OSINT: Inteligencia de Fuentes Abiertas

La inteligencia de código abierto (OSINT) es el acto de recopilar y analizar datos disponibles públicamente con fines de inteligencia.

En el contexto de OSINT, la inteligencia se refiere a la extracción y el análisis de datos públicos para obtener conocimientos, que luego se utilizan para mejorar la toma de decisiones e informar la actividad. Tradicionalmente, OSINT era una técnica utilizada por las comunidades de seguridad nacional y aplicación de la ley. Sin embargo, en los últimos años también se ha convertido en una capacidad fundamental dentro de la ciberseguridad.

Si bien se accede a la mayoría de los datos a través de Internet abierto y se pueden indexar con la ayuda de un motor de búsqueda como Google, también se puede acceder a través de foros más cerrados que no están indexados por los motores de búsqueda. Aunque la mayoría del contenido de la web profunda es inaccesible para los usuarios generales porque vive detrás de un muro de pago o requiere un inicio de sesión para acceder, todavía se considera parte del dominio público.

Los datos de fuente abierta son cualquier información que esté fácilmente disponible para el público o que pueda estar disponible a pedido.

También es importante tener en cuenta que a menudo hay una gran cantidad de datos secundarios que se pueden aprovechar de cada fuente abierta de información. Por ejemplo, las cuentas de las redes sociales se pueden minar para obtener información personal, como el nombre del usuario, la fecha de nacimiento, los miembros de la familia y el lugar de residencia. Sin embargo, los metadatos del archivo de publicaciones específicas también pueden revelar información adicional, como dónde se realizó la publicación, el dispositivo utilizado para crear el archivo y el autor del archivo.

En el ámbito de la ciberseguridad, los investigadores y analistas de inteligencia aprovechan los datos de código abierto para comprender mejor el panorama de amenazas y ayudar a defender a las organizaciones y las personas de los riesgos conocidos dentro de su entorno de TI.

OSINT se utiliza en el campo financiero, tecnológico, policial, militar (dónde tiene su origen), entre otros. Si nos centramos en el ámbito tecnológico, y más en concreto en la ciberseguridad, encontraremos que OSINT tiene varias aplicaciones:

  • Se utiliza en la etapa de reconocimiento de un pentesting: Descubrir hosts en una organización, información de Whois, encontrar subdominios, información de DNS,encontrar ficheros de configuración, passwords, etc…
  • Se utiliza para tests de ingeniería social: Buscar toda la información sobre un usuario (en redes sociales, documentos, etc) y ser consciente de la información que hay disponible en abierto para evitar “picar” en un ataque de phishing.
  • Prevención de ciberataques: Obtener información que nos haga estar a alerta ante una amenaza o un potencial ciberataque que pueda sufrir nuestra organización.
  • Cualquier investigación que se pueda resolver mediante la aplicación de conocimientos “Ciber”.

Hay que tener en cuenta que los cibercriminales también hacen uso de estas técnicas, por tanto es interesante hacer tests de los datos que obtenemos con OSINT, para saber si nosotros (como persona o como empresa) estamos revelando más información de la que nos interesa, y eliminarla en caso de que fuera posible para cerrar posibles vectores de ataque.

Podemos obtener información valiosa de infinidad de recursos (Redes Sociales, blogs, foros, noticias, documentos,etc..)Si observamos la información correspondiente a la cantidad de información que tiene internet en total, la cantidad de info que se almacena en RRSS en un minuto, la cantidad de personas que acceden a Internet, las que tienen Redes Sociales,…etc.(Se puede consultar aquí) Nos damos cuenta de las múltiples maneras que tenemos de obtener información que esta disponible de manera pública (Que no sea secreta no la hace menos importante) , y del gran poder del conocimiento que podemos conseguir tratando dichos datos.

Quizás el mayor desafío asociado con OSINT es administrar la cantidad verdaderamente asombrosa de datos públicos, que crecen a diario. Debido a que los humanos no pueden administrar tanta información, las organizaciones deben automatizar la recopilación y el análisis de datos y aprovechar las herramientas de mapeo para ayudar a visualizar y conectar puntos de datos con mayor claridad.

