Informe especial de ACFCS: Serie de investigaciones, ¿qué es OSINT? parte 1 de 2


  • ACFCS presenta una nueva serie, «The Front Lines», de Erin O’Loughlin, directora senior de capacitación de ACFCS. Erin es una ex investigadora y gerente de múltiples instituciones financieras grandes, un intercambio de divisas criptográficas, así como una exoficial de inteligencia de EE. UU.
  • Aquí abordará problemas que afectan directamente su vida laboral diaria, con el objetivo de ofrecer conclusiones prácticas y tácticas que puedan ayudarlo de inmediato a pensar de manera diferente, analizar de manera más completa y actuar y reaccionar más rápidamente mirando los desafíos históricos y emergentes a través de la lente de un investigador experimentado.
  • En este artículo, Erin aborda el mundo siempre girando y zumbando de la inteligencia de fuente abierta (OSINT). Como su nombre lo indica, existe toda una industria, repleta de herramientas, consejos y tácticas, para extraer mejor lo que ya existe: una poderosa herramienta potencial en el carcaj de un profesional de cumplimiento.
  • Este conocimiento se puede utilizar de manera activa para calibrar mejor los riesgos de delitos de los clientes y de manera defensiva para ver qué vulnerabilidades ya existen en el ciberespacio que los estafadores, piratas informáticos, delincuentes de ransomware y grupos delictivos organizados pueden usar en su contra, en los últimos años con un efecto devastador.


Por Erin O’Loughlin, directora senior de capacitación de ACFCS, ex investigadora de primera línea y gerente de varias instituciones financieras importantes, una casa de cambio de criptomonedas y exoficial de inteligencia del gobierno de EE. UU.

Bienvenido a The Front Lines, una publicación para el investigador, el oficial de riesgos y el profesional de cumplimiento.

Aquí, ACFCS abordará temas que afectan directamente su vida laboral diaria, con el objetivo de ofrecer conclusiones prácticas y tácticas que puedan ayudarlo a pensar de manera diferente, analizar más completamente y actuar y reaccionar más rápidamente mirando los desafíos históricos y emergentes a través de la lente de un investigador experimentado.

Este mes, The Front Lines está abordando el problema de la inteligencia de código o fuente abierto (OSINT), también conocida como información disponible públicamente (PAI, por sus siglas en inglés) dentro de su investigación.

En este artículo, abordaremos los siguientes problemas relacionados con el uso de OSINT en las investigaciones de delitos financieros:

  • ¿Qué es OSINT?
  • Cómo utilizar OSINT de forma eficaz y rápida
  • Búsquedas de red abierta vs profunda vs oscura
  • ¿Cuánto tiempo se debería dedicar a la investigación de OSINT dentro de una investigación en particular?

¿Qué es la inteligencia de código abierto?

Según la página de Wikipedia de OSINT, es «una metodología de múltiples factores para recopilar, analizar y tomar decisiones sobre datos accesibles en fuentes disponibles públicamente para ser utilizados en un contexto de inteligencia».

En la comunidad de inteligencia, el término «abierto» se refiere a fuentes abiertas y disponibles públicamente, en contraposición a fuentes encubiertas o clandestinas.

Para el sector privado, como un investigador de una institución financiera (IF), es raro estar en posesión de fuentes / información clandestinas o encubiertas.

Dicho esto, ¿dónde comienza un investigador de una institución financiera su investigación de OSINT y cuánta investigación debe realizarse fuera de la revisión de la actividad de la transacción?

La respuesta está al alcance de su mano: su computadora y cualquier navegador web que elija emplear es donde debe acudir para una revisión de OSINT dentro de su investigación.

OSINT también tiene muchas dimensiones, ofensivamente para que el profesional ALD encuentre mejor los riesgos enterrados y menos conocidos sobre individuos y entidades, pero también a la defensiva.

La idea: comprender mejor lo que los delincuentes, estafadores y piratas informáticos ya tienen a su disposición que podrían usarse para robar la identidad de alguien, piratear sus sistemas o abrir la puerta a un devastador ataque de ransomware, un flagelo amargo que ha alcanzado proporciones epidémicas en el mundo virtual mientras la pandemia ha golpeado nuestra realidad corporal compartida.

Algunos ejemplos, según informes de los medios, incluyen:

Descubrir activos de cara al público: la profundidad y amplitud de la superficie de ataque

Su función más común para muchas investigaciones de OSINT es ayudar a los equipos de TI a descubrir activos de cara al público; estos podrían ser sitios web de la empresa, portales de empleados y entradas en línea que permiten a los usuarios manipular datos desde fuera de las instalaciones físicas, y mapear qué información posee cada uno que podría contribuir a una superficie de ataque potencial, según la revista en línea Chief Security Office (CSO).

