Llegamos a ustedes gracias a:



Reportajes y análisis

8 herramientas de inteligencia de código abierto

Encuentre información pública sensible antes que los malos

[23/10/2020] La OSINT, o la inteligencia de código abierto, es la práctica de recopilar información de fuentes publicadas o disponibles públicamente. Las operaciones de OSINT, ya sean practicadas por profesionales de la seguridad de TI, hackers malintencionados o agentes de inteligencia autorizados por el estado, utilizan técnicas avanzadas destinadas a buscar y encontrar, en el vasto pajar de datos visibles, las agujas que están buscando con el fin de lograr sus objetivos -y obtener información que muchos desconocían que era pública. Aunque muchas herramientas OSINT son de código abierto, en este contexto, el código abierto no se refiere al movimiento del software de código abierto, sino a la descripción de la naturaleza pública de los datos que se analizan.

OSINT es, en muchos sentidos, la imagen reflejada de la seguridad operativa, u OPSEC, que es el proceso de seguridad mediante el cual las organizaciones protegen los datos públicos sobre sí mismas que podrían, si se analizan adecuadamente, revelar verdades perjudiciales. Con el fin de reforzar la seguridad operativa, las áreas de seguridad de TI tienen la tarea, cada vez más frecuente, de realizar operaciones OSINT en sus propias organizaciones.

Historia de la OSINT: Del espionaje a TI

Durante la década de los años ochenta, los servicios militares y de inteligencia comenzaron a desviar algunas de sus actividades de recopilación de información de actividades encubiertas -como tratar de leer el correo de un adversario o espiar sus teléfonos- hacia el descubrimiento de secretos ocultos. En cambio, se hizo un esfuerzo para buscar inteligencia útil que estuviera disponible de forma gratuita, o incluso publicada oficialmente.

El mundo en ese momento estaba cambiando, y aunque las redes sociales aún no habían aparecido aún, se contaba con muchas fuentes como periódicos y bases de datos disponibles públicamente, que contenían información interesante y a veces útil, especialmente si alguien sabía cómo conectar muchos puntos. El término OSINT se acuñó originalmente para referirse a este tipo de habilidad de espionaje.

Pero estas mismas técnicas ahora se pueden aplicar a la ciberseguridad. La mayoría de las organizaciones tienen vastas infraestructuras direccionadas al público, que abarcan muchas redes, tecnologías, servicios de alojamiento y espacios de nombres. La información se puede almacenar en los escritorios de los empleados, en servidores on premises legados, en dispositivos BYOD propiedad de los empleados, en la nube, en dispositivos integrados como cámaras web, o incluso puede ocultarse en el código fuente de aplicaciones y programas activos.

De hecho, el personal de TI de las grandes empresas casi nunca conoce todos los activos de su empresa, públicos o no. Agregue el hecho de que muchas organizaciones también poseen o controlan indirectamente varios activos adicionales -como sus cuentas en redes sociales-, y se tendrá potencialmente mucha información que podría ser peligrosa en las manos equivocadas.

¿Por qué es importante la OSINT?

La OSINT es crucial para controlar ese caos de información. Hay tres tareas importantes dentro de la OSINT que TI debe cumplir, y se ha desarrollado una amplia gama de herramientas OSINT para ayudar a satisfacer esas necesidades. La mayoría de las herramientas cumplen las tres funciones, aunque muchas destacan en un área en particular.

  • Descubren los activos a disposición del público: Su función más común es ayudar a los equipos de TI a descubrir activos a disposición del público y mapear qué información posee cada uno, capaz de contribuir a una posible superficie de ataque. En general, no intentan buscar cosas como vulnerabilidades de programas o realizar pruebas de penetración. Su trabajo principal es registrar la información que alguien podría encontrar públicamente sobre los activos de la empresa, sin necesidad de hackers.
  • Descubren información relevante fuera de la organización: Una función secundaria que realizan algunas herramientas OSINT es buscar información relevante fuera de una organización, como en las publicaciones en redes sociales, o en dominios y ubicaciones que pueden estar fuera de una red estrictamente definida. Las organizaciones que han realizado muchas adquisiciones, trayendo consigo los activos de TI de la empresa con la que se están fusionando, podrían encontrar esta función muy útil. Dado el extremo crecimiento y popularidad de las redes sociales, buscar información confidencial fuera del perímetro de la empresa probablemente sea útil para casi cualquier grupo.
  • Recopilan la información descubierta en forma que pueda ser usada para la toma de acciones: Por último, algunas herramientas OSINT ayudan a recopilar y agrupar toda la información descubierta en inteligencia para la toma de acciones. Realizar una acción de OSINT en una gran empresa puede producir cientos de miles de resultados, especialmente si se incluyen tanto activos internos como externos. Reunir todos esos datos y ser capaz de resolver primero los problemas más graves puede ser de gran ayuda.

