OSINT

Jorge Andrés Dapena Ossa

Magister en seguridad informática
OSINT

• La recolección pasiva de información

a través de OSINT ocurre durante el
primer paso de la cadena de ataque
cuando se realiza una prueba de
penetración o un ataque contra una
organización determinada.
OSINT

• Reunir toda la información posible

sobre un objetivo es siempre el
aspecto más importante para lograr
los mejores resultados en una prueba
de penetración
OSINT
• Un atacante normalmente dedicará
hasta el 75% del esfuerzo de trabajo
total para una prueba de penetración a
la recolección de información, ya que es
esta fase la que permite definir, mapear
y explorar el objetivo en busca de las
vulnerabilidades que eventualmente
conducirán a la explotación.
OSINT

• Hay dos tipos de recolección de

información:
– Pasiva
– Activa
OSINT
• El reconocimiento pasivo es el arte de
recopilar y analizar información disponible
abiertamente, generalmente del propio
objetivo o de fuentes públicas en línea. Al
acceder a esta información, el evaluador o
atacante no interactúa con el objetivo de
una manera inusual; las solicitudes y
actividades no se registrarán y, por lo tanto,
no se rastrearán directamente al evaluador.
OSINT

• Por lo tanto, el reconocimiento pasivo

se realiza primero para minimizar el
contacto directo que puede señalar un
ataque inminente o identificar al
atacante.
OSINT

• Por lo tanto, el reconocimiento pasivo

se realiza primero para minimizar el
contacto directo que puede señalar un
ataque inminente o identificar al
atacante.
OSINT
• El reconocimiento pasivo no implica
ninguna interacción maliciosa y directa
con la red objetivo. La dirección IP y
las actividades del atacante no quedan
registradas (por ejemplo, una búsqueda
en Google de las direcciones de correo
electrónico del objetivo no dejará un
rastro que el objetivo pueda detectar).
OSINT

• Es difícil, si no imposible, que el

objetivo diferencie el reconocimiento
pasivo de las actividades normales de
negocio. El reconocimiento pasivo se
divide además en las categorías de
directo e indirecto.
OSINT

• El reconocimiento pasivo directo

implica las interacciones normales
que ocurren cuando un atacante
interactúa con el objetivo de forma
esperada. Por ejemplo, un atacante se
conectará al sitio web corporativo,
verá varias páginas y descargará
documentos para su posterior estudio.
OSINT

• El reconocimiento pasivo directo

implica las interacciones normales
que ocurren cuando un atacante
interactúa con el objetivo de forma
esperada. Por ejemplo, un atacante se
conectará al sitio web corporativo,
verá varias páginas y descargará
documentos para su posterior estudio.
OSINT

• El reconocimiento pasivo indirecto

evita cualquier interacción con el
objetivo
OSINT

• En contraste, el reconocimiento
activo implica consultas directas u
otras interacciones (por ejemplo, el
escaneo de puertos de la red objetivo)
que pueden activar alarmas del
sistema o permitir que el objetivo
capture la dirección IP y las
actividades del atacante.
OSINT

• Esta información podría utilizarse

para identificar y detener a un
atacante, o durante procedimientos
legales. Por lo tanto, el
reconocimiento pasivo conlleva
mucho menos riesgo, pero, al igual
que su contraparte activa, tiene sus
limitaciones.
 OSINT
• Acrónimo de “OPEN SOURCE INTELIGENCE”
• OSINT, por sus siglas en inglés, se refiere a la
Inteligencia de Fuentes Abiertas. Es un enfoque de
recolección y análisis de información proveniente de
fuentes públicas y accesibles, con el objetivo de
obtener información.
 OSINT
• En el marco del hacking ético nos permite obtener
información relevante sobre nuestro objetivo
OSINT
OSINT

• En este contexto “OPEN SOURCE” No

quiere decir gratis, es diferente al
termino “OPEN SOURCE” que usamos
en licencia de software
 OSINT

¿Quién lo utiliza?
• Gobiernos • Algorítmos
• Militares • Pentester
• Investigadores privados • Periodistas
• Corporaciones • Marketing
• Clientes/Consumidores • Ventas
• Empleadores/Reclutadores
OSINT
• El primer paso en una prueba de
penetración o un ataque es la
recopilación de información mediante
OSINT. Este es el arte de recopilar
información de fuentes públicas,
especialmente a través de internet.
OSINT