En general, no intentan buscar cosas como las vulnerabilidades del programa o realizar pruebas de penetración, el ámbito del oficial de ciberseguridad. Su trabajo principal es registrar la información que alguien podría encontrar públicamente sobre los activos de la empresa sin recurrir a la piratería.

Aunque, irónicamente, en muchos casos, los piratas informáticos ya han publicado algunos o todos los tesoros de información que han robado como prueba de sus habilidades, para construir su reputación o incluso, simplemente para presumir.

Descubrir información relevante fuera de la organización: ¿Socialmente aceptable?

Una función secundaria que realizan algunas herramientas OSINT es buscar información relevante fuera de una organización, como en publicaciones en redes sociales o en dominios y ubicaciones que podrían estar fuera de una red estrictamente definida, según CSO.

Las organizaciones que han realizado muchas adquisiciones, trayendo consigo los activos de TI de la empresa con la que se están fusionando, podrían encontrar esta función muy útil.

Los activos de TI pueden no ser solo los sistemas utilizados para administrar una empresa determinada, sino también listas detalladas de nombres, contraseñas, propiedad intelectual y otra información. En la carrera, a veces apresurada, para cerrar una fusión, es posible que parte de la información se quede y no se elimine, lo que deja un riesgo residual de violación.

Dado el crecimiento y la popularidad extremos de las redes sociales, buscar información confidencial fuera del perímetro de la empresa probablemente sea útil para casi cualquier grupo.

La forma que adopten los medios de comunicación también puede convertirse en herramientas que un criminal decidido y hábil puede usar contra un individuo u organización.

Por ejemplo, si una persona es prolífica en sus publicaciones en las redes sociales, los delincuentes podrían improvisar esas imágenes en un «deepfake» creíble del individuo, algo que tiene una mayor probabilidad cuanto más alto sea el nivel del pez gordo corporativo.

Eso se puede llevar aún más lejos con grabaciones y videos de una persona, todos elementos que pueden dar más munición para que los delincuentes creen copias digitales aparentemente vivas, diseñadas para cumplir sus objetivos.

Recopile la información descubierta en forma procesable: descubrimiento de activos, recuperación

Finalmente, algunas herramientas OSINT ayudan a recopilar y agrupar toda la información descubierta en inteligencia útil y procesable, según el artículo.

La ejecución de un escaneo OSINT para una gran empresa puede producir cientos de miles de resultados, especialmente si se incluyen tanto activos internos como externos.

Reunir todos esos datos y poder resolver primero los problemas más graves puede ser de gran ayuda. Al mismo tiempo, desde la perspectiva de un profesional de cumplimiento de delitos financieros, los detalles más destacados que se encuentran durante una investigación pueden destacar mejor el riesgo real de un cliente, y también podría presentar un panorama preliminar si esa cuenta individual o corporativa podría estar en mayor riesgo.


Capas de OSINT – Deep Web vs Dark Web

Ahora que sabemos qué es OSINT y dónde ir (su propio navegador web), ¿cómo sabe dónde buscar dentro del navegador?

Primero, debe conocer la diferencia entre la web abierta, la web profunda y la navegación en la web oscura.

La inteligencia de código abierto se puede revisar a través del navegador web elegido.

Deep web: estas búsquedas no se pueden realizar mediante motores de búsqueda estándares, son páginas dinámicas o protegidas con contraseña y redes cifradas. Por ejemplo, un investigador descubre un sitio web que detalla un caso de quiebra, sin embargo, cuando hace clic en el enlace, lo lleva a la página de inicio de sesión del tribunal de distrito.

La deep web requiere un nombre de usuario y una contraseña para acceder a los registros.

La web oscura: una parte de Internet a la que solo se puede acceder mediante un software especial llamado The Onion Router (TOR), que permite a los usuarios y operadores de sitios web permanecer en el anonimato o no ser rastreable.

Este software se puede descargar fácilmente en cualquier teléfono, tableta o computadora portátil, sin embargo, ACFCS no lo recomienda para los investigadores.

¿Cuándo comenzar OSINT?

Paso uno: comience la investigación y revise lo que necesita examinar sobre el cliente, desde la identificación del cliente, hasta cuándo se abrió la cuenta, la revisión de la transacción, por qué se alertó el caso, etc.