Las mejores herramientas de OSINT

El uso de la herramienta OSINT adecuada para su organización puede mejorar la ciberseguridad, al ayudar a descubrir información sobre su empresa, empleados, activos de TI y otros datos confidenciales o delicados que podrían ser explotados por un atacante. Descubrir esa información primero y luego ocultarla o eliminarla podría reducir todo, desde el phishing hasta los ataques de denegación de servicio.

A continuación -sin ningún orden en particular- se encuentran algunas de las principales herramientas utilizadas para OSINT, en qué áreas se especializan, por qué son únicas y diferentes entre sí, y qué valor específico podrían aportar a los esfuerzos de ciberseguridad de una organización.

Maltego: Maltego se especializa en descubrir relaciones entre personas, empresas, dominios e información de acceso público en Internet. También es conocida por tomar la cantidad, a veces enorme, de información descubierta y trazarla en tablas y gráficos fáciles de leer. Los gráficos son buenos para tomar la inteligencia en bruto y convertirla en inteligencia para la toma de acciones; cada gráfico puede tener hasta 10 mil puntos de datos.

El programa Maltego funciona automatizando la búsqueda de diferentes fuentes de datos públicas, por lo que los usuarios pueden hacer clic en un botón y ejecutar múltiples consultas. El programa llama "acción de transformación al plan de búsqueda y Maltego, de manera predeterminada, ofrece muchas acciones que incluyen fuentes comunes de información pública, como los registros DNS, registros whois, motores de búsqueda y redes sociales. Debido a que el programa usa interfaces públicas para realizar su búsqueda, es compatible con casi cualquier fuente de información que tenga una interfaz pública, por lo que es posible agregar más búsquedas a una acción de transformación o crear una completamente nueva.

Una vez que se recopila la información, Maltego establece conexiones que pueden desenmascarar las relaciones ocultas entre nombres, direcciones de correo electrónico, alias, empresas, páginas web, propietarios de documentos, afiliaciones y otra información que pueda resultar útil en una investigación, o para buscar posibles problemas futuros. El programa en sí se ejecuta en Java, por lo que funciona con plataformas Windows, Mac y Linux.

Existe una versión gratuita del programa, llamada Maltego CE, que cuenta con funciones limitadas. Las versiones de escritorio de Maltego XL cuestan 1.999 dólares por instancia. Las instalaciones en servidores para su uso comercial a gran escala se encuentran desde 40 mil dólares y ofrecen con un programa de capacitación completo.

Recon-ng: Los desarrolladores que trabajan en Python tienen acceso a una poderosa herramienta con Recon-ng, que está escrita en ese lenguaje. Su interfaz se parece mucho al popular Metasploit Framework, lo cual reduciría la curva de aprendizaje para aquellos que tienen experiencia con él. También tiene una función de ayuda interactiva, de la que carecen muchos módulos de Python, por lo que los desarrolladores deberían poder utilizarla rápidamente.

Recon-ng automatiza las actividades OSINT que consumen mucho tiempo, como cortar y pegar. Recon-ng no afirma que toda la recopilación de OSINT pueda realizarse con su herramienta, pero se puede utilizar para automatizar muchos de los tipos de recolección más populares, dejando más tiempo para las cosas que aún deben hacerse manualmente.

Diseñada para que incluso los desarrolladores de Python más jóvenes puedan crear búsquedas de datos disponibles públicamente y obtener buenos resultados, tiene un marco de trabajo muy modular, con muchas funciones integradas. Tareas comunes como estandarizar el output, interactuar con bases de datos, realizar solicitudes web y administrar llaves API, son parte de la interfaz. En lugar de programar Recon-ng para realizar búsquedas, los desarrolladores simplemente eligen qué funciones quieren que realice, y construyen un módulo automatizado en solo unos minutos.

