Juan se levanta temprano y mientras se prepara el café, desbloquea el celular. Una notificación le deja helado. Un desconocido le exige el pago de una cantidad desorbitada de dinero para que nadie descubra que le fue infiel a su pareja. Tras calmars, Juan ríe. Es imposible, debe ser una broma.
Entonces el desconocido le advierte: «Sé muchas cosas sobre ti». Le envía su dirección de casa, una foto de su puerta, sus correos electrónicos e incluso un número de teléfono suyo que muy poca gente conoce.
Esta historia es ficticia. Pero ocurre en la realidad más a menudo de lo que puedes pensar. Efectivamente, detrás de esta historia podría estar un ciberdelincuente. Pero ese criminal no necesita adivinar contraseñas ni cometer ningún delito para iniciar su chantaje. Solo tuvo que recurrir al OSINT.
OSINT son las siglas en inglés de inteligencia de fuentes abiertas. Business Insider España buscó a varios especialistas para tratar de explicar qué es este conjunto de técnicas y herramientas que están ganando popularidad y por qué pueden ser una amenaza cuando estos conocimientos caen en malas manos.
No siempre, claro. Los investigadores que dominan estas técnicas y herramientas que engloban el OSINT son capaces de prevenir crímenes o atentados, colaborar en la búsqueda de personas desaparecidas, detectar movimientos de tropas en momentos de tensión diplomática o, a nivel corporativo, prevenir o solucionar crisis reputacionales.
Departamentos de policía de todo el mundo han desarrollado incluso torneos para que grupos de investigadores OSINT compitan entre sí a ver cuál descubre más información sobre personas desaparecidas desde hace años.
El problema es que los ciberdelincuentes también conocen esta disciplina y son capaces de dominarla para otros fines. Para entenderlo, primero es necesario detallar en qué consiste el OSINT.
Belén Carrasco, analista de inteligencia, trabaja en una firma londinense llamada Neon Century que se dedica a esta disciplina. Ha trabajado para organismos de la OTAN y ha realizado investigaciones OSINT para gobiernos europeos. Define el OSINT «como un conjunto de técnicas que determinados actores pueden usar para recopilar y entender datos que son de acceso público».
«Datos que están públicamente expuestos en internet en sus distintos niveles, en la web superficial, en la deep web o en la dark web. Estas técnicas se usan a lo largo de esas tres capas para sacar la mayor cantidad de información posible y usarla con distintos fines, que pueden ser lícitos o ilícitos», continúa.
Jézer Ferreira, profesor en OSINT y uno de los responsables de la Cyber Hunter Academy, detalla que el OSINT nace en los años 40 a manos de organismos estadounidenses que comenzaron a recopilar información para convertirla en inteligencia extrayendo datos de fuentes abiertas como medios de comunicación o incluso discursos políticos.
Sin embargo, todos los especialistas consultados por este medio coinciden en que su popularidad actual estalló hace unos tres o cuatro años. Aimery Parekh es investigador OSINT freelance, trabaja con clientes en todo el mundo y es el fundador de una de las primeras comunidades españolas de investigadores que emplean estas técnicas, la llamada Brigada OSINT.
«Es todo lo que sea inteligencia de fuentes abiertas», expone Parekh. «Todo lo que puedas encontrar en internet, ya sea en redes sociales, prensa o información a la que tengas acceso de manera gratuita o mediante pago. Todo lo que puedas encontrar, pero sin hackear», advierte.
Ana Isabel Corral es analista de inteligencia y asociada junior a la Asociación Profesional de Peritos de Nuevas Tecnologías. También trabaja con Jézer en la misma academia, Cyber Hunter Academy.
En la definición que ella aporta, incide mucho en la actitud que debe tener el investigador frente a su trabajo. Plantea que estas investigaciones suelen darse con escucha pasiva. Se refiere a que no se pueden vulnerar accesos mediante otras técnicas de hacking. «No rompemos accesos a redes sociales o correos electrónicos buscando información», recuerda.
Carlos Seisdedos, especialista en ciberinteligencia de ISecAuditors, participó en investigaciones OSINT sobre canales de Telegram que difunden propaganda de terroristas islámicos. En entornos tan delicados como ese, el investigador cuenta a Business Insider España que a menudo toca emplear técnicas de Virtual HUMINT para extraer más información.
Virtual HUMINT, junto con el SOCMINT, son algunas de las corporaciones que sostienen la mesa del OSINT. El HUMINT es la inteligencia clásica, mientras que el SOCMINT es la inteligencia extraída de plataformas sociales, dice Seisdedos.
Algunas de las fuentes abiertas que se pueden consultar en una investigación con OSINT incluyen «medios de comunicación, redes sociales, sitios web, IP, blockchain, registros públicos (corporativos, sentencias, incidencias, propiedades y otros agregadores de información)», señala Fernanda Restrepo, asociada sénior en el departamento de Inteligencia de Kroll.
Jorge Coronado, jefe de Tecnología de Lazarus Technology Group y fundador de QuantiKa14, una firma andaluza dedicada al OSINT, corrobora que esta disciplina vive un auge estos días. Él lleva varios años en este ámbito: «Cuando empecé no había prácticamente nadie a nivel público. A nivel underground, yo me movía por foros y plataformas de hacking».
Cuando en esas plataformas dos hackers se peleaban, terminaban doxeándose. El término, adaptado de la voz inglesa doxing, se refiere al fenómeno por el cual se revela y expone la identidad real de un internauta con el propósito de humillarle. «La forma de doxear es hacer OSINT», resume Coronado.