Paso dos: concéntrese en las transacciones que está revisando dentro del caso.

Algunas preguntas fundamentales a considerar:

¿Tiene sentido para el propósito declarado de dicha cuenta?

¿La identificación del cliente coincide con el origen de las ubicaciones de las transacciones?

¿La cuenta del cliente muestra cambios recientes, como transacciones más grandes o más frecuentes, o en regiones del mundo con mayor riesgo de delitos financieros?

Esto puede llevar tanto tiempo como necesite. Incluso si todas las transacciones y la identificación del cliente parecen normales, este puede ser un buen momento para abrir un navegador web de su elección.

Paso tres: abra un navegador web de su elección. Si es posible, activa un modo de incógnito para sus búsquedas.

Esto se hace para limitar el historial de navegación, las cookies y los datos del sitio, la información que ingresó en los formularios y los permisos que proporciona a los sitios web.

También le permite iniciar sesión en varias cuentas simultáneamente.

Por ejemplo, puede iniciar sesión en su cuenta de trabajo desde una ventana de incógnito mientras permanece en su cuenta personal (cuentas / sitios de medios sociales o profesionales) desde una ventana normal.

Google Chrome, Microsoft Internet Explorer y Edge, Mozilla Firefox y Apple Safari tienen modo incógnito.

Paso cuatro: si su institución financiera permite el acceso a los sitios de redes sociales, asegúrese de que su ID de usuario / contraseña personal de las redes sociales no esté registrada en ningún dispositivo que esté utilizando dentro de la investigación de su FI.

Esto se hace porque algunos sitios web, como LinkedIn, permiten a los usuarios, con una suscripción paga, acceder a quién ha visto sus perfiles.

Mientras investiga un caso que puede conducir a un Reporte de Operación Sospechosa (ROS), es posible que no desee que su blanco de investigación vea que ha visto su perfil de LinkedIn u otros sitios web sociales o profesionales.

Paso cinco: una forma rápida y eficiente de ejecutar búsquedas OSINT dentro de su navegador es comenzar con el nombre y apellido del cliente entre comillas. Esto limitará sus búsquedas al nombre más parecido al de su cliente.

Si una revisión de la primera página de enlaces no parece proporcionar información coincidente, es una buena práctica revisar la página siguiente para una revisión rápida. Si no hay coincidencias dentro de esa página, regrese a la barra de búsqueda.

Paso seis: escriba la dirección de correo electrónico del cliente utilizando solo la primera parte del dominio.

Por ejemplo, si el cliente tiene una dirección de correo electrónico de bestcustomer_ever@hotmail.com, simplemente escriba «bestcustomer_ever» o una variante del mismo, como «best_customerver» o «bestcustomerever».

Al buscar un dominio completo, algunos motores de búsqueda incluirán sitios para dominios de correo electrónico, como el sitio web de Hotmail. Esto no es necesario, por lo que omitir el dominio @ reduce la «basura» que verá y le ahorrará tiempo en su revisión.


Abriendo el cofre de herramientas de OSINT: personas reales, vidas digitales, conjuntos de datos filtrados

El uso de la herramienta OSINT adecuada para su organización puede mejorar la ciberseguridad al ayudar a descubrir información sobre su empresa, empleados, activos de TI y otros datos confidenciales o sensibles que podrían ser explotados por un atacante, según CSO.

Descubrir esa información primero y luego ocultarla o eliminarla podría reducir mucho, desde el phishing hasta los ataques de denegación de servicio.

Esa información también podría ayudar al ALD, fraude y riesgos cibernéticos para el cliente de un banco o proporcionar evidencia de que un cliente no es quien parece y está vinculado a un grupo ilícito más grande.

Pero, ¿qué herramientas OSINT existen, qué hacen y cómo las usa?

Aquí hay una muestra de algunas de las principales herramientas utilizadas para OSINT, detallando en qué áreas se especializan, por qué son únicas y diferentes entre sí, y qué valor específico podrían aportar a los esfuerzos de ciberseguridad de una organización, junto con si son de pago o gratis, según CSO.

  • Maltego
  • Mitaka
  • SpiderFoot
  • Spyse
  • BuiltWith
  • Intelligence X
  • DarkSearch.io
  • Grep.app
  • Recon-ng
  • theHarvester
  • Shodan
  • Metagoofil
  • Searchcode
  • SpiderFoot
  • Babel X

Qué hacen, cómo lo hacen, en qué se diferencian

Maltego

Maltego se especializa en descubrir relaciones entre personas, empresas, dominios e información de acceso público en Internet.

