¿Ha visto esas películas en las que los protagonistas se disfrazan para infiltrarse o realizar alguna operación sin que se sepa quiénes son? Los sock puppets son el equivalente en OSINT. Porque ningún ciberinvestigador que se precie comienza su labor sin “disfrazarse” antes para protegerse y ocultarse.

Los sock puppets (término en inglés que hace referencia a un tipo de marioneta pequeña hecha con un calcetín) son un elemento fundamental dentro de la investigación de fuentes abiertas.

De hecho, son el primer paso básico que debemos tener configurado antes de lanzarnos a investigar un objetivo.

Como veremos, los sock puppets nos permiten actuar sin ser descubiertos ni dejar rastro de nuestro trabajo. En esta guía completa veremos qué son exactamente los sock puppets, cómo crearlos, qué tipos existen, para qué sirven en una investigación, cuál es su utilidad y mucho más.

Comencemos por lo más básico.

¿Qué es un sock puppet cuando hablamos de investigación de fuentes abiertas OSINT?

Un sock puppet es una persona o entidad ficticia utilizada por un investigador durante sus labores OSINT. En otras palabras, son cuentas falsas (en foros, redes sociales, servicios de email, etc) desde las cuales investigamos a otra persona o entidad.

Con esas cuentas, nos identificamos en sitios web, realizamos búsquedas en redes sociales, rastreamos datos y personas…

En ocasiones, dependiendo de la naturaleza del trabajo, puedes incluso comprar algún producto, enviar algún mensaje o interactuar con un objetivo de interés desde esa cuenta falsa.

¿Para qué se usan los sock puppets en OSINT?

La utilidad es clara:

Los sock puppets se usan para no revelar nuestra verdadera identidad cuando realizamos actividades de ciberinvestigación.

Porque, como es obvio, es una locura realizar investigaciones OSINT “a pelo”, usar nuestras cuentas propias en redes sociales, escribir o registrarse desde emails que puedan ser trazados hasta nosotros, etc.

Por eso, creamos esas cuentas ficticias o sock puppets para nuestras actividades, como, por ejemplo, el seguimiento de un objetivo.

Esto puede abarcar, desde observar sus redes sociales “desde lejos”, como a la hora de “acercarnos” más, siguiendo a la cuenta del objetivo sin hacerlo con nuestra identidad, de manera que no sepa quiénes somos realmente.

Del mismo modo, los sock puppets son imprescindibles a la hora de la infiltración en foros y comunidades o tomas de contacto con objetivos (si pasamos de OSINT a HUMINT porque la investigación lo requiere).

¿Por qué usar sock puppets en la investigación de código abierto OSINT?

Los sock puppets tienen muchas ventajas en las investigaciones OSINT.

La primera es, por supuesto, el anonimato. Con un sock puppet, puedes esconderte fácilmente detrás de una persona que en realidad no existe, lo que significa que puedes investigar sin ser descubierto.

Además, estas cuentas títere te permiten no dejar ningún rastro de tu actividad, ni de tus huellas personales.

Del mismo modo, ciertos foros y comunidades requieren de cuentas antiguas y de cierta interacción en el tiempo para poder participar o acceder a cierta información.

Un buen ciberinvestigador OSINT habrá creado y trabajado sock puppets en esas comunidades a lo largo del tiempo, para tener acceso cuando lo necesite.

Un ejemplo son algunas redes o comunidades que revelan brechas de datos o resultados de hackeos, que son lugares habituales a los que se recurre en OSINT.

Los ciberinvestigadores tienen cuentas sock puppet en muchos de esos sitios, con años de antigüedad y cierta actividad que parece natural, de manera que no resulta sospechosa o bien puede acceder a ciertos posts e información que, en ocasiones, solo están disponibles para usuarios con veteranía y actividad probadas.

Una nueva cuenta tardaría en conseguir ese acceso o despertaría sospechas. Por eso, los ciberinvestigadores tienen muchos sock puppets estratégicamente creados, colocados y mantenidos en esas comunidades.

Otro ejemplo de todo esto es LinkedIn, que es una mina OSINT más poderosa de lo que muchos creen. Sin embargo, cuando alguien visita un perfil, el objetivo se entera y, normalmente, echa un vistazo a quien le ha visitado, es inevitable. Si lo haces desde tu cuenta personal, ya te has descubierto. Del mismo modo, si lo haces desde una cuenta recién creada, también puedes despertar sospechas si es que el objetivo está al tanto de que pueden estar tras su pista por algo.

