad de datos, que se concretaron en un informa final pulido de 16 páginas con descubrimientos relevantes y el trazado de cómo se habían obtenido de manera pública y legal.

La elaboración de ese informe final dejó mucho más datos fuera que dentro. Cuentas en sitios para adultos, de contactos y similares no tenían que ver con el caso ni aportaban nada relacionado, con lo que no tiene sentido engordar ese informe con ruido.

Se recomendó vigilar esa cuenta localizada en la web de segunda mano. Por un momento, se pensó en contactar mediante sock puppet, haciendo un par de consultas inocentes sobre algún producto a la venta, para confirmar al 100% la sospecha. Sin embargo, eso es HUMINT, no OSINT y se salía del ámbito del trabajo.

Si los detectives querían, podían hacerlo ellos con muy poco riesgo.

Como vemos, la investigación de personas puede ser muy diferente y compleja, requiriendo herramientas y procesos OSINT muy diversos. Y, en ocasiones, teniendo que improvisar deducciones y maneras de hacerlas que no son las más orotodoxas, como en este caso.

Conozca qué es OSINT, por qué la Inteligencia de Fuentes Abiertas es fundamental y lo más importante sobre esta disciplina, el análisis de inteligencia, la privacidad y temas afines.

Menu