Recon-ng es un software gratuito de código abierto. La wiki disponible incluye información completa para comenzar con la herramienta, así como las mejores prácticas para usarla.

theHarvester: Es una de las herramientas más sencillas de usar en esta lista. theHarvester está diseñada para capturar información pública que existe fuera de la red de propiedad de una organización. También puede encontrar cosas incidentales en las redes internas, pero la mayoría de las herramientas que utiliza están orientadas hacia el exterior. Sería eficaz como paso de reconocimiento antes de las pruebas de penetración o ejercicios similares.

Las fuentes que utiliza theHarvester incluyen a motores de búsqueda populares, como Bing y Google, así como otros menos conocidos como dogpile, DNSdumpster y el motor de metadatos Exalead. También utiliza Netcraft Data Mining y AlienVault Open Threat Exchange. Incluso puede aprovechar el motor de búsqueda Shodan para descubrir puertos abiertos en hosts descubiertos. En general, la herramienta recopila correos electrónicos, nombres, subdominios, IPs y URLs.

Sin ninguna preparación especial, theHarvester puede acceder a la mayoría de las fuentes públicas. Sin embargo, algunas de las fuentes utilizadas requieren una clave API. También debe tener Python 3.6 o superior en su ambiente.

Cualquiera puede obtener theHarvester en GitHub. Se recomienda que utilice un virtualenv para crear un ambiente de Python aislado al clonarlo desde allí.

Shodan: Shodan es un motor de búsqueda dedicado que se utiliza para encontrar inteligencia sobre dispositivos, como los miles de millones que componen la Internet de las cosas (IoT,) que no se pueden buscar con frecuencia, pero que están en todas partes en estos días. También se puede usar para encontrar cosas como puertos abiertos y vulnerabilidades en sistemas específicos. Algunas otras herramientas de OSINT, como theHarvester, lo utilizan como fuente de datos, aunque la interacción profunda con Shodan requiere una cuenta pagada.

La cantidad de lugares que Shodan puede monitorear y buscar, como parte de una actividad de OSINT, es impresionante. Es uno de los pocos motores capaces de examinar tecnología operativa (OT, por sus siglas en inglés) como la que se usa en los sistemas de control industrial, en lugares como plantas de energía e instalaciones de fabricación. Cualquier actividad de recolección de OSINT, en industrias que implementan tanto tecnología de la información como OT, perdería una gran parte de esa infraestructura sin una herramienta como Shodan.

Además de los dispositivos de IoT como cámaras, sensores de edificios y dispositivos de seguridad, Shodan también se puede convertir para observar cosas como bases de datos con el fin de ver si existe información de acceso público a través de rutas distintas a la interfaz principal. Incluso puede trabajar con videojuegos, descubriendo cosas como Minecraft o Counter-Strike: servidores de Global Offensive que se esconden en redes corporativas donde no deberían estar, y qué vulnerabilidades generan.

Cualquiera puede comprar una licencia de Freelancer y usar Shodan para escanear hasta 5.120 direcciones IP mensuales, con un retorno de hasta un millón de resultados. Eso cuesta 59 dólares mensuales. Los usuarios pueden comprar una licencia corporativa, que proporciona resultados ilimitados y escaneo de hasta 300 mil IPs mensuales. La versión corporativa, que cuesta 899 dólares mensuales, incluye un filtro de búsqueda de vulnerabilidades y soporte premium.

Metagoofil: Otra herramienta disponible gratuitamente en GitHub, Metagoofil, está optimizada para extraer metadatos de documentos públicos. Metagoofil puede investigar casi cualquier tipo de documento al que pueda acceder a través de canales públicos, incluidos .pfd, .doc, .ppt, .xls y muchos otros.

La cantidad de datos interesantes que puede recopilar Metagoofil es impresionante. Las búsquedas devuelven cosas como los nombres de usuario asociados con los documentos descubiertos, así como nombres reales si están disponibles. También mapea las rutas de cómo llegar a esos documentos, que a su vez proporcionarían cosas como nombres de servidores, recursos compartidos, e información del árbol de directorios sobre la organización anfitriona.