• La cantidad de información
disponible es considerable: la
mayoría de las organizaciones de
inteligencia y militares participan
activamente en actividades de OSINT
para recopilar información sobre sus
objetivos y protegerse contra las
fugas de datos sobre ellos.
OSINT

• Ofensivo
– Obtener información antes de un
ataque
• Defensivo
– Obtener información sobre
posibles vectores de ataque hacia
una compañia o persona
OSINT
• La información que se busca recopilar depende
del objetivo inicial de la prueba de penetración.
Por ejemplo, si se desea acceder a los registros
médicos personales, necesitarán los nombres y
la información biográfica de las partes
involucradas (compañías de seguros de
terceros, proveedores de atención médica, jefe
de operaciones de TI en cualquier industria,
proveedores comerciales, etc.), sus nombres de
usuario y sus contraseñas.
OSINT

• Si la ruta de un ataque implica

ingeniería social, pueden
complementar esta información con
detalles que den credibilidad a las
solicitudes de información, como:
OSINT

• Nombres de dominio: La
identificación de los objetivos para
los atacantes o los evaluadores de
penetración durante un escenario
externo comienza con los nombres de
dominio, que es el elemento más
crucial de OSINT
OSINT

• Subdominios: Son los dominios que

forman parte del dominio principal;
por ejemplo, si un dominio ofrecido
al objetivo es sample.com, podría
usar demo.sample.com,
producton.sample.com,
ecommerce.sample.com, y así
sucesivamente.
OSINT

• La identificación de estos dominios

proporcionará a los atacantes una
gama más amplia de activos para
evaluar en la fase de reconocimiento.
OSINT
• Entradas de DNS: En el mundo cibernético
actual, todo puede estar potencialmente
conectado en red. Eso significa que cada
dispositivo que está conectado a Internet tiene
una dirección IP única asignada. Del mismo
modo, las entradas de DNS son una lista de
nombres amigables para los humanos que se
asignan a una dirección IP específica, por
ejemplo, demo.sample.com, que se traduce a
una dirección IP en el formato 104.x.x.243.
OSINT
• Las entradas de DNS incluyen A
(nombre de host a una IP), NS (servidor
de nombres), CNAME (nombre
canónico), MX (intercambio de correo)
AAAA (registro DNS a IP v6), SRV
(registro de servicio), TXT (registro de
texto) y PTR (registro de puntero, que
es lo contrario al registro A).
OSINT

• Toda esta información proporcionará

a los atacantes no solo detalles
relacionados con el DNS, sino
también una amplia gama de otra
información, como el tipo de servicio
que ejecutan, que los atacantes
pueden utilizar para comenzar a
equipar la estrategia de ataque.
OSINT

• Intercambio de correo: Aunque

encontraremos los registros MX de
las entradas de DNS, la identificación
del intercambio de correo se trata
como un conjunto de enumeración
completamente diferente.
OSINT

• La mayoría de las veces involucra a

un tercero que proporciona servicios
de entrega de correo, que pueden ser
utilizados potencialmente por los
atacantes para enviar correos
electrónicos masivos explotando la
funcionalidad normal de
retransmisión de SMTP del correo
OSINT

• Reconocimiento de DNS y mapeo de

rutas: Una vez que un evaluador ha
identificado el objetivo que tiene una
presencia en línea y contiene
elementos de interés, el siguiente
paso es identificar las direcciones IP
y las rutas al objetivo.
OSINT

• El reconocimiento de DNS se ocupa

de identificar quién es el propietario
de un dominio o una serie de
direcciones IP (información como
WHOIS, aunque esto ha cambiado
mucho después del Reglamento
General de Protección de Datos)
OSINT

• Utilizaremos la herramienta sublist3r

para realizar la recolección de
dominios. Esta herramienta no está
preinstalada en Kali Linux, pero se
puede instalar ejecutando
• sudo apt install sublist3r
• en la terminal.
OSINT