Igualmente, LinkedIn exige cierta actividad y número de contactos para ver cierta información. Un buen sock puppet con años de interacciones puede servirnos para eso sin problemas.

Por último, los sock puppets también sirven para acceder a información a cambio de la cual tienes que dejar algún dato. Si te van a enviar un informe o archivo a cambio de dejar un email, o de pedirlo mediante un formulario, no usas tu nombre y correo personal, sino que utilizas una cuenta títere.

Tipos de sock puppets en OSINT

Un buen investigador OSINT recurrirá a 2 tipos de sock puppets según la situación:

• Cuentas ad-hoc temporales de usar y tirar, poco importantes, pero necesarias para conseguir algo concreto, como registrarse en un sitio web, dejar un email, descargar algo, etc.
• Cuentas veteranas, de largo plazo y valiosas, con años de actividad en redes sociales como Facebook, Twitter o LinkedIn, así como en comunidades de interés, como las de filtrado de datos o foros de hacking.

1. Los sock puppets temporales de usar y tirar

Estas cuentas títere son necesarias durante un breve tiempo y no suele ser preciso mantenerlas a largo plazo o crearlas con mucha complejidad.

De hecho, estas identidades falsas son para quemar enseguida, pues resultan de usar y tirar. Del mismo modo, no exigen una gran labor de creación, pueden ser simplemente un email temporal y cualquier nombre que te venga a la cabeza.

Por ejemplo, necesito dejar un email para bajar un documento de una empresa que estoy investigando, o quiero registrarme en un sitio web y echar un vistazo breve.

En ese caso, me voy a un servicio de email temporal que crea una cuenta de correo que solo existe durante un breve lapso de tiempo, como el excelente servicio Temp-Mail.

Allí, me genera una dirección que pongo en el formulario de descarga del documento (protegido tras una VPN, claro), pongo cualquier nombre y accedo a la información.

La cuenta temporal de email me permite acceso a posibles mensajes (como el enlace de descarga) y se destruirá al poco tiempo para siempre, no quedando rastro que lleve hasta mí (insisto, si hemos tomado precauciones, como VPNs, Tor o similares).

2. Los sock puppets de largo plazo o “agentes durmientes”

Estas son cuentas e identidades creadas en las principales redes sociales, con antigüedad y actividad que simulan la de un humano de verdad.

Así, son “personas” con intereses, comentarios, posts e incluso fotografías que resultan indistinguibles de una cuenta verdadera.

Estos son los sock puppets más valiosos y más cuando, muchas redes sociales, en sus esfuerzos por atajar la actividad de bots y cuentas falsas, están redoblando las medidas y exigencias para cuentas nuevas, con poca actividad, etc.

Estos sock puppets se crean y mantienen durante años, en muchos casos como “agentes durmientes” que, cuando es necesario, “despiertan” y realizan la actividad necesaria en una investigación OSINT.

Esta puede ser visitar la cuenta de otra persona en una red social, dejar comentarios, acceder a información que no puede verse de manera anónima, seguir cuentas privadas en redes para poder ver sus posts…

Con la concienciación cada vez mayor sobre la privacidad de muchos objetivos de investigaciones OSINT, además de las mayores exigencias de muchos sitios web en cuanto a cuentas, estos sock puppets son imprescindibles y “quemar” uno de ellos, por error o por necesidad, supone una pérdida valiosa.

Aquí ya no nos vale solamente con un email temporal y un nombre. El proceso es complejo y, si los queremos como “agentes durmientes” a largo plazo, habremos de cuidar mucho su creación y mantenimiento.

Veamos cómo construir bien un sock puppet para OSINT de este tipo.

Cómo crear un sock puppet para una investigación OSINT

En este caso, vamos a ver los “agentes durmientes” de largo plazo. Para los sock puppets de usar y tirar es mucho más fácil y solo necesitaremos parte de lo que vamos a ver aquí. De esta manera, si sabemos crear un sock puppet de largo plazo, no tendremos problema en crear uno de usar y tirar.

Construir el títere implica crear un nuevo personaje basado en información sobre una persona real o imaginaria.

Para eso, necesitaremos:

1. Datos básicos del sock puppet

Es decir, nombre, apellidos, profesión, lugar de residencia, etc.