Con la ayuda del aprendizaje automático y la inteligencia artificial, una herramienta OSINT puede ayudar a los profesionales de OSINT a recopilar y almacenar grandes cantidades de datos. Estas herramientas también pueden encontrar vínculos y patrones significativos entre diferentes piezas de información.

Además, las organizaciones deben desarrollar una estrategia subyacente clara para definir qué fuentes de datos desean recopilar. Esto ayudará a evitar sobrecargar el sistema con información de valor limitado o confiabilidad cuestionable. Con ese fin, las organizaciones deben definir claramente sus metas y objetivos en lo que respecta a la inteligencia de fuente abierta.

Técnicas de recopilación OSINT

En términos generales, la recopilación de inteligencia de fuente abierta se divide en dos categorías: recopilación pasiva y recopilación activa .

  1. La recopilación pasiva combina todos los datos disponibles en una ubicación de fácil acceso. Con la ayuda del aprendizaje automático (ML) y la inteligencia artificial (IA), las plataformas de inteligencia de amenazas pueden ayudar a administrar y priorizar estos datos, así como a descartar algunos puntos de datos según las reglas definidas por la organización.
  2. La recopilación activa utiliza una variedad de técnicas de investigación para identificar información específica. La recopilación activa de datos se puede utilizar ad-hoc para complementar los perfiles de amenazas cibernéticas identificados por las herramientas de datos pasivos o para respaldar una investigación específica. Las herramientas de recopilación OSINT comúnmente conocidas incluyen búsquedas de registros de dominios o certificados para identificar al propietario de ciertos dominios. El sandboxing de malware público para escanear aplicaciones es otro ejemplo de recopilación de OSINT.

Dentro de la ciberseguridad, hay dos casos de uso comunes para OSINT:

  1. Medición del riesgo para su propia organización
  2. Entendiendo al actor, tácticas y objetivos

Medir su propio riesgo

Las pruebas de penetración o pentesting son la simulación de un ciberataque del mundo real para probar las capacidades de ciberseguridad de una organización y exponer vulnerabilidades. El propósito de las pruebas de penetración es identificar debilidades y vulnerabilidades dentro del entorno de TI y remediarlas antes de que sean descubiertas y explotadas por un actor de amenazas.

Si bien existen muchos tipos diferentes de pruebas de penetración, los dos más comunes dentro del contexto de OSINT son:

  • Prueba de penetración externa: evalúa sus sistemas orientados a Internet para determinar si existen vulnerabilidades explotables que exponen datos o acceso no autorizado al mundo exterior. La prueba incluye identificación del sistema, enumeración, descubrimiento y explotación de vulnerabilidades.
  • Evaluación de la superficie de amenazas: también conocido como análisis de superficie de ataque, se trata de mapear qué partes de un sistema deben revisarse y probarse para detectar vulnerabilidades de seguridad. El objetivo del análisis de la superficie de ataque es comprender las áreas de riesgo en una aplicación, hacer que los desarrolladores y especialistas en seguridad sepan qué partes de la aplicación están abiertas a ataques, encontrar formas de minimizar esto y notar cuándo y cómo la superficie de ataque. cambios y lo que esto significa desde una perspectiva de riesgo.
  • Prueba de penetración de aplicaciones web: evalúa su aplicación web mediante un proceso de tres fases: reconocimiento, en el que el equipo de seguridad descubre información como el sistema operativo, los servicios y los recursos en uso; descubrimiento, en el que los analistas de seguridad intentan identificar vulnerabilidades, como credenciales débiles, puertos abiertos o software sin parches; y explotación, en la que el equipo aprovecha las vulnerabilidades descubiertas para obtener acceso no autorizado a datos confidenciales.

Si bien hay una gran cantidad de información disponible públicamente que los profesionales de la seguridad cibernética pueden aprovechar, el gran volumen de datos OSINT, que se encuentran dispersos en muchas fuentes diferentes, puede dificultar que los equipos de seguridad extraigan puntos de datos clave. Además, es importante que la información relevante y de alto valor recopilada a través de la actividad OSINT se integre luego con las herramientas y los sistemas de ciberseguridad.

