Buscar
Ejemplo de investigación de una web con OSINT
9 min de lectura

Ejemplo de investigación de una web con OSINT

Odin's Picture
Odin en OSINT web

Vamos a ver un ejemplo de cómo investigar una web sospechosa que tenemos en el punto de mira por nuestro trabajo OSINT. Por razones obvias, no voy a hacerlo con una web real, así que me voy a ir a la plataforma Tryhackme, que tiene algunos ejercicios de este tipo, y voy a resolver una de sus habitaciones relacionada con la investigación OSINT de una web.

La habitación se llama Web OSINT y puede ser realizada gratis si te das de alta con ellos.

Así vemos varias técnicas en acción y no nos metemos en líos, que es la premisa principal de toda práctica que realicemos en esta disciplina y en la ciberseguridad en general.

El objetivo en esa habitación es RepublicofKoffee.com, una web que ya no existe, y debemos empezar, como siempre, por lo más básico. Una manera de recoger información sobre una página sin visitarla directamente es, simplemente, buscarla.

Así, la primera tarea es poner “RepublicofKoffee.com”, con comillas, en Google.

Investigando el registro WHOIS

Sólo porque no aparezca nada cuando visitemos RepublicofKoffee.com no significa que nadie posea el dominio. De hecho, si hay alguna clase de página, aunque sea con pinta de spam, alguien lo posee.

¿Pero es esa persona la misma que durante el período en el que estamos interesados en nuestra investigación?

Una búsqueda whois es la forma más básica de reconocimiento que hay disponible para un dominio. Nos debería decir la actual compañía de alojamiento web y los nombres de servidores (name servers). Mirando a los datos en bruto, es posible incluso obtener más detalles.

Lo que queremos son datos que podamos usar como puntos de pivotaje en nuestra investigación OSINT. ¿Una dirección de correo quizá? O mejor aún, una dirección física o número de teléfono.

Técnicamente, estos datos son necesarios para registrar cualquier dominio, pero muchos registradores ofrecen alguna clase de protección de privacidad, porque se abusa de ello y bots acumuladores de datos recorren la web para recogerlos e inundarlos de spam.

Eso significa que, a día de hoy en un contexto real, la consulta whois no nos dará frutos casi nunca, pero veamos qué encontramos.

La habitación pregunta: ¿Cuál es el nombre de la compañía con la que se registró el dominio?

Nos vamos a https://lookup.icann.org/ que es lo que recomiendan en ese mismo ejercicio de Tryhackme y lo descubrimos.

Namecheap INC

Luego pregunta: ¿Qué número de teléfono de la compañía de registro aparece?

6613102107

¿Cuál es el primer nombre de servidor que aparece para el sitio?

DNS1.REGISTRAR-SERVERS.COM

¿Qué aparece como nombre de la persona que lo registró?

redacted for privacy

¿Qué país aparece para el que registró la web?

Aparece el nombre de Reikiavik, capital de Islandia, pero no es ese el país que acepta como solución el ejercicio. Parece haber un problema con esta habitación, por lo que sea y la solución era Panamá, pero eso ya no aparece. En fin, esto es habitual en ejercicios que hace tiempo que se crearon.

El fantasma de los sitios web pasados

Si las primeras búsquedas no nos dan nada, no debemos desesperar. Aquí es donde entran archive.org y The Wayback Machine.

Hay una extensión de navegador que nos muestra automáticamente la búsqueda en Wayback Machine cuando una web falla al cargar, y puede ser recomendable en nuestro arsenal OSINT. Sea como sea, veamos si hay resultados disponibles.

Con lo que sacamos de ahí, respondemos a las preguntas que nos hacen en nuestra investigación ficticia.

¿Cuál es el nombre del autor del blog?

Steve

¿Desde que ciudad y país escribe?

El país es Corea del Sur, y ciudades aparecen varias, pero es la del primer post y en varios otros.

Gwangju, South Korea

¿Cuál es el nombre (en inglés) del templo que hay dentro del Parque Nacional que el autor suele frecuentar?

El parque, según un post, es el Mudeungsan national park, así que buscamos en Google. No tiene pérdida.

Jeungsimsa Temple

Toda esta información la sacamos de los viejos registros de la web en The Wayback Machine, que sin duda es la mejor herramienta para un OSINTer.

