La inteligencia no es más que el conocimiento generado tras un proceso de recopilación, análisis y ordenación de información llevado a cualquier faceta de la vida. Cuando se habla de inteligencia aplicada al mundo ciber, conocido como ciberinteligencia, es cuando esa recopilación de información se da ante un hecho o incidente de seguridad ocurrido en el ciberespacio que requiere de un análisis para entender lo sucedido, apoyándose para la tarea en una serie de herramientas disponibles para la recopilación y tratamiento de la propia información y una serie de procesos para proceder a la ordenación de esa información que se detalla en un informe final que evalúa lo sucedido y plantea cómo actuar ante ello.
En el Congreso de Seguridad Informática HoneyCON que se celebra en Guadalajara, dos grandes especialistas en ciberinteligencia, Iván Portillo y Gonzálo González, realizaron una charla-taller para explicar cómo se da esa inteligencia aplicada al mundo ciber planteando un caso práctico a investigar aportando una amplia recopilación de herramientas para la recopilación de información.
Iván Portillo (@ivanPorMor) es analista senior de Ciberinteligencia. Co-fundador de la Comunidad de Inteligencia y Seguridad GINSEG, co-fundador del congreso IntelCon y colaborador con Derecho de la Red. Graduado en Sistemas de Información con postgrados en Análisis de Inteligencia y Seguridad Informática y de la Información, especializado en generación de inteligencia obtenida a través de procesos de crawling, análisis y correlación de datos masivos sobre amenazas a través de OSINT y Deep web.
Docente en diversos máster universitarios de ciberinteligencia y ciberseguridad. Cuenta con más de diez años de experiencia en proyectos relacionados con la seguridad informática, siempre enfocados en la innovación tecnológica con un importante matiz de emprendimiento. Cuenta con un perfil multidisciplinar con conocimientos sobre análisis forense, pentesting, análisis de datos, lenguajes de programación e inteligencia.
Gonzálo González (@gonx010) es investigador de ciberseguridad y jefe de un equipo de Hacking Ético dentro del CyberSoc de una importante compañía. Tiene amplia experiencia en proyectos relacionados con seguridad informática y tecnología para el sector financiero y ha participado desarrollando proyectos de innovación en ciberinteligencia en un Centro de Excelencia de Ciberseguridad.
Listado de herramientas OSINT para realizar inteligencia aplicada
En la charla abordan qué es la ciberinteligencia, sus conceptos y fundamentos clave. Explican para qué sirve esta inteligencia aplicada y cómo se relaciona con OSINT; describen el ciclo de inteligencia; diferencian entre amenazas vs. riesgos; detallan el ciclo de colección, análisis y producción de la información; clasifican los diversos interlocutores del proceso y la importancia que tiene adaptar el mensaje (y los informes) a cada uno de estos interlocutores.
Plantean un caso práctico basado en una empresa ficticia ‘Petrodolar S.A.’. Esta empresa sufre un incidente de seguridad, el CEO de la misma tiene constancia que se ha visto comprometida la empresa pero no sabe quién ha sido ni cuál es la motivación y encarga una investigación del incidente.
Ante este hipotético caso Iván y Gonzálo realizan una amplia recopilación de herramientas y técnicas OSINT, disponibles a continuación, advirtiendo la problemática que puede suponer la ingente recopilación de información si se hace sin un plan de acción, sin una metodología clara de proceso de datos. La presentación de la charla ‘Monta la NSA en casa’ está disponible en este enlace.
A continuación añado una a una la referencia de esas herramientas OSINT que comentan en la charla disponible tanto en vídeo como en podcast al final del artículo:
- Distribuciones OSINT:
- Buscador. Centrado en investigaciones sobre personas y organizaciones.
- Osintux. Enfocado en la formación. User: osintux. Password: osintux.
- Huron. Distribución Linux para OSINT, versión 1.0 y versión 2.
- Repositorios de datos:
- Scans.io. Repositorio de datos públicos creado por Censys.
- Ripe. Descarga de fichero: Index of/ripe/dbase
- Ciberpatrulla, dedicado a investigaciones OSINT.
- OSINT Framework. Enfocado en investigaciones OSINT.
- IntelTechniques. Enfocado en ofrecer formación OSINT y la facilitación de recursos.
- Búsqueda de información:
- LibreBor.me. Plataforma web que permite consultar información sobre el Boletín Oficial del Registro Mercantil (BORME).
- Robtex. Herramienta que da información relacionada con direcciones IP, dominio, subdominios, DNS, servidores de correo y blacklist.
- VirusTotal. Herramienta que facilita el análisis de ficheros, URLs, dominios, IPs o Hashes en busca de malware.
- HybridAnalysis. Herramienta dedicada a la detección de malware similar a la anterior.
- Pastebin. Herramienta que permite buscar fugas de información publicadas.
- Shodan. Herramienta que realiza un ZMAP hacia todos los dispositivos, dominios, direcciones IP conectados a Internet ofreciendo información sobre ellos. Recomendable en este punto ver el ciberdebate de Palabra de hacker ‘¿Qué es Shodan? El buscador al descubierto‘.
- Censys, buscador similar a Shodan descarrollado por Scans.io.
- Zoomeye. Para la localización de activos expuestos en Internet.
- Fofa. Para la localización de activos expuestos en Internet.
- IPv4info. Herramienta que ofrece información relacionada con sitios webs, DNS, rangos y direcciones IP…
- Namech_k. Herramienta que realiza una búsqueda en redes sociales a partir del nombre de un usuario para saber en cuáles está registrado con dicho nombre.
- Pipl. Herramienta para obtener información sobre una persona.
- Maltego. Herramienta que recopila información mostrando las evidencias mediante grafos.
- SpiderFoot. Herramienta enfocada en la recopilación de información que permite seleccionar el tipo de investigación mediante fuentes concretas, tipos de datos o casos de uso.
- Datasploit. Herramienta que busca credenciales, api-keys, tokens, subdominios…
- Recon-ng. Framework que permite recopilar información sobre diversos tipos de objetivos.
- DNSTwist. Librería open source para el análisis de amenazas de Typosquatting y suplantación de dominios.
- TheHarvester. Herramienta que permite recopilar información como correos electrónicos, subdominios, IPs o nombre de perfiles de usuario en redes sociales.
- Hunter.io. Permite la obtención de información relacionada con perfiles de empleados o usuarios a partir de un dominio.
- Have I Been Pwned. Herramienta que permite comprobar si un correo electeónico se encuentra comprometido en alguna de las bases de datos que han sido comprometidas.
- Infoga. Herramienta en Python que permite recopilar información de cuentas de correo electrónico de diversas fuentes públicas y verifica si el correo se encuentra en algún listado de correos comprometidos en una brecha de datos.
- Tinfoleak. Herramienta SOCMINT enfocada en obtener información de perfiles de Twitter.
- OSRFramework. Herramienta que permite obtener información referente a perfiles de usuarios.
Más herramientas disponibles en el artículo ‘Qué es OSINT: fases, fuentes y herramientas‘ y en la charla ‘Python & OSINT para proyectos de seguridad‘. En esta ocasión recomiendo complementar esta charla con el visionado del ciberdebate ‘OSINT y hacking con buscadores‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!