El marco OSINT es una metodología que integra datos, procesos, métodos, herramientas y técnicas para ayudar al equipo de seguridad a identificar información sobre un adversario o sus acciones de forma rápida y precisa.

Un marco OSINT se puede utilizar para:

  • Establecer la huella digital de una amenaza conocida
  • Reúna toda la inteligencia de disponibilidad sobre la actividad, los intereses, las técnicas, la motivación y los hábitos de un adversario
  • Clasifique los datos por fuente, herramienta, método u objetivo
  • Identificar oportunidades para mejorar la postura de seguridad existente a través de recomendaciones del sistema

OSINT consta de una serie de fases que permiten estructurar el trabajo de manera que se agilice la investigación. A continuación damos una breve descripción de estas fases:

  • Requisitos: Que problema queremos resolver? Que info necesitamos?
  • Identificación fuentes de información: Que fuentes nos pueden aportar información valiosa y veraz?
  • Adquisición: Etapa de obtención de la información
  • Procesamiento: Dar formato a toda la información “en bruto” obtenida en la anterior fase
  • Análisis: Generar inteligencia a partir de todos los datos obtenidos, encontrando relaciones entre estos que nos permitan llegar a conclusiones.
  • Presentación: Darle a la información un formato en el que se pueda comprender de manera eficaz y sencilla.

Consideremos una situación o escenario en el que necesitamos encontrar información relacionada con algunos temas en la web. Para esto, primero necesita buscar y hacer análisis hasta obtener los resultados exactos, esto consume mucho tiempo. Esta es la razón principal por la que necesitamos herramientas de inteligencia porque el proceso mencionado anteriormente se puede realizar en segundos utilizando estas herramientas.

Incluso podemos ejecutar múltiples herramientas para recopilar toda la información relacionada con el objetivo, que se puede correlacionar y utilizar más adelante.

Algunas de las mejores herramientas OSINT:

Shodan

Google es el motor de búsqueda más utilizado por todos, mientras que Shodan es un motor de búsqueda fantástico y de mina de oro para que los piratas informáticos vean activos expuestos.

En comparación con otros motores de búsqueda, Shodan le proporciona los resultados que tienen más sentido y están relacionados con los profesionales de la seguridad. Incluye principalmente información relacionada con activos que se están conectando a la red. Los dispositivos pueden variar desde computadoras portátiles, señales de tráfico, computadoras y varios otros dispositivos de IoT. Esta herramienta de código abierto ayuda principalmente al analista de seguridad a identificar el objetivo y probarlo en busca de diferentes vulnerabilidades, contraseñas, servicios, puertos, etc.

Además, proporciona a los usuarios las búsquedas más flexibles de la comunidad.

Por ejemplo, consideremos la situación en la que un solo usuario puede ver las netcams, webcams, semáforos, etc. conectados. Veremos algunos de los casos de uso de Shodan:

  • Prueba de “contraseñas predeterminadas”
  • Activos con visor VNC
  • Usando el puerto RDP abierto para probar los activos disponibles

Spyse

Spyse es un motor de búsqueda de ciberseguridad para obtener información técnica que suelen utilizar los piratas informáticos en el reconocimiento cibernético.

Spyse proporciona una gran cantidad de datos para explorar el objetivo a través de diferentes puntos de entrada. El usuario puede comenzar con un dominio y expandir el radio de investigación al verificar diferentes tipos de datos relacionados con el objetivo, como vulnerabilidades, IP, ASN, registros DNS, dominios en la misma IP, dominios con el mismo MX / NS y mucho más.

Todo esto es posible gracias a una enorme base de datos con datos almacenados e interconectados a los que los usuarios pueden acceder instantáneamente:

  • Dominios – 1.2 B
  • Hosts IP con puertos – 160M
  • SSL / TLS: 29 millones
  • Hosts IPv4: 3.6B
  • Sistemas autónomos – 67k
  • Vulnerabilidades – 140k
  • Registros DNS – 2.2B

Además, el motor de búsqueda ofrece a los usuarios oportunidades de búsqueda únicas que simplifican el proceso de obtención de los datos necesarios. Su característica distintiva es la posibilidad de aplicar 5 parámetros de búsqueda diferentes para una búsqueda precisa y detallada.

