OSINT: qué es y cómo la están usando los ciberdelincuentes
¿Alguna vez has oído mencionar la sigla OSINT? Este concepto aun es bastante desconocido para el público no técnico aunque ya sea popular entre profesionales del área de la tecnología o incluso entre agentes de las fuerzas gubernamentales de investigación policial o judicial. OSINT, sigla para Open Source Intelligence, se puede traducir libremente como Inteligencia de Fuentes Abiertas, lo que ya da una buena pista de lo que significa.
Grosso modo, la técnica de OSINT está relacionada al uso de fuentes públicas de información para la generación de inteligencia. Específicamente en el mundo virtual, la práctica de OSINT involucra el aprovechamiento de toda la información disponible públicamente en internet para realizar hallazgos, recoger evidencias o, lamentablemente, en el caso de delincuentes cibernéticos, elaborar estafas más convincentes para engañar a las víctimas.
En este punto, se hace necesario abordar un pequeño “detalle” que deja a mucha gente en la duda: a fin de cuentas, ¿la OSINT es ilegal? La respuesta no es tan sencilla. En teoría, no, porque toda información puesta a disposición públicamente puede, en principio, ser utilizada por cualquier persona. El problema se presenta cuando la técnica se emplea para fines maliciosos o cuando infringe reglas específicas de alguna plataforma (como las redes sociales, que prohíben la recogida de datos abiertos de sus usuarios).
Revolviendo en internet
Como lo hemos mencionado, la técnica de OSINT es popular sobre todo entre fuerzas de investigación, ya que permite cruzar una serie de datos de fuentes diversas para descubrir, por ejemplo, la verdadera identidad de un infractor. Basta con recordar cómo equipos policiales de todo el mundo cruzan vídeos, fotografías y más información pública para identificar a vándalos o delincuentes, por ejemplo. Sin embargo, en el universo del cibercrimen, el método tiene una aplicación muy diferente.
Usando herramientas específicas de OSINT, los delincuentes son capaces de elaborar campañas de phishing todavía más eficientes para obtener información más detallada sobre una víctima específica. También pueden emplear softwares para detectar fallas en servidores, puertas de conexión abiertas, equipos de red con contraseñas débiles y así sucesivamente. Solo se requiere un poco de paciencia, saber usar las palabras clave apropiadas en los buscadores más comunes del mercado para, al final del proceso, aplicar toda la inteligencia recogida para fines maliciosos.
¿Quieres ejemplos? Una herramienta de uso público bastante apreciada por el cibercrimen es el SHODAN, un buscador de dispositivos IoT y sistemas de tecnología operativo (OT) vulnerables. Con el Metagoofil, a su vez, se logra extraer metadatos valiosos de cualquier documento, incluyendo nombres de usuarios, versiones de los softwares utilizados, direcciones MAC. Por último, el TheHarvester usa el Google, el Bing y otros buscadores específicos (como el DNSDumpster) para proveer información sobre un sistema empresarial.
¿Es posible protegerse?
Tenemos una noticia buena y una mala. Empezando por la constatación desalentadora de que es difícil mitigar ataques que se hayan elaborado a partir de OSINT. A fin de cuentas, la técnica se basa en recoger información pública y las herramientas están disponibles para quien quiera utilizarlas. Lo que podemos hacer para protegernos es exponernos lo mínimo en la web, pensándolo dos veces antes de comentar algo comprometedor en un sitio público, reforzando nuestras configuraciones de privacidad en las redes sociales y así sucesivamente.
Por otro lado, la buena noticia es que los equipos de seguridad de la información también pueden servirse de herramientas OSINT para blindar sus sistemas. Basta con usarlas para identificar, antes que los delincuentes cibernéticos, eventuales fallas de seguridad en las infraestructuras computacionales empresariales, información sensible publicada de manera indebida en la web y otras vulnerabilidades. Se trata de una verdadera búsqueda del tesoro: quien es más hábil y rápido, ¡se queda con el oro!