Todo lo que encuentre Metagoofil sería muy útil para un hacker, que podría usarlo para hacer cosas como lanzar ataques de contraseña de fuerza bruta, o incluso correos electrónicos de phishing. Las organizaciones que quieran protegerse podrían, en cambio, tomar la misma información recopilada por OSINT y protegerla, u ocultarla, antes de que alguien malintencionado pueda tomar la iniciativa.

Searchcode: Para aquellos que necesitan adentrarse muy profundamente en la compleja matriz de recolección OSINT, Searchcode es un motor de búsqueda muy especializado que busca información de inteligencia que conduzca a acciones dentro del código fuente. Este potente motor es, sorprendentemente, la obra de un solo desarrollador.

Debido a que primero se tiene que agregar un repositorio de código en el programa antes de convertirse en búsquedas, Searchcode abarca la línea entre una herramienta OSINT y una herramienta diseñada para encontrar cosas que no sean información pública. Sin embargo, todavía se puede considerar una herramienta OSINT, porque los desarrolladores pueden usarla para descubrir problemas asociados con tener acceso a información confidencial dentro del código en aplicaciones en ejecución, o en aquellas que aún están en desarrollo. En el último caso, esos problemas podrían solucionarse antes de la implementación en un ambiente de producción.

A pesar de que todo lo que implica código va a requerir más conocimientos que, por ejemplo, una búsqueda en Google, Searchcode realiza un gran trabajo haciendo todo lo posible para que su interfaz sea fácil de usar. Los usuarios simplemente escriben en sus campos de búsqueda y Searchcode devuelve resultados relevantes con los términos de búsqueda resaltados en las líneas de código. Las búsquedas sugeridas incluyen nombres de usuario, fallas de seguridad como llamadas eval $_GET, funciones activas no deseadas como re.compile, y caracteres especiales que pueden usarse para lanzar ataques de inyección de código.

La mayoría de las veces, los resultados devueltos por el código de búsqueda se explican por sí mismos. Sin embargo, es posible hacer clic en esos resultados para encontrar información más profunda o problemas de coincidencia si es necesario.

SpiderFoot: Esta herramienta metaOSINT es como un Metasploit para OSINT. Suelte a SpiderFoot tras el aroma de una dirección IP, nombre de dominio, dirección de correo electrónico, nombre de usuario, subred o ASN, especifique algunos de los módulos o todos los módulos para usar, y SpiderFoot le traerá de vuelta todas estas cosas.

SpiderFoot es una herramienta freemium, disponible para descargar y usar como un producto de código abierto sin costo -pero las búsquedas están limitadas a una a la vez-, o una oferta SaaS ilimitada, llamada SpiderFoot HX.

La herramienta se integra con casi todos los feeds de datos OSINT disponibles actualmente, casi 200 según su página web, incluidos AlienVault, HaveIBeenPwned, SecurityTrails y Shodan, y su página web promete integrar nuevos feeds de datos OSINT en "días, no semanas. Esto hace que SpiderFoot sea ideal para monitorear la información expuesta públicamente sobre su propia organización, así como la de su competencia.

SpiderFoot ofrece herramientas de visualización de datos para dar sentido a los datos recopilados, e incluso puede exportar los datos recopilados como JSON, CSV o GEXF para analizarlos en la comodidad de su propia base de datos fuera de línea. Estamos prestándole mucha atención a esta nueva y emergente herramienta metaOSINT.

Babel X: La información relevante no siempre está en inglés. Solo alrededor de una cuarta parte de los usuarios de Internet hablan inglés como idioma principal según Statista, aunque varias fuentes afirman que hasta el 55% del contenido de Internet está en inglés. La información que necesita puede estar en chino, español o tamil.

Babel X, de Babel Street, es una herramienta de búsqueda multilingüe para la Internet pública, que incluye blogs, redes sociales, foros de mensajes y sitios de noticias. También busca en la web oscura, incluidos los sitios de Onion, y en algunos contenidos de la web profunda a los que Babel X puede acceder a través de acuerdos o licencias de los propietarios del contenido. El producto puede localizar, geográficamente, la fuente de información que encuentra, y puede realizar análisis de texto para identificar resultados relevantes. Actualmente, Babel X puede realizar búsquedas en más de 200 idiomas.

