Es inevitable que muchas investigaciones OSINT y SOCMINT pasen por Twitter. Ya sea porque nuestro objetivo tiene una cuenta allí, porque es la red para seguir la actualidad de un suceso o porque es la más dada a troleos, amenazas y trifulcas, saber cómo hacer una investigación de fuentes abiertas en Twitter es fundamental.
- Si el objetivo tiene Twitter, es probable sacar cosas bastante jugosas de allí.
- Si se trata de investigar un suceso, las referencias en Twitter al mismo, así como posibles imágenes y vídeos también hacen de esta red social una mina de inteligencia.
La meta de cada investigación y lo que se quiera obtener con ella variará con cada trabajo, pero, sea cual sea ese objetivo, estos 10 consejos y estas 10 herramientas OSINT para Twitter resultarán útiles.
1. Para una buena investigación OSINT en Twitter: proceso, proceso y proceso
Que es lo mismo a tener en cuenta para cualquier investigación OSINT en cualquier ámbito.
Si no seguimos un proceso claro y probado, iremos a salto de mata, dejándonos cosas o metiéndonos en madrigueras de conejo hacia ninguna parte.
Tenemos que tener claro el objetivo, qué queremos encontrar, y luego seguir las mejores prácticas disponibles.
¿Cómo? Si no tenemos delimitado nuestro proceso personal a seguir para OSINT en Twitter, podemos empezar por uno ya probado y fiable, adaptándolo a nuestra situación y modo de trabajar.
Una vez más, un excelente punto de partida puede ser el proceso que sigue el ciberinvestigador @sinwindie, detallado en esta imagen. A partir de ahí, podemos modelar y retocar.
2. La mejor herramienta OSINT de Twitter es su búsqueda avanzada
Vamos a ver herramientas y aplicaciones de OSINT para Twitter, pero la mejor de todas es, sin duda, su búsqueda avanzada.
Si nos vamos a ella usando el enlace anterior, tenemos una pantalla como la de la imagen de arriba, que nos permite buscar filtrando por un montón de parámetros. Eso permite hacerlo de manera visual, sin necesidad de aprender los operadores avanzados de búsqueda.
Sin embargo, creo que todo investigador OSINT se beneficiará de aprenderlos y practicarlos, de manera que puedes usarlos directamente desde la barra de búsqueda general de Twitter.
De manera similar a Google, cuando usas ciertos operadores en la búsqueda, va limitando y filtrando opciones. Por ejemplo:
from:odintosintpermite buscar solo los tuits escritos desde una cuenta, en este caso, la de Odin en Twitter.to:odintosintpermite buscar tuits que se envían a esa cuenta. Un combo de ambos permite ver los tuits cruzados entre dos cuentas.filter:imagespermite ver solamente imágenes sobre un término de búsqueda cuando lo añades a dicho término de búsqueda.
Hay muchos y muy útiles. Aquí tienes cómo usar la búsqueda avanzada visual de Twitter y Ciberpatrulla hace un buen resumen de operadores importantes de Twitter aquí.
3. El filtrado de cuentas de interés y el SNA
Está muy de moda hacer un Social Network Analysis o SNA de Twitter, creando gráficos espectaculares de nodos y relaciones. Esos grafos quedan muy bien en los informes, aunque la utilidad práctica ya es otro tema de cara a sacar información concreta según sea el objetivo de la investigación. También encanta a todos aquellos inclinados por la ciencia de datos.
Personalmente, alguna vez me han servido para ver algún patrón o anomalía, pero todo depende de los casos de uso concretos.
Sin embargo, sí hay datos interesantes que podemos extraer de un análisis general de redes. Algunos de ellos pueden facilitar encontrar cuentas de interés que investigar, especialmente cuando el objetivo tiene demasiados seguidores, seguidos o interacciones.
En esos casos, lo que se suele hacer es acotar por:
- Cuentas que pertenecen a humanos no influencers. Para eso, podemos dividir seguidores por seguidos y ver los que dan un resultado cercano a 1.
- Cuentas con las que se tenga actividad e interacciones.
- Cuentas que se siguen mutuamente. Es decir, que parecen tener más relación.
Eso puede dar lugar a analizar dichas cuentas e interacciones, con probabilidad de obtener algo interesante, de nuevo, según sea el objetivo de la investigación.
O, al menos, bajamos de 5000 seguidores en general a 50 de interés, algo más manejable.
Sin embargo, y por experiencia propia, hay otros seguidores más interesantes que, por alguna razón, pocos tienen en cuenta.