NexVision

NexVision es una solución OSINT avanzada impulsada por IA que proporciona inteligencia en tiempo real de toda la Web (Clear Web, Dark Web y Social Media). Brinda un acceso sin precedentes a las búsquedas en la web oscura a través de navegadores regulares como Chrome y Safari, sin el uso del navegador anónimo Tor.

Si está buscando realizar verificaciones de antecedentes, diligencia debida, cumplimiento de incorporación de clientes (KYC/AML/CFT), recopilar inteligencia de la organización, inteligencia de terceros, inteligencia de amenazas cibernéticas o incluso investigar direcciones de criptomonedas de una amenaza de ransomware, NexVision proporciona respuestas precisas en tiempo real.

NexVision es utilizado principalmente por el ejército y los gobiernos, pero desde 2020 ha estado disponible comercialmente y las empresas Fortune 500 y las pequeñas y medianas empresas (PYMES) confían en él para sus necesidades de inteligencia e investigación. Su servicio incluye una suscripción directa a su solución SaaS e informes de inteligencia de compras.

Cómo funciona:

En el primer paso, su motor impulsado por IA recopila datos continuamente, los analiza y los clasifica, proporcionando el lago de datos más grande disponible comercialmente. En el segundo paso, el motor utiliza el aprendizaje automático para reducir los falsos positivos y brindar resultados altamente precisos y contextualizados. Esto reduce en gran medida las horas de trabajo y el tiempo requerido en las investigaciones y la fatiga de alerta que enfrentan los analistas cuando se encuentran con grandes cantidades de datos irrelevantes. En el paso final, todos los resultados se reflejan en el tablero donde los usuarios pueden visualizar fácilmente y tomar decisiones informadas.

El tablero permite a los usuarios configurar alertas de palabras clave para monitorear objetivos en tiempo real, realizar investigaciones y analizar resultados mientras se mantiene anónimo.

El software tiene una interfaz simple que está diseñada para analistas de nivel de entrada. Los analistas pueden acceder y utilizar inteligencia integral y de grado militar sin depender de scripts o escribir una sola línea de código.

Su módulo de redes sociales monitorea datos de Meta (anteriormente Facebook), Instagram, LinkedIn, Discord, Twitter, Youtube, Telegram, etc., y viene equipado con tecnología de geolocalización para determinar la fuente y ubicación de la difusión de información.

Google Dorks

Google Dorks han llegado a existir en 2002, y da resultados efectivos con un rendimiento excelente. Esta herramienta de inteligencia de código abierto basada en consultas se desarrolla y crea principalmente para ayudar a los usuarios a orientar el índice o los resultados de búsqueda de manera adecuada y efectiva.

Google Dorks proporciona una forma flexible de buscar información mediante el uso de algunos operadores, y quizás también se llame Google Hacking. Estos operadores facilitan la búsqueda para extraer información. A continuación se muestran algunos de los operadores u opciones de indexación que proporciona Google Docker, y son:

  • Tipo de archivo: Este operador se utiliza principalmente para encontrar los tipos de archivos o para buscar una cadena en particular.
  • En el texto: Esta opción de indexación se utiliza para buscar un texto específico en una página específica.
  • Ext: Se utiliza para buscar una extensión específica en un archivo.
  • Inurl: Se utiliza para buscar la cadena o palabra específica en la URL.
  • Intitulo: Para buscar el título o las palabras mencionadas anteriormente en la URL

Maltego

Maltego está diseñado y desarrollado por Paterva, y es una de las herramientas integradas en Kali Linux. Esta herramienta de inteligencia de código abierto se utiliza principalmente para realizar una exploración significativa contra varios objetivos con la ayuda de varias transformaciones integradas (y también proporciona la capacidad de escribir otras personalizadas).

Un lenguaje de programación que utiliza en Maltego está escrito en Java y se muestra como un preempaquetado integrado en Kali Linux. Para utilizar esta herramienta, es necesario registrarse, el registro es gratuito y el usuario debe registrarse en el sitio paterva. Una vez que se realiza el proceso de registro, los usuarios pueden utilizar esta herramienta para crear y desarrollar huellas digitales efectivas del objetivo en particular en Internet.

