1. Introducción a IntelX

Vamos a llevar a cabo un análisis sobre IntelX, un novedoso motor de búsqueda y archivos de la compañía europea IntelligenceX que, además, incorpora opciones de búsqueda de terceros preconfiguradas, al estilo de IntelTechniques, que nos permitirá ahorrar tiempo y mayor eficiencia en nuestras labores de OSINT.

2. Conociendo IntelX

IntelligenceX es una compañía tecnológica europea (República Checa), fundada en 2018 por Peter Kleissner, cuya misión es desarrollar y mantener el motor de búsqueda y el archivo de datos IntelX.

Según afirma la propia compañía, IntelX se diferencia de otros motores de búsqueda a través de las siguientes características:

  • Las búsquedas se realizan a través de selectores. Un selector es un término de búsqueda específico, como una dirección de correo electrónico, un dominio, una URL, una dirección IP, una dirección de Bitcoin, un hash, etc.
  • Por llevar a cabo búsquedas tanto en la DarkNet como en fuentes públicas, así como en plataformas de compartición de documentos, Corea del Norte, etc.
  • Y por mantener un archivo histórico de resultados, similar a como Wayback Machine, de archive.org, almacena copias históricas de sitios web, lo que permite retroceder en el tiempo y buscar datos históricos y documentos.

Todas estas características hacen muy interesante este nuevo motor de búsqueda.

En cuanto a su política de privacidad, indican que no almacenan las búsquedas que realizan los usuarios ni datos personales de estos, solo aquellos datos que son necesarios para proporcionar el servicio (datos de registro, dirección IP de inicio de sesión, cookies…). Los servidores de IntelligenceX se hayan en la Unión Europea, por lo que están sujetos a las normativas de privacidad europeas. Os dejamos en enlace a la política de privacidad por si requerías de mayor información: https://intelx.io/privacy-policy

3. Tipos de cuentas

cuentas intelx

Disponemos de 2 tipos de cuentas diferentes: gratuita y profesional:

  • Uso gratuito (no requiere registro previo): su uso no conlleva pago alguno. Disponemos de un límite de 50 búsquedas al día por selector, y de un máximo de 5 empleando la opción phonebook (que detallamos más adelante en qué consiste). Además, ciertas categorías de fuentes están excluidas, solo existe una vista previa de datos (no podemos ver el documento histórico completo ni descargarlo), y tampoco se dispone de API y alertas.
  • Uso profesional (requiere un registro previo): su uso conlleva el pago de una suscripción mensual (99$) o anual. El límite de búsquedas por selector es de 200 diarias, 25 por phonebook, además de la posibilidad de exportar los datos, acceso al histórico de datos y a todas las categorías de búsqueda, y soporte por correo electrónico.

Como vemos, podemos llevar a cabo algunas funcionalidades de forma gratuita, pero estas están muy limitadas, por lo que es recomendable el registro, que también lo es (podemos crear la cuenta con un email temporal, por ejemplo), y nos permitirá acceder a las funcionalidades completas durante una semana. Posteriormente, podemos valorar la compra de la licencia profesional o llevar a cabo otro registro con una dirección de correo diferente.

cuenta pro intelx

Además, al disponer de cuenta PRO, tendremos:

  • Acceso a la API (con ciertos límites de búsquedas).
apì intelx
  • Y la posibilidad de crear hasta 10 alertas de resultados del selector que especifiquemos, que serán enviadas a la dirección de correo de registro, con una frecuencia de notificación diaria, semanal o mensual.
  • Aquí os dejamos la documentación:

Manual - Intelligence X API

4. Análisis de IntelX

4.1. Motor de búsqueda (Search Engine)

Comenzamos por el motor de búsqueda, para lo cual solo debemos acceder a la home del sitio web: https://intelx.io/

search engine intelx

Funciona, como ya hemos comentado, a través de la introducción de selectores como términos de búsqueda:

  • Dirección de correo electrónico
  • Dominio, incluyendo comodines (*.example.com)
  • URL
  • IP (tanto IPv4 como IPv6)
  • Número de teléfono
  • Dirección de Bitcoin
  • Dirección MAC
  • Hash
  • Número de tarjeta de crédito
  • Número de seguridad social
  • IBAN

Si desplegamos la búsqueda avanzada, tenemos la posibilidad de filtrar los resultados:

  • Por categoría (algunas de estas requieren de una cuenta PRO):Paste site (incluyendo histórico)DarkNet: TOR e I2P
    • Snowden Leaks
    • WikiLeaks
    • Corea del Norte
  • Por fecha o rango
  • Por tipo de archivo
  • Ordenar los resultados por relevancia (X-Score) o novedad/antigüedad.
    búsqueda avanzada intelx

    En el caso de que no conozcamos el selector completo (por ejemplo, una dirección de correo incompleta), podemos marcar la opción “Phonebook” en la búsqueda avanzada y añadir el símbolo asterisco (*) para hallar el selector completo.
phonebook intelx

Además, independientemente de si el contenido se haya en la DarkNet, o es una página HTML de la Surface web, o se trate de un archivo PDF o una imagen, es posible visualizarlo de forma segura sin salir del sitio web.

Veamos un ejemplo:

Una vez logados en nuestra cuenta trial, introducimos en el cuadro de búsqueda el selector: johndoe@example.com, y en las opciones avanzadas marcamos todas las categorías de búsqueda y ordenamos por relevancia.

