1 00:00:00,940 --> 00:00:01,879 Buenos días. 2 00:00:02,379 --> 00:00:02,720 Buenos días. 3 00:00:03,160 --> 00:00:13,869 Hoy día 8 del módulo profesional de la red. 4 00:00:14,810 --> 00:00:19,879 Y te informo de que está con fines educativos 5 00:00:19,879 --> 00:00:22,859 y solo estará a disposición de las profesiones 6 00:00:22,859 --> 00:00:29,660 a la vez en la aula virtual y en el aula virtual de la red. 7 00:00:33,119 --> 00:00:35,479 El orden de la presentación. 8 00:00:35,820 --> 00:00:39,299 Primero están en 5 minutos máximo para defender el programa. 9 00:00:40,159 --> 00:00:44,179 Y después 5 minutos para presentar. 10 00:00:44,179 --> 00:00:49,850 Dicho esto, no partimos de aquí en este momento. 11 00:00:50,070 --> 00:00:50,670 Lo dejo a todos. 12 00:00:50,869 --> 00:00:51,390 Muchas gracias. 13 00:00:52,030 --> 00:00:53,189 Y mucha suerte. 14 00:00:53,729 --> 00:00:56,909 Bueno, buenos días 15 00:00:56,909 --> 00:01:00,049 Este trabajo se basa en la introducción a las técnicas de OSIN 16 00:01:00,049 --> 00:01:01,890 y su uso en la fase de reconocimiento 17 00:01:01,890 --> 00:01:03,030 Tienes que compartir 18 00:01:03,030 --> 00:01:06,750 Sobre todo enfocado 19 00:01:06,750 --> 00:01:07,530 Comparte 20 00:01:07,530 --> 00:01:10,810 Y a partir de ahí 21 00:01:10,810 --> 00:01:13,450 Empiezas 22 00:01:13,450 --> 00:01:14,530 No la veo 23 00:01:14,530 --> 00:01:15,969 Ahora se empieza a ver 24 00:01:15,969 --> 00:01:18,969 Perfecto, pues a partir de ahora, si quieres, empezamos 25 00:01:18,969 --> 00:01:20,530 Vale, perfecto 26 00:01:20,530 --> 00:01:21,390 Buenos días 27 00:01:21,390 --> 00:01:39,849 Este trabajo se basa en la introducción a las técnicas de OSIN y su uso en la fase de reconocimiento, sobre todo desde el punto de vista de una posible auditoría de seguridad y enfocado en particular a las técnicas de ataques de spear phishing o phishing dirigidos, 28 00:01:39,849 --> 00:01:46,810 en las cuales un posible atacante lo que haría sería buscar información de una persona vulnerable de la empresa 29 00:01:46,810 --> 00:01:53,010 y a través de hacerse pasar por un directivo o una persona influyente de la empresa, 30 00:01:53,709 --> 00:01:57,129 influiría en el primer trabajador del cual se ha tenido información 31 00:01:57,129 --> 00:02:03,090 e intentaría que clicará en algún enlace para descargar un malware en su ordenador 32 00:02:03,090 --> 00:02:09,889 o realizar algún tipo de transferencia bancaria o una cuenta controlada por el Atacante, por ejemplo. 33 00:02:14,860 --> 00:02:21,979 La motivación para este trabajo, sobre todo, ha sido las múltiples aplicaciones de las técnicas de OSIN que hay hoy en día, 34 00:02:22,840 --> 00:02:28,520 como puede ser tanto en el ámbito de ciberseguridad, pero también en el ámbito empresarial, como en distintos sectores, 35 00:02:28,520 --> 00:02:31,819 incluso en la búsqueda de personas desaparecidas. 36 00:02:31,819 --> 00:02:59,780 A través de este esquema obtenido de la página del INCIBE se puede ver las fases un poco de los INE, en las cuales en primer lugar se establecerían los requisitos de la información a tener, se elaborarían una serie de fuentes de información a partir de las cuales obtendremos esa información y ya pasaríamos a la fase propia de la adquisición de la información. 37 00:02:59,780 --> 00:03:14,639 Esta fase no se queda ahí, aquí tendríamos información bruta y esta información debe ser procesada, porque de nada sirve tener cientos de miles de resultados si no podemos procesar esa información. 38 00:03:14,639 --> 00:03:33,060 Una vez procesada, se hará el análisis de esa información y, a través de ese análisis, la información que se ha obtenido es cuando se obtiene la inteligencia, que es, al final, el objetivo de toda búsqueda de información, tener una información muy concreta para los fines que se quiere utilizar. 