La pregunta más repetida siempre es: “¿Cuál es la mejor manera de aprender OSINT?”. Una excelente forma de empezar y adquirir una base es con alguno de los mejores libros sobre OSINT, pero, sin duda, la mejor manera de aprender OSINT es haciendo, practicando directamente las habilidades y resolviendo casos. Y para eso, nada mejor que los desafíos de tipo CTF o Capture the flag (Capturar la bandera).
Qué son los retos CTF de OSINT
Estos desafíos, también habituales cuando aprendes otras disciplinas de ciberseguridad, se basan en resolver casos ficticios, pero muy parecidos a los reales, usando inteligencia de fuentes abiertas.
En ellos, deberás “capturar la bandera”, es decir, encontrar la solución que te pidan, usando solamente técnicas de inteligencia de fuentes abiertas y procesos de trabajo OSINT.
Normalmente, esas banderas (o flags) son códigos que descubres durante el juego e introduces para comprobar si tu solución es correcta. Si el código que encuentras es el adecuado, has solucionado el caso.
La verdad es que no solo es la mejor manera de aprender OSINT, también son muy divertidos, como un juego de deducción en el que debes aplicar tus conocimientos de cibertinteligencia para descubrir pistas, atar cabos y llegar hasta esa bandera o solución.
En algunas ocasiones, esos desafíos para practicar están muy trabajados, con pistas por toda Internet y muy bien pensados para desarrollar las habilidades adecuadas: uso de búsqueda inversa de imágenes (dentro de la IMINT), seguimiento de transacciones de criptomonedas, averiguar información clave “atacando” emails, practicando SOCMINT y viendo qué podemos conocer del objetivo y cuentas relacionadas…
En definitiva, es practicar casos muy parecidos a los reales que te encuentras en el día a día como ciberinvestigador, pero sin miedo a meter la pata.
Por eso, para todo el que quiera iniciarse en OSINT, o bien poner en práctica sus habilidades para ver si es tan bueno como se cree, he aquí los mejores desafíos CTF de OSINT.
Comentar un par de cosas antes de ir a la lista.
Al igual que en otras facetas de la ciberseguridad, también encontrarás en Internet write-ups de OSINT, o soluciones paso a paso de cómo se resuelve cada uno de esos casos ficticios de inteligencia de fuentes abiertas.
Por último, es imprescindible saber inglés, ya que prácticamente todos los desafíos están en ese idioma. Pero bueno, el manejo de dicho inglés es algo imprescindible en esta línea de trabajo.
Dicho esto, comenzamos con…
1. CyberSOC Wales, desafíos OSINT de todo tipo puntuados según dificultad
La primera parada es, sin duda, CyberSoc | Cyber Detective CTF. Allí te puedes abrir una cuenta gratuita y entrar a la sección “Challenges” (Desafíos).
Como ves en la captura de pantalla más arriba, tendrás desafíos OSINT de todo tipo, que van puntuando según la dificultad. Allí podrás practicar cómo averiguar información a partir de emails, imágenes, análisis de redes sociales…
Cuantos más puntos otorgue el desafío, más difícil es de completar y, cuando lo completes, se pondrá en verde y te dará los puntos.
Eso sí, algunos desafíos, como el que se ve en negro más arriba que no he completado, es porque tienes que escuchar una llamada que no está o no se puede hacer desde España. Ya no recuerdo bien qué pasaba exactamente, porque me hago mayor y completé los desafíos hace mucho tiempo, como entretenimiento (excusas, lo sé).
De todas formas, me temo que no es raro que, en algunas CTFs OSINT, a veces vas a buscar algo en la red, como alguna pista que han dejado, pero que ya no está porque ha desaparecido, ha caducado el dominio o algo así, pero esa es la naturaleza de Internet.
Muy recomendable para empezar a practicar tus habilidades de manera progresiva, puntuada y organizada.