Con todo, lo que parece evidente es que el OSINT avanza. «Crece imagino que gracias a la modernización y a la necesidad de empresas de implementar un departamento de inteligencia», considera Coronado. El problema: los ciberdelincuentes también conocen estas herramientas.
Juan es el protagonista del relato ficticio con el que arranca este artículo. ¿Cómo pudo un ciberdelincuente descubrir datos tan sensibles como dónde vive, a qué se dedica, a qué hora se despierta, su número de teléfono privado e incluso su presunta infidelidad?
La historia de Juan podría ser terrible pero, en la vida real, además se han dado casos de estafas como la llamada «fraude del CEO», en la que un criminal suplanta al directivo de una compañía para exigir un pago inmediato a un trabajador, u otros tipos de suplantaciones que han desembocado en históricos hackeos gracias a estrategias de ingeniería social.
Lo preocupante es que en realidad es relativamente sencillo conocer información de tus víctimas si actúas como un criminal informático con conocimientos de OSINT. Y esto se debe a que los usuarios generan una importante huella digital por su actividad en la red.
Además, esa huella no la generan siempre los propios usuarios. Es difícil encontrar información de personas mayores, cuyo acceso a la red es reducido u ocasional. Pero, ¿y si un anciano frecuenta un bar? ¿Y si el bar sube fotos todos los días de su clientela a su página de Facebook?
El propio Aimery Parekh reconoce que ha llegado a enviar a algunos de sus contactos en LinkedIn fotos de sus puertas de casa. «Me dicen, oye, qué haces». Pero en realidad ha sido tan sencillo como que el usuario en cuestión subió su currículum vitae completo a la plataforma y en él aparecían la dirección de casa y el número de identificación.
Fernanda Restrepo, de Kroll, hace una exhaustiva lista de datos a los que los usuarios no le dan la suficiente importancia y que pueden al final ser parte de un informe OSINT sobre sus vidas.
«Registros en páginas web, publicaciones en redes sociales y foros, fotos en anuncios de ventas de coches y muebles, fechas de cumpleaños que pueden utilizarse para validar información en entidades bancarias…».
«Hay que tener en cuenta que la mayoría de la información que está abierta al público la exponemos nosotros mismos, por lo que debemos tener cuidado o al menos ser conscientes», incide Restrepo. «Al subir cualquier tipo de información a redes, comentar en artículos y foros, intercambiar información en sitios web, estamos creando nuestro perfil público, muchas veces sin darnos cuenta».
Es fácil comprobar si Juan ha cometido una infidelidad o se le ha pasado por la cabeza hacerlo. Algo tan sencillo como conocer su correo electrónico y comprobar si ya está registrado o no en aplicaciones de citas es algo al alcance de cualquiera.
Pero también sería fácil advertir si Juan o cualquier otra persona está fuera de casa para que entraran a robar en su domicilio. Basta una publicación en Instagram señalando que esa persona va a estar en la playa unas semanas. ¿Y para encontrar ese domicilio, si la dirección no está disponible en la web?
Carlos Seisdedos y Ana Isabel Corral coinciden en una expresión. «Todos los datos que has subido a la red son susceptibles de ser usados en tu contra». Incluso una foto con las vistas desde casa puede servir para que un criminal triangule y descubra dónde está tu residencia.
Belén Carrasco, de Neon Century, detalla a Business Insider España cómo incluso a veces las contraseñas que los usuarios elegimos son de todo menos seguras. Una vez vio en una filtración de contraseñas que un importante directivo de una multinacional usaba como contraseña para su cuenta de LinkedIn la siguiente palabra: «linkedin».
«Los likes y los amigos en una red social dicen más de una persona de lo que uno cree», advierte también la propia Carrasco. «Con técnicas de OSINT, los ciberdelincuentes no solo tienen más fácil atacarle con campañas de phishing u otras técnicas». También pueden llegar a poner en riesgo la integridad física de los usuarios.
«Pueden saber dónde vive y dónde esperarle a él o a sus familiares».
Seisdedos incide en que los usuarios tienen («tenemos») «una muy mala higiene digital», lo que conlleva que «reutilicemos contraseñas en diferentes servicios». No importa si tu clave es de hasta 18 dígitos; si ha sido expuesta una vez y la usas en más servicios, estás siendo vulnerable en distintas plataformas.
Jézer Ferreira explica en muy pocos pasos lo sencillo que es descubrir qué tecnologías utiliza una empresa o una universidad pública. Basta con acudir de nuevo a LinkedIn y comprobar en qué tecnologías están especializados muchos de sus trabajadores. Eso ya da pistas para que bandas de ciberdelincuencia emprendan acciones ilícitas.
Cada vez son más las compañías que abren sus departamentos de inteligencia. Firmas como onBRANDING, de Selva Orejón, se dedican precisamente a salvaguardar la reputación digital de sus clientes gracias a labores de OSINT. Proteger los activos digitales supone también monitorear, procesar y extraer inteligencia que afecte a una compañía.
Los fraudes del CEO son una constante y los trabajadores siguen siendo uno de los eslabones más débiles en la cadena de la ciberseguridad, como recuerda Aimery Parekh. Tu huella digital no solo puede ser usada en tu contra, sino también en contra de la organización para la que trabajes.
Por eso la totalidad de los especialistas consultados por Business Insider España coinciden en que sigue siendo necesario realizar trabajos de concienciación y divulgación. Como resume el propio Jorge Coronado, de QuantiKa14, «todos tenemos un secreto».
AHORA LEE: 5 consejos de ciberseguridad para proteger tus datos personales
TAMBIÉN LEE: El empresario y vocalista de Iron Maiden, Bruce Dickinson, comparte sus consejos de ciberseguridad para las empresas