39 00:03:33,060 --> 00:03:51,719 En este caso, un atacante sería realizar el ataque de forma efectiva y, en el caso de auditoría de ciberseguridad, conocer hasta dónde puede llegar un atacante para esas vulnerabilidades, luego hacer el informe técnico y exponerlas a la empresa para que las pueda mejorar. 40 00:03:51,719 --> 00:04:10,800 El primer paso a la hora de hacer una auditoría de este tipo sería la anonimización. La anonimización es importante, sobre todo en esta fase de reconocimiento, ya que se va a intentar evitar interactuar con la persona objetivo a tratar. 41 00:04:21,720 --> 00:04:33,860 En el caso de interactuación, se va a evitar esto porque, por ejemplo, si vamos a interactuar con un perfil de LinkedIn, LinkedIn va a informar a esa persona que nosotros hemos consultado su perfil. 42 00:04:33,860 --> 00:04:47,540 O en el caso de TikTok, por ejemplo, si ves una historia, TikTok va a notificar que has visto esa historia. Entonces, esto lo vamos a intentar evitar hasta las fases más posteriores. 43 00:04:47,540 --> 00:05:01,540 Las tecnologías utilizadas para hacer este trabajo se ha basado principalmente en la máquina virtual de Tracelab, que es una ONG canadiense que se dedica a buscar de forma altruista personas desaparecidas. 44 00:05:01,540 --> 00:05:07,439 que se colabora con distintos grupos de seguridad de distintos países con este feeling. 45 00:05:08,040 --> 00:05:11,819 Esta máquina virtual se ha instalado en un entorno de virtualbox 46 00:05:11,819 --> 00:05:16,879 y para la parte de la anonimización se ha utilizado el navegador Tor Browser 47 00:05:16,879 --> 00:05:23,040 para conectarnos a través de los proxys y evitar utilizar nuestra IP pública. 48 00:05:23,759 --> 00:05:28,199 Y como software específico de búsquedas de la ciencia se ha utilizado Malteo, 49 00:05:28,300 --> 00:05:29,920 que es un software muy potente. 50 00:05:29,920 --> 00:05:44,699 En este caso, al tener un carácter educativo, se ha utilizado la versión Community Edition, que es gratuita, pero, bueno, existen otras versiones de pago que dan muchísimos resultados, bastante más potentes. 51 00:05:44,699 --> 00:06:03,259 En la primera fase se ha configurado la máquina virtual, esto simplemente se ha descargado del repositorio de guija de la empresa Tracelab y se ha descargado un archivo .ova que se ha importado a Virtualbox y ya viene pre-configurado. 52 00:06:03,259 --> 00:06:23,160 La única variante que se ha realizado en este caso ha sido aumentar la memoria RAM, ya que al principio se instaló y, por ejemplo, para utilizar el software de Malteo sí que tenía requisitos bastante altos y la ajuste se ha realizado de manera muy lenta, por lo que se ha modificado simplemente el parámetro de la memoria RAM. 53 00:06:23,160 --> 00:06:31,379 Esto es un pantallazo de una vez instalada la máquina virtual 54 00:06:31,379 --> 00:06:34,180 Como se puede ver está basada en Calilinus 55 00:06:34,180 --> 00:06:40,199 Pero con ciertas aplicaciones preinstaladas enfocadas a la OSIN 56 00:06:40,199 --> 00:06:44,740 Aquí se puede ver el logo de Malteo que es una de las que se ha utilizado 57 00:06:44,740 --> 00:06:51,220 Como buscador determinado en el trabajo se ha utilizado Google por simplificar un poco 58 00:06:51,220 --> 00:06:56,819 Pero al final las búsquedas de OSIN se deben realizar en la mayor cantidad de buscadores posibles 59 00:06:56,819 --> 00:07:02,420 ya que de uno a otro, como se puede ver, hay una cantidad de resultados muy dispares. 60 00:07:02,980 --> 00:07:08,220 Aquí en Google, por ejemplo, hay millones de resultados, en Yahoo hay 92.000, por ejemplo. 