Como se puede apreciar, se detectan un total de 204 pastes y un sitio web.

search engine intelx

Si visualizamos el primer resultado, disponemos del contenido histórico del paste. Es interesante, ya que la mayoría de los pastes son eliminados con bastante rapidez (se accede al contenido completo del mismo ya que estamos logados con una cuenta que posee un trial de una semana, sino fuese así solo visualizaríamos las primeras líneas de este).

En esta vista, nos permite buscar nuestro selector en el cuadro de búsqueda, y visualizar el título del paste, la fecha y hora de su publicación.

vista resultados intelx

Si navegamos por los distintos menús del resultado, en el apartado “Metadata”, vemos la url del paste (a la cual podemos acceder desde nuestro navegador y comprobar si ya ha sido eliminado o no), la puntuación dada por IntelX (X-Score), su tamaño y hashes asociados.

vista metadata intelx

En el apartado “Selectors” se aprecian los selectores que contiene dicho documento, en este caso: 258 dominios, 1.741 direcciones de correo y una url.

vista selectors intelx

Por último, desde la pestaña “Actions”, podemos desde buscar un contenido similar en IntelX, hasta guardar el fichero (exportación en txt), imprimirlo o solicitar el reporte para la retirada de dicho documento de IntelX (IntelX valorará la retirada del documento de sus resultados de búsqueda, pero este no se elimina en el sitio web origen de la publicación).

vista actions intelx

4.2. Herramientas (Tools)

Como se ha comentado, esta sección (https://intelx.io/tools) incluye una serie de búsquedas de terceros preconfiguradas, de forma similar a IntelTechniques (dicho sitio web dejó de proveer de forma gratuita su sección de herramientas el mes pasado), además de otras funcionalidades adicionales.

Está dividida en 3 zonas diferenciadas: búsqueda de terceros, herramientas IntelX y otros.

tools intelx

1ª Zona: Búsqueda de terceros (Third Party Search)

Disponemos de un primer apartado, llamado “General”, donde podemos introducir los términos de búsqueda que deseemos y marcar con cuales motores de búsqueda queremos obtener resultados: Google, Bing, Yahoo, Yandex, Baidu… incluso de la DarkNet: Ahmia, Not Evil, Torch… Una vez seleccionados dichos metabuscadores, o todos ellos, debemos permitir las ventanas emergentes del navegador, ya que se abrirán tantas pestañas como metabuscadores hayamos marcado.

general search engine intelx

El resto de opciones dentro de la búsqueda de terceros están enfocadas a proporcionar información sobre el dato objetivo (target data) que poseamos: email, dominio, IP, dirección de bitcoin, imagen o nombre de usuario. Solo debemos introducir ese dato que conocemos y seleccionar las opciones de terceros disponibles, lo cual facilita la búsqueda en múltiples fuentes.

email lookup intelx

2ª Zona: IntelX Tools

Si pasamos a la zona “IntelX Tools”, encontramos:

  • Extracción de selectores (Selector Extraction): permite extraer selectores de documentos, textos sin formato y sitios web.
  • Conversión de texto (Document 2 Text Conversion): permite extraer texto de cualquier documento compatible.
  • Validar correos electrónicos (Validate Email): introduciendo uno o varios emails, esta herramienta verificará si son válidos, inválidos o si se tratan de trashmail (email temporal).
  • Facebook (Facebook Graph Searcher): desde los recientes cambios de la API de Facebook Graph, existen pocas alternativas a las múltiples búsquedas que antes se permitían. Desde esta herramienta, una vez autenticados con una cuenta de Facebook, podemos buscar publicaciones con la palabra clave seleccionada en una fecha determinada o rango de tiempo concreto, o ver las realizadas por un usuario concreto en base a un keyword.
facebook graph search intelx

Además, se ofrece otra alternativa a dichas búsqueda a través del proyecto de sowdust, que permite llevar a cabo búsquedas por tipología: publicaciones, gente, fotos, páginas, lugares, videos, top y eventos.Twitter: permite llevar a cabo búsquedas en la red social Twitter por perfil de usario, analizar un perfil (socialbearing) o detectar tweets por localización.

  • Codificación (Encoding): permite codificar o decodificar url, base 64 o hexadecimal. También permita obtener el hash (MD5, SHA-1, SHA-256 o SHA-512) de una entrada origen.
  • URL (Open Multiple URLs): introduciendo una url por línea, la herramienta abre una pestaña por url introducida.

3ª Zona: Otros

Por último, en la zona de otros, disponemos de una serie de fuentes de interés (repositorios OSINT), y el listado de los cambios introducidos por IntelX (changelog).

5. Conclusión

Tras el análisis realizado, creemos que se trata de una herramienta que tiene que estar sí o sí en el kit de todo analista OSINT. Además de aportar funcionalidad en las búsquedas, ofrece resultados que otros motores y herramientas no ofrecen.

El hecho de funcionar a través de selectores permite extraer datos muy interesantes. También, el poder disponer de los históricos de los contenidos de los documentos permite poder visualizar datos que de otro modo sería muy difícil de obtener, sobre todo en el caso de los pastes y su volatilidad.

Tiene un enorme potencial, y parece que los desarrolladores van a seguir ampliando progresivamente la zona de Tools. Además, en los foros podéis llevar a cabo peticiones de herramientas a implementar para seguir mejorando IntelX.

Os dejamos, también, otros recursos de interés:

Para seguir al tanto de nuevas herramientas, recursos, análisis, formación, congresos y CONs, visita la comunidad de ciberinteligencia GINSEG.

0 comments

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>