Hoy os traemos un artículo resumen sobre el taller “Te reto, ¿Hasta dónde eres capaz de llegar partiendo de un número de teléfono?” impartido por Jezer Ferreira en IntelCon. Dicha sesión está englobada dentro del módulo de Obtención, correspondiendo a la segunda fase del Ciclo de Inteligencia y trata sobre como enfocar una investigación SOCMINT. En el taller se propone un juego del corte de captura la bandera (CTF), teniendo como objetivo conseguir sacar la mayor información posible partiendo de un único dato, el número de teléfono.

A través de su explicación, se puede ir desentrañando cada vez más información de la persona, en este caso Danna Suarez, personaje ficticio creado para este tipo de eventos formativos. Jezer mostrará cómo utilizando herramientas muy comunes como Google o Telegram, y otras quizá más desconocidas como Pikdoo, Checkwa o Truecaller, puede obtenerse mucha información de la huella digital que haya dejado la persona a través de las redes sociales.

Conociendo al ponente

Jezer Ferreira es licenciado en Sistemas de la Información por la UCL Ensino Superior y dispone un Máster en Ciberseguridad y Hacking ético por la Universidad Rey Juan Carlos, con experiencia en proyectos de cibersegurdad en Europa y Latinoamérica.

Cuenta además con certificaciones en el ámbito de la ciberseguridad como CEH, NSE, FCEH, OSFTC y Mastering CVSS entre otras.

Actualmente trabaja en Telefónica a través de Westcom-Comstor, en proyectos de Hacking Ético e inteligencia de Amenazas Emergentes, al tiempo que desempeña como profesional independiente como instructor y formador de OSINT, Cibertinteligencia y Hacking Ético en Cyber Hunter Academy. Además es colaborador en la Comunidad Ginseg.

Puntos tratados en el taller

En este taller se han utilizado varias herramientas para ir desentrañando el reto final, conseguir información a partir de un número de teléfono. Es por ello por lo que el taller no presenta una estructura claramente dividida, sin embargo, para poder desglosar la hora y media de taller, se han estimado los puntos tratados en función de las herramientas utilizadas y la información que se obtiene con ellas:

  • ¿Por dónde empezar la investigación?
    • Google
    • Teléfono
    • Instagram
  • Investigar las fotos
  • Investigar otras redes

¿Por dónde empezar la investigación?

Primero que todo Jezer presenta el reto de manera muy atractiva, proponiendo el número de teléfono 593959793504 y la promesa de obtener toda la información posible del dueño de ese número, desde su lugar de residencia a los sitios a los que viaja. Por supuesto, se trata de una persona ficticia que no existe, creada únicamente para mostrar el funcionamiento de las herramientas que se enseñan en este tipo de retos.

A lo largo de esta sección veremos cómo comenzar la investigación realizando búsquedas en Google, a través de herramientas dónde consultar información sobre el número de teléfono y en la red social Instagram.

Google

Para empezar, siempre es recomendable hacerlo por una búsqueda en Google e ir compilando la información que se va recabando en un informe preliminar.

En este caso, Google arroja información del número que pertenece a Movistar Ecuador.

Una segunda búsqueda más enfocada en descubrir la identidad de la persona propietaria del número de teléfono, es utilizando Google Dorks, que son palabras clave que utilizadas en el navegador de Google, son interpretadas para filtrar o afinar la búsqueda.

Para conocer qué Dorks utilizar para esto, Jezer presenta una herramienta web llamada ExploitDB, que recopila información de exploits, shellcode, 0days, vulnerabilidades, artículos de seguridad, tutoriales, etc.

En este caso, se ha introducido la siguiente sentencia de búsqueda:

intitle:"curriculum vitae" filetype:doc intext:"959793504"

La sentencia anterior indica que se van a buscar ficheros con extensión .doc (archivos de office Word), cuyo título sea “curriculum vitae” y que contengan en el texto la cadena “959793504” con el número que se está trabajando. Esta búsqueda podría devolver el CV del propietario del número de teléfono.

Si esta búsqueda no ofrece resultados convincentes, puede probarse con una búsqueda por WhatsApp, ya que como se trata de una de las aplicaciones más usadas del mundo y además está asociada al número de teléfono, es muy probable encontrar algo de información.

Por supuesto, todo depende del grado de privacidad configurado en la propia aplicación. En el caso de que sea bajo, gracias a la herramienta Checkwa puede obtenerse al menos la foto de perfil que utiliza esa persona.

Otra herramienta que propone Jezer para investigaciones por WhatsApp es Send Whats, herramienta Android que permite enviar mensajes a una persona sin que ésta esté en la agenda del teléfono.

Asimismo, Jezer avisa que hay que tener especial cuidado con este tipo de aplicaciones, ya que podrían recabar información del usuario.

Teléfono

Otra aplicación muy interesante es TrueCaller, una herramienta colaborativa utilizada para marcar números de teléfono como spam, así como ofrecer información de los propietarios de los números de teléfono.

Una tercera red para buscar información es Telegram, ya que cada vez hay más personas que utilizan esta aplicación de mensajería.

Esta aplicación permite añadir teléfonos para, en caso de estar dados de alta en la red, poder enviar mensajes. En este aspecto funciona de forma similar a WhatsApp, y también dependerá de la cantidad de información privada que se exponga.