Profundizando en los DNS

Vamos con la recopilación de detalles técnicos de la web que estamos investigando. Aquí es donde entra https://viewdns.info/

Esta página nos proporciona un interfaz conveniente para buscar información sobre el registro de la web objetivo. Usándola, podemos extraer conclusiones que no aparecen a primera vista, como por ejemplo si la web está alojada en una IP compartida o dedicada.

La respuesta a esta pregunta puede implicar cosas sobre el presupuesto de la web y su tráfico.

Veamos si podemos responder a estas preguntas que nos plantean en la investigación.

¿Cuál fue la dirección IP de RepublicOfKoffee.com en Octubre de 2016?

Hay un apartado de IP históricas, buscamos ahí y nos salen varias.

173.248.188.152

Basado en los otros dominios alojados en la misma IP, ¿Qué clase de servicio de alojamiento podemos asumir que se utiliza?

Si usamos la opción Reverse IP Lookup para nuestra web, salen un montón de webs, eso quiere decir que no es la única alojada ahí, con lo que es alojamiento compartido. La respuesta (en inglés) que nos piden es pues:

shared

¿Cuántas veces ha cambiado la IP durante la historia del dominio?

Buscar la respuesta a la primera pregunta de este apartado nos da también esta respuesta.

4

Quitando los ruedines de entrenamiento

A partir de ahora, tenemos que usar lo que hemos aprendido y solo nos dan un dominio a fin de contestar las siguientes preguntas.

heat.net

¿Cuál es el segundo nombre de servidor listado para el dominio?

Lo miramos en un whois básico.

NS2.HEAT.NET

¿Qué dirección IP tenía el dominio en diciembre de 2011?

Nos vamos a viewdns.info y buscamos en IP History

72.52.192.240

Basado en los dominios que comparten la misma IP, ¿qué clase de alojamiento está usando el dueño del dominio?

Buscamos de nuevo en Reverse IP Lookup y aparecen 48 dominios alojados en ese servidor. Así pues, es compartido.

shared

¿En qué fecha fue capturado el sitio por primera vez dentro de Internet Archive?

06/01/97

¿Cuál es la primera frase del primer párrafo de la captura final de 2001?

After years of great online gaming, it’s time to say good-bye.

Usando nuestras habilidades de búsqueda, ¿cuál era el nombre de la compañía responsable de la versión original del sitio?

En alguna página del 97 hay algún copyright al pie que lo revela.

SegaSoft

¿Qué dice el primer encabezado del sitio en la última captura de 2010?

Heat.net – Heating and Cooling

Echando un vistazo bajo el capó

Es interesante que la web desapareciera un tiempo y luego volviera. El propósito del sitio es diferente ahora, así que vamos a averiguar qué ocurre.

Primero, ¿qué nos dice el instinto? ¿Cuál es nuestra impresión general? ¿Parece una fuente legítima de información? ¿Por qué?

Deberíamos considerar los siguientes puntos:

  • Lenguaje: ¿Qué nivel tiene la escritura? ¿Parece escrito en un inglés nativo?
  • ¿Es el diseño moderno? ¿Es amigable para el usuario?
  • ¿Qué páginas tiene el sitio?

Investigación técnica

A menudo, el código fuente del sitio contiene pistas que su creador deja sin pretenderlo. Examinarlo es interesante y también funciona en Archive.org.

Una vez se carga la fuente de la página, podemos examinar.

Elemento Explicación Más información
<!– Comentarios Ver más arriba
@ Dirección de email Pivotar desde un email
ca-pub Google Publisher ID Descripción de Google
ua- Google AdSense ID Tutorial de Bellingcat
.jpg Probar otras extensiones Puede revelar estructura de directorios

Encontrar los datos de arriba nos puede dar puntos de pivotaje esenciales. El artículo de Bellingcat entra en detalle de cómo hacerlo exactamente, pero no tenemos que complicar demasiado las cosas.

Siempre podemos coger lo de arriba, ponerlo en nuestro buscador y encontrar algo de oro.

Las siguientes preguntas se refieren a heat[dot]net/36/need-to-hire-a-commercial-heating-contractor/

¿Cuántos enlaces internos hay en el texto del artículo?

