spot_img

Claves y herramientas para ciberinvestigar de forma segura

Análisis

Carlos Seisdedos
Carlos Seisdedos
Responsable de Ciberinteligencia en Internet Security Auditors. Profesor y ponente en multitud de eventos y conferencias de Ciberseguridad, Ciberterrorismo y Ciberinteligencia.

Carlos Seisdedos, experto y Profesor del Curso de Experto en Ciberinteligencia y Curso de Técnicas y Herramientas Avanzadas en Ciberinvestigación OSINT de LISA Institute, explica algunas claves y las principales herramientas necesarias para realizar una ciberinvestigación OSINT de forma segura.

Antes de comenzar querría destacar que, comúnmente, se tiende a relacionar la Inteligencia de Fuentes abiertas (OSINT) con el desarrollo de herramientas y no tienen nada que ver. Gracias al desarrollo de herramientas podemos automatizar la extracción de datos e información procedente de redes sociales como Twitter, Telegram, Instagram o, incluso, de la Deep web; pero estos no dejan de ser datos e información que, posteriormente, se deberán analizar.

Un profesional de Inteligencia que sepa identificar muy bien las fuentes de información y determinar su fiabilidad utilizará estas herramientas para investigar de forma escalable, profesional, segura y legal. Es decir, no es necesario tener habilidades en programación para poder realizar investigaciones OSINT.

Además, lo ideal es que dentro de las unidades de Inteligencia haya un equipo multidisciplinario. No se trata de que todo el mundo tenga los mismos conocimientos o sean todos ingenieros; a veces precisamente el problema que hay es ese, que todos son ingenieros pero ninguno sabe analizar la información o cómo plantear las fases de dirección y transformación.

Es clave que nos olvidemos de esa creencia de que es imprescindible ser ingeniero para dedicarse a este ámbito de la Inteligencia. Lo realmente más importante es ser lo suficientemente inteligente como para, si hay algo que no sabes hacer, buscar ayuda. Además, en el ámbito de la ciberseguridad e Inteligencia siempre habrá alguien que te eche una mano.

El ámbito del OSINT, hasta hace unos cuatro años, no era un asunto que estuviera en el foco divulgativo y parecía que era algo tabú, circunscrito únicamente a unidades policiales o espías. Sin embargo, ahora estamos viendo cómo la gente va perdiendo el miedo a hablar de Inteligencia. Una vez se pierde ese mismo a hablar de obtención de información y se tienen capacidades para ello es clave acudir a diferentes tipos de eventos y congresos donde crear esa comunidad: es importante también fomentar la colaboración entre conocidos y desconocidos para avanzar.

¿Qué herramientas OSINT se utilizan en una ciberinvestigación?

En la fase de recolección de información existen muchas herramientas Open-source que nos ayudan a obtener datos de diferentes plataformas. Es importante siempre que se emplee una herramienta de extracción, como puede ser Maltego, por ejemplo, y verificar siempre que la información que está dando es correcta.

Existen también herramientas de extracción en función de cada plataforma. En el caso de Twitter, por ejemplo, está Tinfoleak. También tenemos otras plataformas en las que podrás terminar desarrollando tu propia herramienta de extracción o decidirás contratar a alguien que tenga ya desarrollada una plataforma de monitorización.

Sin embargo, las herramientas OSINT más necesarias para realizar una ciberinvestigación son las utilizamos de la fase de análisis. Aunque es muy útil una herramienta de extracción de Telegram o Twitter que extrae información de 15.000 perfiles, es necesario saber cómo analizar esa información con las herramientas adecuadas.

Así, mientras que la fase de recolección de información puede llevarse a cabo mediante el uso de herramientas y también puede realizarse de forma manual; en el caso de la fase de análisis esto último resultaría aún más complicado.

En función de la información, en esta fase las herramientas son imprescindibles para hacer el cruce de todos los datos. Si estamos desarrollando nuestra investigación a través de Twitter, por ejemplo, será necesaria una herramienta para analizar no solo quién sigue a quién, sino los comentarios, likes, retweets, imágenes, transcripciones de vídeo o de audio.

Todos estos datos deben estar procesados previamente por herramientas muy potentes en la fase de análisis porque van a permitir al analista discernir la información importante y la que no lo es o, incluso, evidenciar a partir de los datos hechos que a simple vista no podrá ver.

Imaginemos que queremos hacer el análisis a partir de un hashtag que hace referencia a nuestra organización o evento y queremos analizar quién lo ha iniciado, por qué o quien más lo ha mencionado desde su origen. Para ello deberíamos habernos descargado, por poner una cifra, 20000 perfiles, pero la clave está en saber cómo se ha interactuado con el hashtag y así descubrir su evolución.