Del mismo modo, una pequeña biografía con intereses, aficiones, trabajos, etc. Aunque parezca una paradoja, es importante ser concretos y difusos a la vez.

Es decir, comentar a qué te has dedicado (10 años de experiencia como comercial), pero, a la vez, no es necesario poner lugares de trabajo concretos que sean mentira.

¿Por qué? Porque es importante no aportar datos falsos que puedan ser fácilmente descubiertos.

Por ejemplo, si estamos creando un CEO de una sociedad limitada ficticia, un pequeño trabajo de contrainvestigación OSINT puede descubrir enseguida que el Registro Mercantil no tiene constancia de esa sociedad y despertar sospechas.

Todo ciberinvestigador OSINT debe conocer bien qué fuentes públicas dan qué información importante, para no quemarnos los dedos cuando nos realicen la inevitable contrainteligencia.

2. Imágenes, fotografías y vídeos

Para aportar veracidad a un sock puppet, es importante añadir imágenes o vídeos en sus cuentas de redes sociales. Aquí es donde la mayoría la pifia.

Lo primero en este sentido sería obtener una foto de la persona en la que vas a basar tu personaje. Eso siempre da más credibilidad a una cuenta que no tenerla.

Para esto, debemos usar imágenes que no puedan ser fácilmente descubiertas con una búsqueda inversa, con lo cual, olvidémonos de fotografías de modelos, imágenes de stock y similares.

Si hacemos eso, cualquiera con media neurona descubrirá que somos una cuenta falsa enseguida.

De hecho, ese es el fallo habitual de muchas cuentas en redes que participan en campañas de tinte político, difamación, bulos, etc.

¿Y cómo saber que la imagen de tu sock puppet no será descubierta de esa manera?

Sencillo, haz tu mismo esa investigación de imágenes y asegúrate de que no te descubren fácilmente el engaño.

Otros muchos cometen también un fallo importante en esas fotografías, como es el de usar imágenes creadas por inteligencia artificial.

A estas alturas, muchos conocen sitios web “This person does not exist”, donde una IA crea un rostro de una persona que no existe. Y dan el pego… más o menos, pero si somos serios, tampoco deberíamos usarlas en mi experiencia.

A ver, para algo temporal que vamos a quemar y esas cosas, pues bueno, son un paso más allá de usar imágenes de stock. Sin embargo, hoy día esta otra tapadera también puede volar fácilmente.

Existen técnicas y aplicaciones para detectar que un rostro ha sido generado por IA y, francamente, cuando aprendes cuatro cosas básicas, un buen ciberinvestigador OSINT puede distinguir claramente, sin necesidad de herramientas externas, cuándo un rostro se ha generado con This person does not exist o similares.

De hecho, cuando practicas un poco esas técnicas de reconocimiento sin necesidad de herramientas, lo cierto es que “cantan” a la legua en cuanto ves una persona creada por una IA.

Cómo generar una buena fotografía para un sock puppet

¿Cuál es la solución entonces? No es cuestión de desvelar todos los trucos en la manga, pero uno de los mejores es recurrir al pasado antes de Internet.

A fotografías de revistas y libros antiguos, de personas desconocidas, que no estén online ni puedan trazarse.

Por ejemplo, una de los sock puppets personales está hecho con la fotografía de un modelo extranjero desconocido, extraído de un viejo y desconocido libro para aprender inglés. Escaneada e investigada a fondo, esta imagen o la identidad de esa persona no aparece por ningún rincón de la red.

Del mismo modo, producir más fotografías y vídeos en las cuentas de nuestros sock puppets nos servirá para generar actividad en la cuenta que ayude a legitimarla. La cuestión es que en ella no aparezca nuestro rostro, sino paisajes, eventos, etc.

Es importante que estas imágenes, de nuevo, no nos delaten y no permitan contrainvestigación exitosa.

Por ejemplo, si he estado en un evento multitudinario, como un concierto o algo así, puedo aprovechar para grabar un vídeo o hacer unas fotos. Días después, puedo subirlos a la red social de mi sock puppet, con mucho cuidado de no revelar las mismas fotos que haya puesto en mis cuentas personales.

De hecho, si uso fotos de un evento para mi sock puppet, jamás publico en mis redes sociales que he estado yo también en dicho evento.

En ciberinvestigación, es importante cubrir primero nuestras huellas y luego seguir las del objetivo.