4. El tesoro OSINT en Twitter suele estar en los primeros seguidores y seguidos
Al menos en mi experiencia y en casos de análisis de objetivos, los seguidores más interesantes son, casi siempre, los primeros que ha obtenido dicho objetivo.
Del mismo modo, puedes encontrar cosas interesantes en las primeras cuentas a las que ese objetivo ha seguido.
En no pocas ocasiones, eso ha permitido obtener personas de interés relacionadas con el objetivo del OSINT en Twitter.
Esto se debe a que los primeros seguidores suelen ser conocidos o familiares y lo primero a lo que sigues cuentas que muestran intereses de dicho objetivo.
Así que, siempre que realizo un análisis OSINT de Twitter, despliego todos los seguidores (o los recojo mediante una herramienta como las que veremos más adelante), voy hacia abajo y llego a los últimos que aparecen, que son los primeros que empezaron a seguir a la cuenta.
A esos, los examino con más cuidado. Luego hago lo mismo con la gente a la que empezó a seguir mi objetivo.
Descubres cosas muy interesantes y, sobre todo, puede que haya filtraciones de información, que es lo siguiente a tener en cuenta.
5. Atención a las filtraciones OSINT de nodos cercanos
Tú te cuidas todo lo posible de no aparecer por redes y viene el amigo típico a etiquetarte. O te callas lo que haces cierta noche, pero alguien cercano que estuvo contigo va y lo suelta en las redes.
Y tú, muchas veces, ni te enteras.
En la práctica, esos primeros seguidores de Twitter me han servido porque pueden ser fuentes de filtrado de información referida al objetivo.
Ejemplo real: Analizando una cuenta de Twitter, era difícil saber si pertenecía al objetivo de la investigación. El objetivo era discreto y no daba pistas de nombres o lugares. Sin embargo, una de las primeras seguidoras de la cuenta (muestra de posible relación) tenía puesto su nombre y dos apellidos. Estos últimos coincidían con los del objetivo, era su hermana.
Otro ejemplo real: cuenta que no se sabe si es mujer u hombre, aspecto, ni casi nada, porque se cuida bien, una vez más, de no poner nada al respecto. Pero una de las primeras seguidoras de la cuenta parece una amiga de toda la vida. Con la cuenta de dicha amiga casi abandonada, al examinarla aparece una foto de hace unos años en un concierto. Una de las personas que aparece es esa dueña de la cuenta, la otra es el objetivo. Otra mujer, de la que ya se tenía el rostro.
En serio, los amigos descuidados y el desconocimiento general de las capacidades OSINT son una mina.
6. Cómo encontrar tuits borrados
Varias formas de hacerlo:
- Usar The Wayback Machine, cómo no. Vamos a la web, ponemos la dirección de la cuenta de Twitter y vemos las instantáneas que tomó en diferentes momentos del tiempo, viendo si, en alguna de ellas, están los tuits que ha borrado la cuenta.
- Usar el caché de Google, que puede darnos también borrados recientes. Buscamos en Google el nombre de la cuenta + el término Twitter. Cuando salga (será el primer resultado normalmente), pulsamos en la flechita al lado de la dirección y, en el desplegable, elegimos «En caché». No tiene pérdida, pero aquí tienes una imagen de ejemplo.
Otra opción del caché puede ser poner en la barra de búsqueda que encuentre resultados de la cuenta objetivo directamente con la expresión:
site:twitter.com/cuentaobjetivo/status
El legendario Michael Bazzell comenta esta opción. Sin embargo, personalmente, los resultados han sido bastante variables y deprimentes, porque Google no guarda todo lo que hay, pero merece la pena probar por si acaso.
- Usar herramientas de terceros. Como puede ser Politwoops, que recupera tuits borrados de políticos, pero vamos, esas herramientas fallan más que una escopeta de feria y no te puedes fiar, así que no merece mucho la pena explayarse mucho.
7. Algunos favs dicen mucho
Básicamente, de lo que gusta o no al objetivo. En ocasiones viene bien hacer un repaso de esos favs, te puedes llevar alguna sorpresa inesperada.
Ejemplo real: infidelidades. En serio, cuidado con los favs.
8. Cómo descargar imágenes de Twitter a mayor resolución
Abres una imagen de Twitter y no sabes bien qué pixel de los cuatro que hay es tu objetivo, por la baja resolución de la foto. Pues bien, es muy posible que Twitter la haya reducido de tamaño.
Abre la imagen en una pestaña nueva (clic derecho y elegir esa opción del desplegable).
Ahora observa la barra de direcciones, es posible que la imagen acabe con términos como small. Mira el ejemplo y lo que está en rojo:
Borra la parte de &name=small para obtener la imagen a mayor resolución.
