- Alumno de la 5ª edición del Máster en Ciberinteligencia del Campus Internacional de Ciberseguridad
- Ingeniero de seguridad de TI Wairbut
- Alumno de la 5ª edición del Máster en Ciberinteligencia del Campus Internacional de Ciberseguridad
- Ingeniero de seguridad de TI Wairbut
Ante el auge actual del comercio electrónico cada vez son más los usuarios que se acuden al ciberespacio para realizar las compras de aquellos productos que se le antojan necesarios para su día a día. Con este escenario, la ciberdelincuencia ha aumentado un 200% en los últimos 12 meses.
En el siguiente post, voy a contar un caso real que me tocó vivir de cerca ya que un familiar tuvo que interponer una denuncia de un producto que compró y que cuando llegó se trataba de otro y tras interponer la denuncia ante las autoridades.
La estafa comenzó un 07/10/2020 tras recibir el email de confirmación por la compra de un artículo en una página determinada. Tras esperar hasta el 26/10/2020 y observar que no habían ningún tipo de comunicación por parte del vendedor y que el artículo no llegaba, se inició una investigación aplicando el ciclo de vida OSINT
Ciclo de Vida OSINT
Lo primero que se hizo, fue buscar información del dominio que era objeto de la investigación utilizando el servicio gratuito, https://whois.domaintools.com. Analizando el resultado, se obtuvo que como primer indicio sospechoso fue que el dominio había sido dado de alta hacía un mes y además, en un proveedor de servicio, cloudflare, que garantiza la privacidad de sus clientes y no colabora con las autoridades:
Dado que por esta fuente no se pudo obtener ningún tipo de información, se analizaron las imágenes que venían en las reseñas de la web en la que los clientes escribían opiniones positivas de los artículos, para ello se utilizó el servicio gratuito de google imágenes, https://www.google.com/imghp?hl=en.
Tras esta búsqueda el resultado fue que las mismas reseñas con las mismas imágenes aparecían en distintas páginas webs y en distintos idiomas.
El siguiente paso, fue analizar la cuenta de correo de Gmail que venía como remitente en el correo de confirmación una vez se compraba el producto. Para este caso, en concreto se utilizó una herramienta de código abierto, significa que cualquier persona pueda acceder a ella, llamada email osint ripper disponible para su descarga en el repositorio de github:
El funcionamiento de este script consiste en realizar una serie de comprobaciones en diferentes servicios de internet para ver si la cuenta de correo existe.
El resultado final fue que esa cuenta de correo existía en twitter y en la red Social about.me.
Tras consultar el perfil en la red social about.me, se obtuvo una foto, un nombre y dos apellidos del sujeto
Una vez con los datos que ya se tenían, aplicando técnicas SOCMINT, se realizaron búsquedas en diferentes redes sociales, Instagram, Twitter y Facebook, observando que este personaje llevaba un tren de vida elevado junto con su pareja y que le gustaba el lujo y los viajes.
Por último, combinando técnicas HUMINT con OSINT, se analizó la política de privacidad de la página en la que vendía sus productos y se obtuvo una dirección física localizada en Madrid, concretamente en Móstoles.
Tras esto, se hizo una visita para intentar presentar una reclamación físicamente y además hacer fotos, pero al desplazarnos al lugar no existía ninguna oficina y en la comunidad de vecinos, nadie lo conocía ni existían datos de su empresa en ninguno de los buzones de la comunidad.
Con todo lo descrito anteriormente recomiendo siempre analizar bien los lugares donde se vayan a realizar compras online, ya que existen multitud de servicios gratis en internet donde consultar dominios, fotos, nombres… y si aún así tienen dudas, consultar siempre a una persona especializada en este tipo de investigaciones.
¿Quieres obtener el mismo conocimiento que Eduardo?