3. Post y envíos periódicos

Una vez hecho lo anterior, debemos darle esa actividad a la cuenta, para que no se quede criando polvo y resulte sospechosa, porque se activa solo cuando estamos investigando.

Una vez producido todo eso, es hora de usar el sock puppet. Cuando se trata de títeres a largo plazo, la regla de oro es esta:

Debes crear e ir dando vida tu sock puppet mucho antes de que te sea necesario para una investigación OSINT.

Cómo gestionar bien un sock puppet

Básicamente, hemos de recordar que tenemos esas cuentas e ir generando actividad de manera habitual.

Lo ideal es apuntarse en la agenda cuándo usarlas, identificarse en las cuentas de los sock puppets e ir visitando otras cuentas, marcando posts como favoritos, haciendo algún comentario inocuo, escribiendo algo…

Lo ideal es hacerlo en días y horas aleatorios, para dar una impresión más natural.

Eso simula un comportamiento humano y es muy importante, sobre todo para:

• Evitar los mecanismos de control y borrado (automatizados o no) de cuentas falsas por parte de redes sociales.
• Evitar ser descubiertos cuando se ejecuta contrainteligencia contra el analista OSINT. Algo que debemos suponer que siempre se va a producir, incluso cuando en bastantes ocasiones puede que no sea así.
• Evitar que, aunque no se descubra quién hay realmente detrás del sock puppet, se detecte de todos modos que este es falso, poniendo en riesgo la investigación, la confianza que tiene el objetivo (en caso de haber entrado en contacto con él) o, simplemente, poniendo en alerta al objetivo de que le pueden estar investigando.

Por ejemplo, usamos un sock puppet para seguir al objetivo en Twitter, pero dicho objetivo apenas tiene seguidores o participa, con lo cual, puede preguntarse: “¿Por qué me ha empezado a seguir esta persona?”.

Puede que el sock puppet, si no ha sido bien gestionado, parezca un bot porque no hemos tenido actividad o algo no encaja. De esa manera, el objetivo se pone en alerta y puede empezar a ser más cuidadoso con lo que comparte, hacer privadas sus cuentas, etc, comprometiendo la investigación OSINT.

En definitiva, debemos imitar habitualmente la conducta humana de alguien interesado en los temas y redes para los que se han creado esos sock puppets.

Herramientas para la gestión de sock puppets

Todo esto añade una inconveniencia adicional porque cada sock puppet tiene sus emails, contraseñas, cuentas en sitios webs propias, etc. Si eso ya resulta pesado en lo personal, cuando tienes que gestionar varias cuentas, se vuelve insoportable.

Algunas herramientas nos pueden servir para ayudarnos en la gestión de sock puppets.

• Firefox Multi Account containers es una de las más usadas para separar las distintas cuentas online fácilmente y cambiar entre ellas, además, con la posibilidad de integrar la VPN de Mozilla para mayor seguridad en las investigaciones.
• Si usas Chrome para OSINT, cosa muy desaconsejable, pero bueno, algo parecido es la extensión Multilogin. Pero vamos, cualquier ciberinvestigador OSINT que se llame así no lo utilizaría.
• Otra opción es usar la opción de Gestor de perfiles de Firefox e ir eligiendo el que necesitamos para investigar y navegar.
• El lápiz y papel es un buen aliado. Escribe los datos, biografía y demás en un dossier con tus sock puppets y tenlo a mano. Es importante recordar nuestra historia para que no nos pillen en un renuncio.

¿Cómo usar sock puppets en la investigación OSINT de código abierto?

Una vez que hayas construido tu personaje, el siguiente paso será reunir información sobre la persona u organización objetivo a través de un títere o varios.

Antes de empezar a buscar, es importante entender cómo y para qué puedes usar los sock puppets.

• Lo primero que puedes hacer es construir una relación con miembros de foros, redes sociales y otras fuentes de información. Construir dicha relación significa que empezarás a comunicarte con ellos, comentando, respondiendo o poniendo tus propios posts en una comunidad, como puede ser un grupo de Telegram.
• Del mismo modo, a la hora de investigar redes sociales, cambia al perfil del sock puppet adecuado y sé consciente de cuánta información revelas al moverte por esas redes. Por ejemplo, el usuario puede comprobar quién ha visto su story en Instagram o quién ha visitado su perfil en LinkedIn. Una mala elección de sock puppet y ya la has liado.
• Del mismo modo, si tienes que conseguir datos dejando un email, etc, puedes echar mano de esos sock puppets temporales.
• Otra opción es la creación de contenido mediante el sock puppet, con la intención de hacer reaccionar al objetivo. Es decir, con el ánimo de que revele detalles que necesitas cuando nos responde la pregunta en un foro, o bien que el investigado empiece a sentir familiaridad o confianza. Esto se produce, por ejemplo, cuando al objetivo le suena “tu cara” de alguna cosa que has dicho en la comunidad que compartís. De nuevo, el sock puppet debe pasar una prueba de autenticidad y contrainvestigación.