2. El desafío OSINT del Cyberinstitute
Otro buen CTF es el OSINT Challenge de The Cyber Institute. Se trata de todo un curso OSINT para aprender haciendo.
Te puedes dar de alta gratis también y en él tendrás hasta 35 preguntas que responder, usando tus habilidades de inteligencia de fuentes abiertas.
3. Sample CTF, un sencillo desafío de Captura la bandera OSINT
Otra web gratuita CTF con desafíos OSINT es Sample CTF. Si te suena el pantallazo de arriba es normal, porque está hecha con la misma plataforma de puntuación que la de CyberSoc Wales que ya hemos visto.
De nuevo, desafíos variados que cubren habilidades que todo buen ciberinvestigador debe tener, como análisis de ficheros, geolocalización o búsqueda web.
Tienes que darte de alta y demostrar que eres capaz de conseguir todos los puntos.
4. Hacktoria, una excelente web de desafíos de ciberseguridad y ciberinteligencia
Aunque solo sea por su diseño retro, ideal para dinosaurios nostálgicos como yo, Hacktoria merece estar aquí.
Eres el agente especial K y hay multitud de desafíos que tienes que resolver.
¿Qué ha sido de la agente Deloris Frozenwood? ¿Dónde se van a reunir ciertos hombres de negocio siniestros que hay que detener? Hay de escenarios de todo tipo que obligarán a aplicar múltiples habilidades de ciberinteligencia. También requerirá a veces algunas otras técnicas de ciberseguridad, pero es imposible desligar del todo una disciplina de la otra en muchos casos.
Imprescindible.
5. Verif!cation Quiz Bot, desafíos OSINT en Twitter
Otra manera de practicar desafíos OSINT es seguir en Twitter a la cuenta de Verif!cation Quiz Bot y participar en sus desafíos diarios.
Hay un montón, muchos de ellos propuestos por verdaderos ases del OSINT y ciberinvestigadores de renombre.
Por la naturaleza de la plataforma, muchos se basan en imágenes y vídeos, así que afilemos nuestras habilidades de IMINT y geolocalización.
De paso, podrás interactuar con la comunidad OSINT de Twitter, educada y dispuesta a ayudar (toda una rareza comparada con el resto de esa red social).
6. Los desafíos OSINT de Tryhackme
Tryhackme es una excelente plataforma para aprender ciberseguridad de manera 100% práctica, resolviendo escenarios reales y atacando objetivos dentro de su red, con técnicas reales de hacking, sin peligro de hacer nada ilegal.
Y como ciberseguridad y ciberinteligencia siempre han ido tan de la mano, Tryhackme tiene varios desafíos OSINT (habitaciones, como las llaman ellos) muy interesantes para capturar la bandera y encontrar la solución al enigma propuesto.
Lo primero que debes hacer es darte de alta en Tryhackme. Es gratis, aunque algunos desafíos de ciberseguridad son de pago.
Una vez dentro, no tienes más que buscar el término OSINT. Es muy recomendable que completes todas las habitaciones que puedas, tanto de teoría, como de práctica. Así, también aprenderás habilidades valiosas, como el Google Dorking y comprobar si las has integrado bien respondiendo a las preguntas.
Sin embargo, si solo quieres los desafíos 100% prácticos porque tú ya eres un hacha, elige también en el buscador que te muestre las habitaciones de tipo CTF, como se ve en la imagen de más arriba.
En muchas ocasiones, se celebran “juegos y desafíos OSINT” durante determinadas épocas del año, como los OSINT Games, en los que te apuntas y compites con otros durante esos periodos concretos de tiempo. Ya tardas en hacerlo si estás interesado, aunque lo cierto es que, o coincide que participas en ese momento, o las pruebas luego no suelen estar disponibles.
Sin embargo, estos 6 sitios para aprender OSINT con desafíos CTF que hemos visto, están abiertos y disponibles todo el tiempo y son muy recomensables.