61 00:07:08,560 --> 00:07:15,160 Entonces, al final, no se puede limitar todo a un tipo de buscador porque podríamos perder parte de la información. 62 00:07:17,060 --> 00:07:24,660 La primera fase que se ha seguido en la búsqueda pura de información ha sido buscar un email, 63 00:07:24,660 --> 00:07:39,939 Bueno, un dominio que utilice la empresa objetivo, ya que todas las empresas al final lo que utilizan es el mismo dominio, a partir del arroba suele utilizar siempre lo mismo y luego, dependiendo del departamento o el trabajador, pues cambia la primera parte. 64 00:07:40,759 --> 00:07:44,379 Por lo tanto, se han empezado a realizar las búsquedas a partir de esto. 65 00:07:45,339 --> 00:07:50,980 Es un pantallazo directamente de la empresa en la cual se ha tenido ya el dominio del correo utilizado. 66 00:07:50,980 --> 00:08:10,199 A partir de esto ya empezamos a trabajar con DORs de Google, o sea, de palabras clave o búsquedas avanzadas. En este caso se ha utilizado el DOR site, dos puntos, linkedin.com, lo que quiere decir que se ha buscado todos los resultados que aparezcan solo en la página web de Linkedin. 67 00:08:10,199 --> 00:08:17,019 y a partir de ahí se ha puesto entrecomillado el dominio precedido de un asterisco. 68 00:08:17,019 --> 00:08:24,459 El asterisco lo que indica es que cualquier carácter es válido ahí, por lo que cualquier correo electrónico que haya del objetivo 69 00:08:24,459 --> 00:08:29,279 nos va a valer siempre y cuando la última parte del dominio sea de la empresa. 70 00:08:30,019 --> 00:08:35,019 A través de esto es cuando se ha conseguido un resultado de una persona en la que previsiblemente 71 00:08:35,019 --> 00:08:50,759 visiblemente había colgado su correo corporativo en su página personal del LinkedIn. En esa página personal aparecía un nombre y un apellido, el primer apellido de esa persona y visiblemente también el correo electrónico, 72 00:08:50,899 --> 00:09:01,679 con lo que ya tendríamos datos a partir de los cuales seguir la investigación. A partir de aquí y con el mismo parámetro anterior se ha añadido el nombre de la persona que se encontró anteriormente 73 00:09:01,679 --> 00:09:05,279 y se ha conseguido obtener una fotografía de esa persona. 74 00:09:05,879 --> 00:09:13,220 Esto ya conviene a ser información bastante personal del objetivo y una posible vulnerabilidad, 75 00:09:13,820 --> 00:09:17,799 ya que a través de la imagen ya se pueden hacer bastantes más búsquedas. 76 00:09:19,080 --> 00:09:25,539 En cuanto a las búsquedas que se pueden hacer, son múltiples, tanto por fotografía como nombre de usuario, como email. 77 00:09:25,539 --> 00:09:39,620 Y hay metabuscadores que lo que hacen son páginas web, al final, lo que reúnen una serie de herramientas. En este caso es de OSIM Framework, pero existe otra que se llama Malfas, etc. Entonces, a través de aquí tendríamos enlaces a distintas herramientas. 78 00:09:39,620 --> 00:09:57,980 Una de las herramientas, por ejemplo, gracias a la foto podríamos hacer una búsqueda inversa que es a través de Yandex.com, que es un buscador al estilo de Google, pero de origen ruso, en el que es gratuito y, como se puede ver, ofrece unos resultados bastante similares entre ellos. 79 00:09:57,980 --> 00:10:10,480 En este caso no nos ha obtenido el objetivo, pero son bastante buenos. Existen otras herramientas de pago que son mucho más certeras, pero que al ser de pago no se han utilizado. 80 00:10:13,340 --> 00:10:23,820 Una vez con el nombre se ha proseguido buscando información. En este caso se utilizó entrecomillado para que sea una búsqueda exacta del nombre más el nombre de la empresa. 