5

¿Y externos?

1

¿Cuál es la web en ese externo (y que no es un anuncio)?

purchase.org

Tratemos de encontrar el código de Analytics del sitio (código fuente, buscar Analytics)

UA-251372-24

¿Este código se usa en otro sitio? (hay que responder yay o nay). El código de Google Analytics es una mina y podemos buscar esa información que nos pide en nerdydata.com, por ejemplo. Al parecer, no hay más webs que usen el mismo código, lo que implica que, en principio, no podemos pivotar desde esta web a otra para recopilar información de quién hay detrás.

Así, la respuesta es pues:

nay

¿Tiene códigos de afiliado obvios en los enlaces? (yay/nay) Nos dice que busquemos en href y no aparece nada obvio, así que:

nay

Examen final, conectando los puntos

Los veteranos en OSINT te dirán que perseguir por madrigueras de conejo día y noche sin hacer conexiones sólidas no es OSINT. OSINT se refiere a los patrones que comienzan a surgir conforme conectamos los puntos en el análisis de los datos.

Hemos encontrado que nuestro objetivo enlaza a un sitio externo interesante, pero la pregunta es, ¿por qué?

No hay código de afiliado en el enlace, así que no hay una conexión obvia entre los dos, pero puede que haya otra clase de conexión. Este es el examen final y solo consta de una pregunta.

Hay que usar las herramientas DNS para confirmar el nexo entre los dos sitios y tratar de hacerlo sin recurrir a la pista que nos ofrecen si nos atascamos.

Si buscamos en IP History, nos aparece la misma empresa como poseedora de la IP.

Liquid Web, L.L.C

Informe

Efectivamente, es probable que los dos sitios estén operados por la misma entidad.

Examinemos esto.

Aunque hay muchos anuncios en la página, probablemente son un pequeño porcentaje del dinero que se consigue con la web. Requeriría más investigación para confirmarlo, pero es posible que los creadores de estos sitios ganen funcionando como PBN (Private Blog Network). Estos sitios, que antes eran importantes, pero cada vez menos con la deblace SEO general, existen para convencer al algoritmo del buscador de que otro sitio debería puntuar alto en los rankings de los motores de búsqueda.

¿Cómo? Enlazando webs dentro de su código, porque Google considera que, si enlazan tu página, debe ser porque tiene valor, así que se tardó dos segundos en coger ese criterio y explotarlo hasta la nausea.

Heat.net no parece un sitio diseñado para humanos, sino para convencer al algoritmo de que purchase.org debe estar más alto de lo que debería, enlazando hacia él.

Purchase.org, además, parece un sitio de dropshipping, lo que probablemente gane más dinero que heat.net.

You may also like

Cómo recuperar tuits borrados
7 min de lectura

Cómo recuperar tuits borrados

Durante una investigación OSINT, recuperar tuits borrados por el objetivo es fundamental. Estas son las formas de hacerlo

Odin's Picture
Odin in OSINT twitter técnicas
Cómo se está usando la OSINT en la guerra de Ucranía
10 min de lectura

Cómo se está usando la OSINT en la guerra de Ucranía

La guerra de Ucrania ha puesto de relieve la importancia de la OSINT, así se está usando en el conflicto, con técnicas y ejemplos

Odin's Picture
Odin in OSINT Ucrania guerra
Las mejores distros de Linux para OSINT
8 min de lectura

Las mejores distros de Linux para OSINT

Si estás interesado en conocer las mejores distribuciones Linux para labores de OSINT y ciberinteligencia, aquí las tienes

Odin's Picture
Odin in OSINT Linux herramientas

Últimos Posts

Explorar temas

Android Aplicaciones Ataque Blackbird Caso de estudio Ciberinteligencia Ciberseguridad Codificación Consejos Criptografía Ctf Definición Detectives Doxxing Email Empresas General Geoint Geolocalización Ghunt Google Guerra Hacking Hashing Herramientas Huella digital Humint Imint Imágenes Instagram Inteligencia Investigaciones Investigación Libros Linux Malware Metodología Osint Pentesting Periodismo Privacidad Procesos Proxychains Redes sociales Sigint Soc Socmint Tor Tryhackme Twitter Técnicas Ucrania VPN Web Windows Wordpress