• Utilizaremos la herramienta sublist3r

para realizar la recolección de
dominios. Esta herramienta no está
preinstalada en Kali Linux, pero se
puede instalar ejecutando
• sudo apt install sublist3r
• en la terminal.
OSINT

• Utiliza APIs como las de Google,

Bing, Baidu y ASK. Además, también
realiza búsquedas en NetCraft,
VirusTotal, Threatcrowd,
DNSDumpster y ReverseDNS,
mientras que también lleva a cabo
fuerza bruta en DNS utilizando una
lista de palabras específica.
OSINT

• Una vez instalada la herramienta, los

atacantes pueden ejecutar
• sudo sublist3r -d
ourtargetcompany.com -t 3 -e bing
• para buscar subdominios en el motor
de búsqueda de Bing
OSINT
• Una vez instalada la herramienta, los
atacantes pueden ejecutar
• sudo sublist3r -d
ourtargetcompany.com -t 3 -e bing
• para buscar subdominios en el motor
de búsqueda de Bing
OSINT

• Maltego es uno de los marcos de

trabajo de OSINT más capaces para
el reconocimiento tanto individual
como organizacional.
OSINT
• Es una herramienta de interfaz gráfica de
usuario que puede recopilar información
sobre cualquier persona extrayendo la
información que está disponible
públicamente en Internet mediante varios
métodos, como direcciones de correo
electrónico, URL, perfiles de redes
sociales de una persona y conexiones
mutuas entre dos personas.
OSINT

• También es capaz de enumerar el

DNS, forzar el DNS normal y
recopilar los datos de las redes
sociales en un formato que se pueda
leer fácilmente.
OSINT

• Podemos utilizar esta herramienta

desarrollando una visualización de
los datos que se han recopilado. La
edición comunitaria, Maltego 4.2.17,
se envía junto con Kali Linux.
OSINT

• La forma más fácil de acceder a esta

aplicación es escribir maltego en el
terminal. Las tareas en Maltego se
llaman transformaciones.
OSINT

• Las transformaciones vienen

integradas en la herramienta y se
definen como scripts de código que
ejecutan tareas específicas.
OSINT

• Las transformaciones vienen

integradas en la herramienta y se
definen como scripts de código que
ejecutan tareas específicas.
OSINT

• Para acceder a Maltego, deberá crear

una cuenta visitando
https://www.maltego.com/ce-
registration/. Una vez que la cuenta
esté creada y haya iniciado sesión
correctamente en la aplicación
Maltego, debería ver la pantalla que
se muestra.
OSINT
• Company Stalker: Esto recuperará todas
las direcciones de correo electrónico
asociadas con un dominio y luego verá
cuál tiene entradas en sitios de redes
sociales, como LinkedIn. También
descarga y extrae metadatos de
documentos publicados en Internet
filtrando al dominio específico como
objetivo.
OSINT

• Find Wikipedia edits:Esta

transformación busca los detalles de
las ediciones de Wikipedia y los
busca en todas las plataformas de
redes sociales.
OSINT
• Footprint L1: Esto realiza huellas básicas
de un dominio.
• Footprint L2: Esto realiza huellas de nivel
medio de un dominio.
• Footprint L3: Esto realiza una inmersión
profunda intensa en un dominio y
generalmente se usa con cuidado ya que
consumirá una gran cantidad de recursos
de memoria que se ejecutan en Kali Linux.
OSINT

• Footprint XML: Esto funciona en

objetivos grandes, como una empresa
que aloja sus propios centros de datos,
y trata de obtener la huella mirando
los registros de marco de políticas de
remitente (SPF) esperando bloques de
red, así como DNS delegado inverso a
sus servidores de nombres.
OSINT

• Person - Email Address: Esto se usa

para obtener la dirección de correo
electrónico de alguien y ver dónde se
usa en Internet. La entrada no es un
dominio, sino una dirección de correo
electrónico completa.
OSINT
• Prune Leaf entries:Esto filtra la
información proporcionando opciones
para eliminar ciertas partes de la red.
• Twitter digger X: Esto analiza los
tweets en busca de alias.
• Twitter digger Y: Esto funciona en
afiliaciones de Twitter; encuentra un
tweet, lo extrae y lo analiza.
OSINT