La búsqueda de noticias globales, con el fin de conocer la situación, es uno de los casos de uso en los que una búsqueda multilingüe es útil -por ejemplo, para conocer las tendencias en la orientación de los ataques de ransomware. También se puede utilizar para detectar la propiedad intelectual de una empresa en venta, en una página web extranjera, o información que muestre que se ha visto comprometido un socio clave. Los clientes también han utilizado Babel X para encontrar identificadores de usuarios de presuntos atacantes en foros de mensajes que no están en inglés.

El producto principal de Babel X está basado en la nube y permite a los clientes personalizarlo agregando sus propias fuentes de datos para buscar. Babel Box es una versión local, pero carece de algunas de las funciones de Babel X, como el acceso a fuentes de datos de la web profunda. Babel Channels, la opción de menor costo, es una colección curada de fuentes de datos. Una aplicación móvil está disponible para todas las opciones.

OSINT Framework

Si bien estas herramientas ofrecen una gran cantidad de datos OSINT, existen muchas otras herramientas y técnicas disponibles que le ayudan a comprender completamente la huella pública de su organización. Un excelente recurso para descubrir más herramientas es el OSINT Framework,  que ofrece una interfaz web, que desglosa diferentes áreas temáticas de interés para los investigadores de OSINT, y los conecta con las herramientas que pueden ayudarles a detectar la información que necesitan.

Las herramientas que OSINT Framework le indicará son todas gratuitas, aunque algunas requieren registro o tienen disponibles versiones de pago con más funciones. Algunas son simplemente herramientas que le ayudan a construir búsquedas avanzadas de Google, capaces de generar una cantidad sorprendente de información. El OSINT Framework es mantenido por Justin Nordine, y tiene una página de proyecto en GitHub.

¿Es ilegal OSINT?

Si bien los hackers malintencionados suelen utilizar las técnicas de OSINT como reconocimiento antes de lanzar un ataque ilegal, en su mayor parte las herramientas y técnicas son perfectamente legales -después de todo, están diseñadas para ayudarle a localizar los datos que se publican o que, en alguna medida, se encuentra a disposición del público. Incluso se alienta a las agencias gubernamentales a utilizar técnicas OSINT, para que busquen los agujeros dentro de sus propias defensas de ciberseguridad.

Sin embargo, seguir el rastro abierto por estas consultas OSINT puede conducirle a áreas legales grises. Media Sonar tiene algunos buenos consejos sobre cómo mantenerse en el lado correcto de la ley aquí. Por ejemplo, no es ilegal acceder a áreas públicas de la web oscura y puede ser importante hacerlo si está tratando de determinar si los datos de su organización han sido filtrados o robados; pero no debe intentar comprar colecciones de datos robados como parte de su investigación, o hacerse pasar por un agente de la ley para sacar información de personajes sospechosos.

En general, es importante desarrollar un código de conducta, anticipadamente, para orientar el comportamiento de sus empleados en estas expediciones, así como documentar todo lo que hace para demostrar que cumple con esas pautas y que no ha infringido ninguna ley.

Cerrar los vacíos de la inteligencia de código abierto

No todos los ataques o intrusiones implican amenazas persistentes avanzadas o penetraciones profundas y sofisticadas. Los hackers, como todos los demás, tomarán el camino más fácil hacia sus objetivos. No existe la necesidad de intentar burlar la ciberseguridad estricta, a través de muchos meses de esfuerzo, si la información que desean está disponible a través de un canal de acceso público. Como mínimo, la información confidencial se puede utilizar como un atajo para obtener credenciales válidas o para ayudar a planificar una intrusión eficaz con menos esfuerzo o riesgo.

Las herramientas OSINT pueden ayudar a las organizaciones a controlar la información disponible sobre ellas, sus redes, datos y usuarios. Encontrar esa información rápidamente es clave, ya que permitiría eliminarla antes de que alguien pueda explotarla. Estas herramientas pueden ser un gran impulso durante la carrera más crítica.

Este es un artículo de actualización al publicado el 28 de octubre del 2019.