Todo esto, nos lleva a un tema fundamental y poco tratado en OSINT, pero que, tarde o temprano, surgirá en toda ciberinvestigación.

Entrar o no entrar en contacto con objetivos a través de sock puppets

En general, es MUY desaconsejable el contacto directo con el objetivo, aunque sea con sock puppets y todas las medidas de seguridad habituales en ciberinvestigaciones (VMs, VPNs, etc).

Si entramos en contacto para averiguar información no revelada públicamente, nos estamos saliendo del ámbito OSINT. Eso puede traer complicaciones, incluso de tipo legal.

Si contactamos, normalmente, es para extraer datos o información del objetivo que no están públicamente accesibles y en fuentes abiertas (o, al menos, no los hemos encontrado). Puede ser que sospechemos que cierta cuenta en redes es el contacto que estamos investigando, pero no estamos seguros, así que contactamos con un títere para comprobar si es así.

Esto entra dentro del campo de la HUMINT y se sale de la OSINT. Porque no, la HUMINT no es OSINT.

Igualmente, según la naturaleza del caso, arriesgamos mucho al sock puppet con el contacto. Incrementamos las probabilidades de ser descubierto o, al menos, de que descubran que la identidad es falsa, quemando así a nuestro sock puppet. Eso será una pena, especialmente si era una identidad con historial que aparentaba ser humana.

Así pues, excepto en ciertos casos y dependiendo de la organización o la operación para la que trabajemos, no debe ser algo a lo que recurrir.

En serio, mejor mantenerse alejados de los objetivos, incluso con sock puppets.

Dicho eso, en ocasiones puede ser el último recurso.

Por ejemplo, puedes necesitar contactar en Wallapop durante una ciberinvestigación de receptación y fingir un interés en un producto, para confirmar si el vendedor se llama como nuestro objetivo y otros detalles que nos revelen que quien hay detrás de una cuenta de interés es la persona que buscamos (anécdota que puede estar basada en hechos reales… o no).

Pero en serio, eso es HUMINT y otra Caja de Pandora muy diferente que tratar.

Ventajas y desventajas de los sock puppets en OSINT

Si echamos un vistazo a lo que hemos visto hasta ahora, podemos ver que los sock puppets, además de ser imprescindibles antes de dar un solo paso en una ciberinvestigación, tienen muchas ventajas en OSINT.

• El anonimato y la protección tras una persona ficticia.
• La creación de una relación con una posible fuente, no mediante contacto con ella, sino haciendo que nos conozca y le sonemos de algo, lo que hará que no seamos completos desconocidos.
• Pasar controles de aplicaciones para conseguir información inaccesible de forma anónima (como cuentas privadas en redes).
• La capacidad de investigar e infiltrarnos donde haga falta con un catálogo de sock puppets lo bastante amplio y bien mantenido.

Sin embargo, no todo son ventajas.

• Es fácil ser descubierto como un sock puppet si no sabes lo que haces. Errores de novato, como no disfrazar la IP, usar imágenes de stock o no tener una gestión de cuentas decente (usando el títere equivocado, por ejemplo) son un clásico habitual.
• La otra gran desventaja del uso de sock puppets es el tiempo y el esfuerzo que supone construir y mantener un nuevo personaje. Esto es algo que no debe subestimarse, especialmente si queremos utilizarlos en una investigación a gran escala.

Sobre todo, cuando se trata de “agentes durmientes”, se nos suele olvidar ese mantenimiento de sock puppets.

Resumiendo, los sock puppets son un elemento fundamental en todo tipo de investigación de código abierto. Permiten el anonimato, construir una relación con posibles fuentes de información, recopilar datos inaccesibles de manera anónima y mucho más.

Si los gestionamos bien, esos disfraces nos protegerán ante una contrainvestigación, que, insisto, siempre debemos suponer que se está dando contra nosotros.