Para realizar esta investigación deberíamos contar con herramientas especializadas de análisis que nos permitan saber quién fue el punto cero de difusión, el mayor altavoz y la evolución del propio hashtag. Con estos datos imprescindibles podremos comenzar a crear nuestras propias hipótesis.

Por utilizar otro ejemplo, cuando el objetivo de nuestra investigación es evitar una campaña de desinformación o de influencia contra un cliente, no se trata únicamente de detectarla, es necesario conocer otros datos como quién está detrás, por qué, quién la financia y detectar patrones.

Esto último es importante, ya que si ha habido una campaña posiblemente habrá más, por lo que es clave poder detectarla la próxima a partir de los patrones e intentar minimizarla. Como vemos, hace falta ir mucho más allá y es entonces cuando entramos en el ámbito de la Inteligencia. 

Desde cualquier departamento de seguridad es clave conocer el origen de estas campañas pues pueden formar parte de una operación de influencia en la que pueden haber participado desde competidores o enemigos (tanto en el sector público como privado) hasta los conocidos como “insiders”.

Esta es una figura cada vez más relevante en el contexto de soluciones criminales. Incluso en los grandes grupos criminales como “Lázaro”, por poner un ejemplo, ya se ponen anuncios para contratar la figura del “insider”. Es por ello por lo que es imprescindible la labor de investigación y de Inteligencia, ya que un individuo no va a utilizar su nombre real para llevar a cabo una campaña de desinformación.

¿Qué es la Maquina Virtual CiberLISA?

La utilización de máquinas virtuales es un tema clave, sobre todo en el ámbito de la seguridad de nuestro entorno de trabajo cuando ciberinvestigamos: los malos son malos, pero no son tontos. Hay también que tener en cuenta que cuando ciberinvestigamos puede ser que nos encontremos con perfiles hostiles, aunque estemos realizando una ciberinvestigación sobre un empleado descontento que parece, a priori, inofensiva.

Tenemos que tener muy claro que, más allá del motivo de la investigación que estemos realizando, estamos poniendo en peligro a nuestra organización y a nuestra propia persona. Por ello, cada vez más, es imprescindible tomar medidas previas de secularización del entorno de trabajo y, entre ellas, destacaría como la principal el diferenciar nuestro equipo de trabajo de nuestro equipo personal.

En este sentido, las maquinas virtuales son capaces de generar un espacio propio dentro del ordenador e, incluso, configurar que no haya ningún tipo de intercomunicación entre el huésped y nuestro ordenador. En definitiva, la máquina virtual es un elemento “estanco” en el cual, aunque te infecten, nunca llegará a tu equipo.

En el caso de LISA Institute, facilitan en los Cursos de Técnicas y Herramientas Avanzadas en Ciberinvestigación OSINT o de Experto en Ciberinteligencia la máquina virtual CiberLISA desarrollada por mí y a la que, una vez instalada, podrás utilizar de forma gratuita de por vida. Esta máquina virtual incluye más de 100 programas, aplicaciones, extensiones y directorios web ya instalados y configurados que te permiten comprobar la seguridad de tus comunicaciones y de tu identidad digital.

Desde LISA Institute me pidieron crear la herramienta y facilitársela a los alumnos porque todos los trabajos prácticos que se realizan en el Curso de Experto en Ciberinteligencia están basados en casos reales. La mejor forma para formarse en esta profesión es aprendiendo a ciberinvestigar personas, empresas y eventos reales.

Con la máquina virtual CiberLISA el alumno aprende también a secularizar debidamente sus dispositivos y conexión para asegurarse de estar investigando de forma anónima y confidencial en su realización de estos informes reales. Para terminar, añadir que es clave no solo securitizar nuestro entorno algo, como hemos dicho ya, imprescindible; sino tomar diferentes acciones complementarias que permitan de forma paralela securitizar nuestras búsquedas e investigaciones.

La creación de perfiles, de identidades digitales, de avatares que te permitan trabajar de forma aislada y segura… ayuda a que puedas crear una identidad digital segura, robusta y persistente en el tiempo que es, al final, lo que buscamos para poder ciberinvestigar de manera segura. Al final no se trata solo de aprender a utilizar una herramienta, sino aprender la metodología y procesos para ciberinvestigar de forma segura.

*Este artículo es un extracto de la Masterclass “Autoprotección digital para ciberinvestigar de forma segura” de Carlos Seis, Profesor del Curso de Técnicas y Herramientas Avanzadas en Ciberinvestigación OSINT, del Curso de Experto en Ciberinteligencia y del Máster Profesional de Analista de Inteligencia, organizada por LISA Institute. Puedes ver la Masterclass completa aquí:

Te puede interesar:

spot_imgspot_img

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí

spot_img