• Monitor de Twitter: Esto se puede

usar para monitorear Twitter para
hashtags y entidades nombradas
mencionadas alrededor de una cierta
frase. La entrada es una frase.
OSINT

• URL a información de red y dominio:

Esta transformación identificará la
información de dominio de otros
dominios de nivel superior (TLD).
OSINT

• Los atacantes comienzan con la

Footprint L1 para obtener una
comprensión básica del dominio y los
subdominios que potencialmente
están disponibles, junto con las
direcciones IP relevantes.
OSINT

• Es una buena práctica comenzar con

esta información como parte de la
recopilación de información; sin
embargo, los atacantes también
pueden utilizar todas las otras
máquinas mencionadas anteriormente
para lograr su objetivo
OSINT

• OSRFramework es una herramienta

diseñada por i3visio para realizar
inteligencia de amenazas de código
abierto como una interfaz web con
consolas como OSRFConsole.
OSINT

• Para instalar este marco, instale pip3

ejecutando
• sudo apt install python3-pip
• en la terminal. Finalmente, la herramienta
OSRFramework se puede instalar directamente
a través de pip3 ejecutando el comando
• sudo pip3 install osrframework
• en la misma terminal.
OSINT

• Hay tres módulos útiles que vienen

con OSRFramework, cada uno de los
cuales puede ser utilizado por
pentesters durante la recopilación de
datos de inteligencia de amenazas
externas.
OSINT

• usufy: Esto se utiliza para buscar en

varios motores de búsqueda,
identificar las palabras clave en una
URL y enumerar automáticamente y
almacenar todos los resultados en
formato .csv.
OSINT

• usufy: Esto se utiliza para buscar en

varios motores de búsqueda,
identificar las palabras clave en una
URL y enumerar automáticamente y
almacenar todos los resultados en
formato .csv.
• usufy -n iue
OSINT

• mailfy: Esto identifica una palabra

clave y agrega los dominios de correo
electrónico al final de la palabra
clave, mientras busca
automáticamente en
haveibeenpawned.com con una
llamada a la API:
• mailfy -n cyberhia
OSINT

• searchfy: Esto busca una palabra

clave en Facebook, GitHub,
Instagram, Twitter y YouTube
• searchfy -q “iue”
OSINT

• Cuando algo se elimina de Internet,

no necesariamente se elimina por
completo de todas partes. Cada
página que visita Google se respalda
como una instantánea en los
servidores de caché de Google.
OSINT

• Típicamente, estos servidores de

caché están destinados a ver si
Google puede servirle la mejor
opción disponible para basar su
consulta de búsqueda.
OSINT
• La misma técnica puede ser utilizada
por atacantes para recopilar información
sobre un objetivo dado. Por ejemplo,
digamos que los detalles de una base de
datos hackeada se publicaron en
sampledatadumpwebsite.com, y que el
sitio web o el enlace se elimina de
Internet.
OSINT

• Si la página ha sido accedida por

Google, esta información puede
servir como una gran fuente de
información para los atacantes,
incluidos nombres de usuario, hash
de contraseñas, qué tipo de backend
se estaba utilizando y otra
información técnica relevante.
OSINT

• Scraping es una técnica que los

atacantes utilizan para extraer un gran
número de conjuntos de datos de
sitios web, donde los datos extraídos
se almacenan localmente en un
sistema de archivos, se llama scraping
o web scraping.
OSINT

• Scraping es una técnica que los

atacantes utilizan para extraer un gran
número de conjuntos de datos de
sitios web, donde los datos extraídos
se almacenan localmente en un
sistema de archivos, se llama scraping
o web scraping.
OSINT

• theHarvester es un script de Python que

busca a través de motores de búsqueda
populares y otros sitios en busca de
direcciones de correo electrónico, hosts y
subdominios. Usar theHarvester es
relativamente simple, ya que solo hay unos
pocos interruptores de comando para
establecer. Las opciones son las siguientes:
OSINT

• -d: Esto identifica el dominio a buscar,

generalmente el sitio web del dominio o el
objetivo.
• -b: Esto identifica la fuente para extraer
los datos; debe ser uno de los siguientes:
Bing, BingAPI, Google, Google-Profiles,
Jigsaw, LinkedIn, People123, PGP o All.
OSINT