Puede que sea la misma, pero en muchas ocasiones, obtienes imágenes más grandes, ideales para un mejor análisis con IMINT.
9. Averigua siempre el ID de la cuenta de Twitter
Básico, pero imprescindible. El nick, nombre de usuario o handle de una cuenta puede cambiar, pero el ID es siempre el mismo.
Por eso, si quieres saber si una cuenta que se llama de una manera ahora se llamaba de otra en el pasado y cambió su usuario, comprueba el ID.
Puedes averiguar ese ID de Twitter fácilmente con webs como TweeterID o bien con alguna de las herramientas que vamos a ver a continuación.
10. Certifica posibles tuits
Ya se sabe cómo es Twitter, ahora algo está, ahora ya no está.
De ahí la importancia de buscar tuits borrados y también de certificarlos por si acaso los necesitas en tus informes, el cliente precisa pruebas, el objetivo cierra la cuenta o borra tuits…
Para eso, puedes usar la web de Egarante.
Las 10 mejores herramientas OSINT para investigar Twitter
Vistos los consejos, vamos con las herramientas. Como suele pasar, hay muchas más por la red de las que vas a necesitar y un buen investigador acaba utilizando solamente unas pocas preferidas.
Conocer más, sin embargo, siempre viene bien porque nos pueden fallar las habituales y es bueno tener opciones, o bien unas encuentran algo que otras no pudieron.
Twint - Twitter Intelligence Tool
Twint es una suit OSINT para Twitter muy interesante, porque hace scraping en lugar de usar la API de Twitter. Eso permite saltarse la restricción de 3200 tuits que tendremos en caso de emplear dicha API.
Puedes guardar tuits para examinarlos con calma, que recoja solo los que contengan cierto término, seguidores, seguidos, favoritos…
Muy útil y muy usada personalmente, en definitiva. Descarga e instrucciones de instalación en su repositorio de Github.
https://github.com/twintproject/twint
Twosint
Otra herramienta OSINT para Twitter muy interesante, su manejo es un poco al estilo Metasploit y similares. Tiene módulos, los vas eligiendo y cada uno hace una cosa: buscar tuits con enlaces, con un término, seguidores, seguidos, etc.
De nuevo, la descarga y las instrucciones de uso, en su repositorio de Github.
https://github.com/falkensmz/tw1tter0s1nt
Visto esto, veamos herramientas online de OSINT para Twitter que no requieren terminal, Python y similares.
Tinfoleak
Un clásico OSINT, introduces una cuenta y te da muchos datos de la misma. Información no es igual a inteligencia y la mayoría no servirá de mucho, pero es ideal para hacerse una idea general del objetivo.
Account Analysis
Similar a la anterior, también te da datos generales de la cuenta, horas de tuiteo y más.
Twitter Audit, para averiguar cuántos seguidores falsos tiene una cuenta de Twitter
Un clásico eso de que la mayoría de seguidores sean falsos. Si estás analizando políticos, hashtags o similares, vendrá bien para saber cuánto de bot y seguidores falsos hay en el tema.
All My Tweets, todos los tuits mostrados en una lista
Para tener rápidamente los tuits, favs, etc en una lista en pantalla.
¿Y para qué quieres eso? Para poder hacer una búsqueda rápida en el navegador por términos con Ctrl+F, por ejemplo, y mucho más.
Como la herramienta usa la API de Twitter, tienes el límite de 3200 mensajes.
Tweetbeaver
Tweetbeaver es otro clásico que nos da datos interesantes de una cuenta con un clic.
Desde averiguar el ID, hasta encontrar cuentas que se siguen entre ellas, matizando por parámetros útiles, es otra de esas webs que un ciberinvestigador debe tener en favoritos.
Followerwonk
Esta herramienta se centra en seguidores de una cuenta, con lo que viene muy bien para analizar por ahí. Puedes comparar cuentas y ver cómo se solapan seguidores, buscar en biografías y mucho más.
Truth Nest
Otra herramienta que permite un análisis general de la cuenta de Twitter. Hashtags, tuits populares, últimas menciones, respuestas, la frecuencia de uso, las horas…
Es decir, información general.
Siendo sinceros, es otra de esas herramientas que quedan bien estéticamente en un informe, con sus gráficos y demás. Sin embargo, muchas aportan información a secas, más que inteligencia, aunque puedes extraer algún patrón interesante, dependiendo del objetivo, pero vamos, poca chicha en realidad.
Como ves, realizar OSINT en Twitter es fundamental y, con estos consejos y herramientas, estarás bien enfocado a la hora de trabajar en tu ciberinvestigación.