81 00:10:23,820 --> 00:10:40,340 Gracias a esto se volvió a encontrar nuevas redes sociales, como se puede ver ahí de la red social X, el antiguo Twitter, con nuevas fotografías de esta persona, a través de las cuales se pueden hacer nuevas búsquedas inversas de fotografías, etc. 82 00:10:40,340 --> 00:10:54,100 Y igualmente en esta búsqueda se localizó el segundo apellido y el nombre de usuario de la persona, por lo que ya tendríamos nombre completo, email corporativo y nombre de usuario. 83 00:10:54,100 --> 00:11:14,960 El nombre de usuario es algo muy sensible ya que es algo que las personas suelen variar muy poco y en las redes sociales lo suelen mantener, aunque, por ejemplo, en Instagram puedas cambiar el nombre que te aparece para buscar, pero el nombre de usuario que aparece en las URLs suele ser común. 84 00:11:14,960 --> 00:11:30,080 Hay veces que en las redes sociales eso no varía nunca. Entonces, por ejemplo, en este caso se ha buscado, en el caso de ahí de la derecha, se ha buscado con el autor de Google inurl, dos puntos, el nombre de usuario y se ha localizado una nueva red social. 85 00:11:30,080 --> 00:11:39,379 Y no URL significa que la palabra que busquemos tiene que estar integrada dentro de la URL consultada. 86 00:11:39,379 --> 00:12:01,379 En cuanto a los nombres de usuarios, como os he comentado, eso es muy específico y existen repositores como este ejemplo que se ha puesto, que está sacado de Exploited Database, en el cual mediante combinaciones de dos de Google se puede localizar información sobre ese nombre de usuario. 87 00:12:01,379 --> 00:12:23,080 Aquí hay muchísimos ejemplos. Igualmente, a través del correo electrónico se pueden llegar incluso a saber las claves utilizadas para ese correo electrónico. Hay páginas web, como en este caso, Javidipond, que se puede ver si el correo electrónico ha estado presente en algún leak o alguna filtración de alguna empresa, en algún ataque de alguna empresa. 88 00:12:24,080 --> 00:12:38,340 Una vez ya con el correo electrónico, un ataque ante el final puede entrar perfectamente en la darweb y en la darweb ya incluso se puede comprar esa información o se puede saber también hasta la contraseña que tenía en el que se hizo. 89 00:12:38,340 --> 00:12:40,340 Por lo tanto, es algo bastante crítico. 90 00:12:40,340 --> 00:12:52,750 Tener toda la información de manera manual, ya se ha pasado a utilizar también el programa de Malteo, que es una herramienta, como os he comentado, muy potente, 91 00:12:53,429 --> 00:12:58,190 en la que se basa en la instalación de distintos complementos, como se puede ver en la foto de la izquierda. 92 00:12:59,190 --> 00:13:02,149 A través de esos complementos se pueden hacer distintos tipos de búsquedas. 93 00:13:02,149 --> 00:13:08,850 En este caso se ha realizado búsqueda por el nombre completo de la persona y se han encontrado numerosas redes sociales, 94 00:13:08,850 --> 00:13:18,649 en las que algunas simplemente eran personas con nombres similares y otras sí que eran los resultados que se han obtenido anteriormente. 95 00:13:18,649 --> 00:13:32,149 La diferencia básicamente con la búsqueda manual es que es muchísimo más rápida y al final siempre es mejor complementar las dos, una búsqueda automatizada y una manual. 96 00:13:32,149 --> 00:13:46,649 Una vez obtenida toda la información posible de la víctima, ya se entraría a hacer el mismo proceso en el equipo directivo o en la persona que queramos que haga influencia sobre esa persona, 97 00:13:46,649 --> 00:13:51,210 como os he comentado, para abrir un enlace con un malware o realizar una transferencia, por ejemplo. 98 00:13:52,009 --> 00:13:59,669 La mayor parte de las empresas en sus páginas corporativas tienen un apartado que se llama Consejo de Administración o Equipo Directivo, 99 00:14:00,230 --> 00:14:07,970 en el cual van a aparecer las personas de ese consejo o de ese equipo directivo con el nombre, apellido, la foto, 100 00:14:07,970 --> 00:14:16,889 por lo cual se puede hacer de nuevo ese proceso y con toda la información nueva ya sigue el laboral, el spear phishing, con el que se va a atacar a la primera víctima. 