• -l: Esta opción limitadora instruye a

theHarvester a cosechar solo datos de un
número especificado de resultados de búsqueda
devueltos.
• -f: Esta opción se utiliza para guardar los
resultados finales en un archivo HTML y
XML. Si se omite esta opción, los resultados
solo se mostrarán en la pantalla y no se
guardarán.
OSINT

• Los atacantes también pueden utilizar la API

de LinkedIn para extraer una lista de
personas dentro del dominio dado y formar
fácilmente una lista de posibles direcciones
de correo electrónico y/o nombres de usuario
válidos. Un ejemplo sería cuando una
organización utiliza nombres y apellidos
dentro del formato de [email protected];
OSINT

• TheHarvester -d packtpub.com -l 500

-b LinkedIn
OSINT

• TheHarvester -d packtpub.com -l 500

-b LinkedIn
OSINT

• A menudo, los atacantes utilizan

vulnerabilidades existentes para acceder al
sistema sin mucho esfuerzo, por lo que una de
las formas más fáciles de hacerlo es buscar en
Shodan. Shodan es uno de los motores de
búsqueda más importantes disponibles, ya que
permite a cualquier persona en Internet
encontrar dispositivos conectados a Internet
utilizando una variedad de filtros.
OSINT

• Se puede acceder visitando

https://www.shodan.io/. Este es uno de los
sitios web más populares consultados para
información en todo el mundo. Si se busca el
nombre de una empresa, proporcionará
cualquier información relevante que tenga en
su base de datos, como direcciones IP,
números de puerto y el servicio que se estaba
ejecutando.
OSINT

• Hay muchas más herramientas

automatizadas incluidas dentro de Kali
que pueden complementar las
búsquedas manuales. Una de esas
herramientas es SpiderFoot, que
automatiza tanto el reconocimiento
pasivo ofensivo como defensivo
utilizando OSINT.
OSINT

• La herramienta está escrita en

Python 3 con la licencia GPL, y está
preinstalada en la última versión de
Kali. La herramienta proporciona la
opción de configurar una serie de API
para fortalecer el resultado.
OSINT

• La herramienta se puede lanzar

ejecutando
• Sudo spiderfoot -l IP:Puerto.
OSINT

• La herramienta se puede lanzar

ejecutando
• Sudo spiderfoot -l IP:Puerto.
OSINT

• La herramienta se puede lanzar

ejecutando
• Sudo spiderfoot -l IP:Puerto.
OSINT

• Una vez que el motor se inicia, podrá

visitar http://IP:puerto, hacer clic en
Configuración y agregar todas las
claves de API que ya pueda tener; un
ejemplo, la clave de API de
AbusIPDB.com
OSINT

• (puede crear esta clave visitando

abuseIPDB) se agrega a SpiderFoot,
como se muestra en la Figura 2.14;
luego guarde los cambios. Esto se
puede hacer de manera similar para
todas las API que requieren tokens o
claves de API
OSINT

• (puede crear esta clave visitando

abuseIPDB) se agrega a SpiderFoot,
como se muestra en la Figura 2.14;
luego guarde los cambios. Esto se
puede hacer de manera similar para
todas las API que requieren tokens o
claves de API
OSINT

• El primer paso para entender la Base de Datos

de Hacking de Google (GHDB) es que los
probadores deben entender todos los operadores
avanzados de Google, al igual que los
ingenieros de programación a nivel de máquina
deben entender los códigos OP de computadora
(conocidos como códigos de operación, estos
son instrucciones de lenguaje de máquina que
especifican qué operaciones se deben realizar).
OSINT

• Estos operadores de Google son parte

del proceso de consulta de Google, y
la sintaxis para buscar es la siguiente:
• operador:elementoquequieresbuscar
OSINT

• Para operadores más específicos,

podemos consultar la guía de Google
en
http://www.googleguide.com/advance
d_operators_reference.html.
OSINT

• Podemos utilizar la base de datos de

hacking de Google de exploit-db, que
es constantemente actualizada por la
comunidad de investigación de
seguridad, disponible en
https://www.exploit-db.com/google-
hacking-database.