Por su parte, Telegram permite visualizar un histórico de fotos de perfil, nombre de usuario, y una pequeña descripción, lo que permitiría obtener información valiosa.

En este punto Jezer consigue el nombre de usuario asociado al Telegram de este número de teléfono, que es: @da_nna3320, y a partir de un nombre de usuario, la búsqueda toma otra dimensión, ya que puede empezar a rastrearse si ese usuario es utilizado en otras redes sociales.

Para descubrir esto, Jezer utilizó la herramienta Namechk, que permite saber si un nombre de usuario está siendo usado en alguna red social. En la búsqueda realizada en el taller, se descubre que ese usuario utiliza Instagram, Twitch, LinkedIn, Reddit, TripAdvisor, Telegram, etc.

Gracias al nombre de usuario y a las redes se descubre que los perfiles asociados pertenecen a la usuaria Danna Suarez Quito.

Instagram

Cabe destacar que, en este caso, el perfil de Instagram es el que más información ofrece, ya que además del nombre completo de la persona, también se encuentra una dirección de correo electrónico.

Además, para seguir investigando sobre el perfil de Instagram, Jezer habla de herramientas como Pikdo o Instadp, que permite ver los “post” de las personas e incluso sus “stories”.

Otra información muy interesante que puede obtenerse de Pikdo, es el UserID, que es el identificador unívoco que se asigna al usuario, de forma que éste se podrá rastrear por este número en caso de cambie el nombre de usuario.

Para continuar con la investigación, se pasa a revisar las publicaciones detectadas en la propia red social de Instagram, donde se encuentra la evidencia de la imagen inferior. Parece ser que esta foto está tomada desde el lugar donde vive la persona investigada. Por lo que el siguiente paso será ubicar el lugar donde fue tomada la foto.

Volviendo por un momento al perfil de Instagram, se ha encontrado un correo de Gmail, el cual cabe destacar que es muy interesante para obtener el identificador de Google, ya que puede aportar un gran valor para las investigaciones.

Esto puede conseguirse a través de la opción de añadir contacto de Google, ya que una vez se añade el contacto, Google devuelve la información del usuario añadido, y ahí aparece el identificador:

A partir de ese ID de Google, a través de la aplicación “contrib”, que es la encargada de almacenar las críticas realizadas en los lugares visitados. Esto permitirá descubrir las zonas por donde suele moverse la persona.

Investigar las fotos

Para investigar el lugar de origen de una fotografía, uno de los primeros pasos es utilizar el buscador Bing de Microsoft. En este caso no se utilizaría el popular buscador de Google, ya que este ofrece menos falsos positivos.

En Bing, se pueden subir imágenes y el buscador se encargaría de buscar imágenes similares y el lugar representado en las fotos.

Finalmente, para la investigación, se identifica que la ubicación es Irlanda, y también se ha podido determinar el modelo de coche que aparece en las redes de Dana, gracias a otra herramienta llamada CarnetAI.

Y volviendo a la foto del coche, Jezer propone la herramienta web para localizar sitios que aparecen en una imagen: Pic2Map. A través de dicho recurso se puede obtener una posible localización de dónde fue tomada la propia imagen.

Investigar otras redes

Por otra parte, se pueden investigar otras redes como Tripadvisor, red especializada en encontrar reseñas de lugares relacionados con viajes.

En este caso, se puede destacar que Danna está localizada en Cork (Irlanda) y que tiene un perfil en otra red social, Tumblr. Se trata de una plataforma de microblogueo, donde los usuarios acostumbran a poner fotos junto a algún texto.

En esta investigación, se puede comprobar que Danna trabaja en una farmacia. Para verificar esto, Jezer propone una extensión para navegadores llamada Search by Image, que facilita la búsqueda reversa de imágenes. A través de dicha extensión, se descubre que la farmacia es “O’Connor’s Pharmacy” de Cork (Irlanda):

Por último, observando el resto de posts de Tumblr, se encuentra uno donde se facilita un enlace a Flickr, sitio web para compartir e incluso vender fotos.

Flickr, según cuenta Jezer es una de las pocas redes que permiten acceder y descargar las imágenes de manera original, es decir, sin que haya sufrido modificaciones en el lado del servidor, lo que ofrecería la posibilidad de obtener información a partir de los metadatos de la imagen.

Visualización del video del taller

En el presente video puede visualizarse en su totalidad el taller impartido por Jezer Ferreira.

Visualización de la presentación de la ponencia

En la presente presentación podéis visualizar el contenido utilizado en la ponencia.

Jezer-Ferreira-IntelCon-2020

Conclusión

Como conclusión al taller de Jezer Ferreira, se obtiene que cualquier cosa publicada en Internet es susceptible de ser encontrada. Un perfil público ofrece mucha menos privacidad que un perfil privado. Sin embargo, en ciertas redes puede obtenerse información a pesar de tratarse de perfiles privados, o puede extraerse información a priori “inocente”, pero con información contenida en metadatos, o generar nueva información gracias al “Social Hacking”.

Todas las herramientas que propone Jezer pueden usarse para extraer información para una investigación privada, pero existen muchas otras para obtener información más específica o de alguna red social en concreto.

Autor del artículo

0 comments

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>