También es conocido por tomar la cantidad, a veces enorme, de información descubierta y trazarla en cuadros y gráficos fáciles de leer. Los gráficos hacen un buen trabajo al tomar la inteligencia bruta y hacerla procesable, y cada gráfico puede tener hasta 10,000 puntos de datos, según el artículo.

Spiderfoot

Spiderfoot es una herramienta de reconocimiento OSINT gratuita que se integra con múltiples fuentes de datos para recopilar y analizar direcciones IP, rangos CIDR, dominios y subdominios, ASN, direcciones de correo electrónico, números de teléfono, nombres y nombres de usuario, direcciones BTC, etc.

Disponible en GitHub, Spiderfoot viene con una interfaz de línea de comandos y un servidor web integrado para proporcionar una GUI intuitiva basada en web.

La aplicación en sí viene con más de 200 módulos, lo que la hace ideal para actividades de reconocimiento de equipos clave, para descubrir más información sobre su objetivo o identificar lo que usted o su organización pueden estar exponiendo inadvertidamente en Internet.

Spyse

Spyse se describe a sí mismo como el «registro de activos de Internet más completo» dirigido a los profesionales de la ciberseguridad.

Con proyectos como OWASP, IntelligenceX y el ya mencionado Spiderfoot, Spyse recopila datos disponibles públicamente en sitios web, sus propietarios, servidores asociados y dispositivos de IoT.

Luego, estos datos son analizados por el motor Spyse para detectar cualquier riesgo de seguridad y conexiones entre estas diferentes entidades.

Hay un plan gratuito disponible, aunque para los desarrolladores que planean crear aplicaciones utilizando la API de Sypse, es posible que se requieran suscripciones pagas.

OSINT Framework

Si bien estas herramientas ofrecen una gran cantidad de datos OSINT, hay muchas otras herramientas y técnicas disponibles que lo ayudan a comprender completamente la huella pública de su organización.

Un recurso excelente para descubrir más herramientas es OSINT Framework, que ofrece una interfaz basada en la web que desglosa diferentes áreas temáticas de interés para los investigadores de OSINT y lo conecta con las herramientas que pueden ayudarlo a detectar la información que necesita.

Las herramientas a las que OSINT Framework le indicará son todas gratuitas, aunque algunas requieren registro o tienen disponibles versiones de pago con más funciones.

Algunas son simplemente herramientas que ayudan a construir búsquedas avanzadas de Google que pueden generar una cantidad sorprendente de información.

El marco OSINT es mantenido por Justin Nordine y tiene una página de proyecto en GitHub.

Para leer más detalles sobre la lista completa de herramientas OSINT, haga clic aquí.


¡No tengo tanto tiempo!

No temas, estos pasos descritos antes se pueden ejecutar rápidamente en cuestión de minutos y no están destinados a reducir el tiempo de tu investigación sino a mejorarla.

Las búsquedas de OSINT pueden proporcionar una corroboración de lo que está viendo en la cuenta del cliente o una contradicción.

Por ejemplo, es posible que se sienta mejor con el cliente que está investigando cuando no encuentra nada negativo sobre él, como publicaciones de personas que afirman haber sido estafadas por su cliente o cualquier documento legal que describa algún tipo de delito donde estén los acusados.

Continuará…

Ahora que tiene algunos consejos y trucos en su haber con respecto a la colección OSINT para su caso, la próxima publicación de The Front Lines profundizará en los pasos posteriores de su caso, para incluir:

¿Qué son las noticias negativas?

¿Qué son las «noticias negativas» y forman parte de la investigación de OSINT?

Cómo abordar los resultados de OSINT dentro de la descripción de un ROS.

¿OSINT es lo mismo que la evidencia para propósitos de aplicación de la ley?


Erin O’Loughlin llega a ACFCS con una profunda experiencia adquirida trabajando dentro de la industria de delitos financieros / cumplimiento en una variedad de roles, incluidas las investigaciones ALD para Bank of America, rastreando los mercados de la web oscura para identificar el riesgo proactivo en la red TOR para Western Union y supervisando las investigaciones de fraude criptográfico y lavado de dinero para Coinbase.

Antes de ingresar al sector privado, O’Loughlin se desempeñó como oficial de operaciones en la Agencia Central de Inteligencia durante diez años.

Ella ocupó puestos tanto en el extranjero como en el país, especializándose en lucha contra el terrorismo, resolución de conflictos, mediación y diligencia debida.