101 00:14:17,830 --> 00:14:40,409 Todo esto, al final, aplicado en contexto laboral, lo que se pretende al hacer una auditoría es reducir el impacto que pueda generar en la empresa. Por lo que, si mediante el informe podemos ver las vulnerabilidades, se puede elaborar una serie de herramientas para disminuirlas y disminuir la probabilidad. 102 00:14:40,409 --> 00:14:50,950 En este caso, una de las más sencillas que puede ser, por ejemplo, es la formación de los empleados, que sepan cómo se les puede atacar para poder defenderse de esto. 103 00:14:51,350 --> 00:14:54,570 Al final, esto es común a todas las empresas, ya sean grandes o pequeñas. 104 00:14:55,149 --> 00:15:04,529 En este caso, por ejemplo, hay muchos ejemplos de empresas muy grandes que han sido hackeadas y no todo tiene por qué ser por vulnerabilidades del sistema informático. 105 00:15:04,529 --> 00:15:15,250 Puede ser, al final, trabajadores que, por algún tipo de despiste de este tipo, como un spear phishing, pueden acceder a una empresa aún teniendo un buen sistema de ciberseguridad. 106 00:15:16,350 --> 00:15:24,570 Por lo tanto, al final, como he comentado, la formación es algo muy básico, muy sencillo y bastante barato. 107 00:15:24,570 --> 00:15:37,289 Y, por ejemplo, en este caso, para protegerse de los spear phishing, un atacante al final lo que puede hacer es enviar un correo con técnicas más elaboradas o menos elaboradas. 108 00:15:38,350 --> 00:15:46,350 En el caso de las menos elaboradas, lo que puede hacer es cambiar el del dominio, un AO por un 0, cosas así, que una persona no se dé cuenta. 109 00:15:47,029 --> 00:15:51,809 O en técnicas más elaboradas puede hacer un ataque de email spoofing cambiando la cabecera. 110 00:15:51,809 --> 00:16:05,809 Esto simplemente se puede controlar yendo, en este caso es Gmail, a las opciones adicionales en Mostrar Original y en Mostrar Original se puede ver todos los datos de la cabecera, tanto la IP del servidor desde el que parte, desde el que inició, etc. 111 00:16:05,809 --> 00:16:24,110 Al final, las técnicas de OSINT se pueden aplicar en muchas vías futuras y en muchos campos, como puede ser, por ejemplo, en marketing, para elaborar un estudio de mercado sobre una empresa o incluso en periodismo o en muchos campos. 112 00:16:24,110 --> 00:16:39,850 Al final, el periodismo, por ejemplo, se basa en la búsqueda de información y el OSIN se basa en eso principalmente. Por lo tanto, al final, las técnicas de OSIN es algo que está muy en auge e incluso existen congresos. 113 00:16:39,850 --> 00:17:06,410 En este mismo mes en Madrid hay un congreso que se llama Osintomático, que está respaldado por empresas muy grandes e incluso por el gobierno, etc. Y al final es algo en lo que se está invirtiendo mucho, es algo barato y que puede ayudar mucho a disminuir para las empresas la probabilidad de sufrir un ataque y el posible impacto. Muchas gracias. 114 00:17:06,410 --> 00:17:16,049 Perfecto. Ya nos ha tardado 15 minutos justo. Y nada, ahora llega el momento de las preguntas. 115 00:17:16,369 --> 00:17:34,250 Y bueno, has estado hablando de todo el proyecto de técnicas, y bueno, nada que la naturaleza de la recolección de datos en ciberseguridad tiene ciertas implicaciones acerca de la seguridad y de la ética. 116 00:17:34,250 --> 00:17:45,710 ¿Cómo te aseguraste de que el uso de las técnicas se adhiriera a las normativas éticas y legales pertinentes ahora? 