Los resultados esperados pueden ocurrir con la conversión de IP, se identifica el número AS, también se identifica Netblock, incluso se identifican también las frases y ubicaciones. Estos son todos los íconos en Maltego que brindan una vista detallada e información sobre todos los íconos.

Incluso puede obtener más información sobre el objetivo profundizando más en el proceso. Finalmente, puedo decir que es una excelente herramienta para rastrear las huellas de todas y cada una de las entidades a través de Internet. Maltego está disponible en todos los sistemas operativos populares.

TheHarvester

¿¿The Harvester es una herramienta increíble para encontrar correos electrónicos, subdominios, direcciones IP, etc. a partir de varios datos públicos.

Recon-Ng

Recon-Ng es una herramienta eficaz para realizar reconocimientos en el objetivo.

Todo el poder de esta herramienta radica completamente en el enfoque modular. El poder de las herramientas modulares puede entenderse para aquellos que utilizan Metasploit. Recon-ng tiene varios módulos integrados que se utilizan para apuntar principalmente mientras se extrae información según las necesidades del usuario. Podemos usar los módulos Recon-ng simplemente agregando los dominios en el espacio de trabajo.

Los espacios de trabajo se crean principalmente para realizar las operaciones dentro de él. Los usuarios serán redirigidos al espacio de trabajo tan pronto como se cree. Dentro del espacio de trabajo, el dominio se puede especificar particularmente usando agregar dominio . Los módulos de Recon-ng se utilizan para obtener información sobre el dominio específico después de que (dominios) se agregan al reconocimiento.

Algunos de los excelentes módulos, como google-site-web y bing-domain-web, se utilizan para encontrar más dominios relacionados con el primer dominio de destino inicial. El resultado de estos dominios serán todos los dominios indexados a los motores de búsqueda. Otro módulo atractivo es bing_linkedin_cache, que se utiliza principalmente para obtener los detalles de las direcciones de correo electrónico relacionadas con el dominio. Este módulo también se puede utilizar para aprovechar la realización de ingeniería social.

Además, al usar otros módulos, podemos obtener información adicional o adicional sobre los objetivos. Entonces, finalmente, esta herramienta de inteligencia de código abierto es una herramienta fantástica y también debe incluirse en el conjunto de herramientas de los investigadores.

SpiderFoot

SpiderFoot es una herramienta de reconocimiento de código abierto disponible para Linux y Windows. Se ha desarrollado utilizando lenguaje Python con alta configuración y se ejecuta prácticamente en cualquier plataforma. Se integra con una GUI fácil e interactiva con una poderosa interfaz de línea de comandos.

Nos ha permitido automáticamente utilizar consultas en más de 100 fuentes OSINT para obtener información sobre correos electrónicos, nombres, direcciones IP, nombres de dominio, etc. Recopila una amplia gama de información sobre un objetivo, como bloques de red, correos electrónicos, sitios web. servidores y muchos más. Al usar Spiderfoot, puede apuntar según sus requisitos porque recopilará los datos al comprender cómo se relacionan entre sí.

Los datos recopilados de SpiderFoot proporcionarán una amplia gama de información sobre su objetivo específico. Proporciona información clara sobre posibles amenazas de piratería que conducen a vulnerabilidades, fugas de datos y otra información vital. Por lo tanto, estos conocimientos ayudarán a aprovechar pruebas de penetración  y mejorar la inteligencia de amenazas para alertar antes de que sea atacada o robada.

Creepy

Creepy es una herramienta de inteligencia de geolocalización de código abierto. Recopila información sobre la geolocalización mediante el uso de varias plataformas de redes sociales y servicios de alojamiento de imágenes que ya están publicados en otro lugar. Creepy presenta los informes en el mapa, utilizando un filtro de búsqueda basado en la ubicación y fecha exactas. Estos informes están disponibles en formato CSV o KML para exportar y realizar análisis adicionales.

La funcionalidad principal de Creepy se divide en dos pestañas principales, a saber. Pestañas “Objetivos” y “Vista de mapa”.

Creepy está escrito en Python y también viene con un binario empaquetado para distribuciones de Linux como Debian, Backtrack, Ubuntu y Microsoft Windows.