117 00:17:46,549 --> 00:18:02,630 A ver, entre comillas lo bueno de Lossing es que al final es fuentes abiertas, entonces es todo lo que está publicado al final, de por sí la persona que lo ha publicado ya lo ha hecho público 118 00:18:02,630 --> 00:18:22,750 De todas formas, al intentar minimizar el riesgo que pueda, en este caso la empresa que se ha utilizado o lo que sea, se ha omitido totalmente cualquier referencia al nombre del trabajador o a la empresa, se ha borrado todo esto para evitar una vulnerabilidad o cualquier motivo. 119 00:18:22,750 --> 00:18:39,589 Pero bueno, al final las técnicas dos sin es eso. La gente ha cometido entre comillas el error o ha sido consciente de que lo ha publicado y ahí ya se están exponiendo. En este caso se ha intentado omitir todo para evitar o minimizar el riesgo. 120 00:18:39,589 --> 00:18:45,269 Perfecto. En cuanto a las técnicas específicas, has utilizado varias herramientas y técnicas. 121 00:18:45,829 --> 00:18:54,089 ¿Puedes descubrir alguna situación específica donde has aplicado alguna técnica que consideres que es crucial para el éxito de este proyecto? 122 00:18:57,710 --> 00:19:06,549 Sobre todo, al final, los doors de Google es algo muy simple, pero que, como se puede ver, se ha obtenido muchísima información. 123 00:19:06,549 --> 00:19:29,089 En este caso es una información bastante limitada, pero he hecho búsquedas de otro tipo, de otras organizaciones por curiosidad y es que incluso se llega a encontrar domicilios de las personas, por ejemplo, hay un DOR que es file type, que es con el tipo de archivo, se puede poner un PDF o se puede poner tal. 124 00:19:29,089 --> 00:19:44,230 Y incluso se pueden encontrar contraseñas, se pueden encontrar PDFs en los que se haya publicado el DNI. Entonces, los Google DLs es algo muy sencillo, pero que si lo sabes utilizar muy bien, la verdad es que es sorprendente la cantidad de información que se encuentra. 125 00:19:44,230 --> 00:20:00,180 Y en cuanto a las vías futuras, ¿qué mejoras específicas considerarías implementar en futuras versiones de este proyecto? 126 00:20:00,400 --> 00:20:06,980 ¿Hay tecnologías o herramientas que crees que se pueden integrar para mejorar los resultados? 127 00:20:09,119 --> 00:20:18,200 Sí, a ver, es que hay muchísimos campos en los que se puede utilizar y que a día de hoy yo pienso que no se están utilizando. 128 00:20:18,759 --> 00:20:24,900 En tema de marketing o cosas así, por ejemplo, no se busca información de esta manera. 129 00:20:24,900 --> 00:20:40,319 Y al final es muchísima información que se queda y se pierde. Muchas veces tendemos a comprar programas, compramos información a otras empresas y cuando hay mucha información publicada, ¿qué nos está utilizando? 130 00:20:40,319 --> 00:20:43,079 hay programas ahora mismo muy potentes 131 00:20:43,079 --> 00:20:44,980 las versiones de malteo de pago 132 00:20:44,980 --> 00:20:46,900 son muy potentes y otros programas 133 00:20:46,900 --> 00:20:48,920 por ejemplo para búsqueda inversa de imágenes 134 00:20:48,920 --> 00:20:51,160 hay uno que se llama Pimais 135 00:20:51,160 --> 00:20:51,680 me parece 136 00:20:51,680 --> 00:20:55,259 que tiene una efectividad 137 00:20:55,259 --> 00:20:56,920 muy alta, son programas que es verdad 138 00:20:56,920 --> 00:20:59,000 que cuestan dinero pero bueno 139 00:20:59,000 --> 00:21:01,099 hay que tenerlo en cuenta también a la hora de hacer 140 00:21:01,099 --> 00:21:02,880 una auditoría de ciberseguridad 141 00:21:02,880 --> 00:21:04,980 porque un atacante saca 142 00:21:04,980 --> 00:21:06,759 muchísimo dinero de este tipo de ataques 143 00:21:06,759 --> 00:21:08,700 y lógicamente ellos van a utilizar 144 00:21:08,700 --> 00:21:10,960 este tipo de herramientas, por lo que no se puede 145 00:21:10,960 --> 00:21:14,640 dejar de lado. Bien, pues con esto 146 00:21:14,640 --> 00:21:15,839 termino en los cinco minutos. 147 00:21:22,589 --> 00:21:22,990 Vale.